Datenübermittlung lässt sich nicht pauschal rechtfertigen
Arbeitgeber müssen nach diesem Urteil den Datenschutz sehr ernst nehmen. Ein konzerninterner Transfer von Mitarbeiterdaten lässt sich durch die DSGVO nicht pauschal rechtfertigen. Hier ist eine detaillierte Überprüfung der Voraussetzungen für die zulässige Datenübermittlung erforderlich. Die Kanzlei Dr. Stoll & Sauer fasst die Eckdaten des Verfahrens vor dem Landesarbeitsgericht Hamm zusammen:
- Die Klägerin arbeitete in einem bundesweit tätigem Krankenhausbetrieb. Im Anstellungsvertrag war vereinbart worden, dass die Klinik personenbezogene Daten der Klägerin nur für Zwecke des Beschäftigungsverhältnisses speichern, verarbeiten und nutzen darf. Der Krankenhausbetrieb ist unter anderem Alleingesellschafter einer Klinik-GmbH, die über ein Referat für verbundweites Personalmanagement verfügt. Die Klinik übermittelte diesem Management personenbezogene Daten der Arbeitnehmerin wie Personalnummer, Name, Vorname, Dienstart und weitere Daten. Das Personalmanagement wollte eine Übersicht anlegen über alle Angestellten, die mehr als 80.000 Euro im Jahr verdienen.
- Die Arbeitnehmerin klagte auf Unterlassung und auf Schadensersatz. In allen Instanzen war sie mit ihrer Klage erfolgreich. Die Beklagte hat aus Sicht des Gerichts gegen eine Reihe von datenschutzrechtlichen Bestimmungen verstoßen. Die Klinik hätte die Daten der Klägerin nur in Zusammenhang mit der Durchführung des Arbeitsverhältnisses nutzen dürfen. Eine anonymisierte Datenübermittlung wäre akzeptabel gewesen. Das Gericht kritisierte weiter, dass der Arbeitgeber es unterlassen hatte, seine Arbeitnehmerin über den Datentransfer zu unterrichten und deren Einverständnis einzuholen. Darüber hinaus entsprach das Sammeln der Daten dem Ziel der DSGVO zur Datenminimierung nicht.
- Vor diesem Hintergrund hat aus Sicht des LAG Hamm die Klägerin nicht nur Anspruch auf Unterlassung zukünftiger Datenübermittlungen, sondern auch Anspruch auf Ersatz des immateriellen Schadensersatz nach Artikel 82 Abs. 1 DSGVO. Das Gericht hält die Höhe von 2000 Euro für angemessen.
- Mit dem Urteil führte das Gericht auch Voraussetzungen für eine zulässige Datenverarbeitung auf, die im vorliegenden Fall jedoch nicht eingehalten worden waren. Dazu zählen:
- Die betroffene Person muss ihre Einwilligung zur Verarbeitung erteilen.
- Die Verarbeitung muss für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich sein.
- Lebenswichtige Interessen müssen durch die Übermittlung geschützt werden.
- Die Verarbeitung muss für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich sein.
- Die Datenverarbeitung muss zur Durchführung des Arbeitsverhältnisses erforderlich sein.
Der Begriff des immateriellen Schadens ist natürlich sehr sperrig. Der Schadensersatz dient dazu, die Ziele der DSGVO zu verwirklichen. Im Kern geht es um den Schutz von Verbrauchern bei der Verarbeitung personenbezogener Daten. Um die Höhe zu bestimmen, sind verschiedene Aspekte heranzuziehen. Der Verbraucher ist bestimmten Ängsten und natürlich Stress ausgesetzt, wenn es beispielsweise um einen Schufa-Eintrag geht oder seine persönlichen Daten im Internet für jeden sichtbar abrufbar sind. Beim Schadensersatz kommt auch eine Genugtuungsfunktion ins Spiel. Und letztlich geht es auch um eine generalpräventive Funktion der Zahlung.
Der vorliegende Fall zeigt aus Sicht der Kanzlei Dr. Stoll & Sauer deutlich, dass die Chancen der Verbraucher auf Schadensersatz enorm gestiegen sind. Das gilt für Schufa-Angelegenheit genauso wie auch für Betroffene von Sicherheitslücken in Unternehmen wie jüngst bei Twitter und auch generell bei Verstößen gegen den Datenschutz. Die Kanzlei rät Verbrauchern daher zur anwaltlichen Beratung. Im kostenfreien Online-Check und der kostenlosen Erstberatung zeigen wir Möglichkeiten auf, den Schaden durch das Datenleck zu minimieren und Schadensersatz einzuklagen.