Verarbeitung von Arbeitnehmerdaten über "Workday" DSGVO-konform?
von , veröffentlicht am 27.02.2023Das BAG hat den EuGH um Vorabentscheidung zu verschiedenen Fragen des betrieblichen Datenschutzes ersucht. Unter anderem will der Achte Senat wissen:
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?
Der Kläger steht seit 1984 im Arbeitsverhältnis mit der Beklagten bzw. ihrer Rechtsvorgängerin. Zuletzt wurde er als Organisationsprogrammierer beschäftigt. Er ist Vorsitzender des Betriebsrats. Die Beklagte verarbeitet personenbezogene Daten ihrer Beschäftigten zu Abrechnungszwecken mit SAP. Hierzu wurden zwischen der Beklagten und dem bei ihr gebildeten Betriebsrat mehrere Betriebsvereinbarungen abgeschlossen. Sie beabsichtigt, von SAP auf "Workday" zu wechseln, das vom gleichnamigen Unternehmen aus Kalifornien/USA angeboten wird. Im April/Mai 2017 lud die Beklagte personenbezogene Daten des Klägers aus SAP auf eine Sharepoint-Seite mit Server-Standort in den USA zur Befüllung der Software "Workday". Neben Informationen wie dem Namen, Vornamen, dienstlicher Telefonnummer und dienstlicher E-Mail-Adresse gehörten zu den übermittelten Daten ua. auch Gehaltsinformationen (Jahres- und Monatsgehalt, der Umfang leistungsabhängiger Vergütung), die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers.
Der Kläger hat die Beklagte mehrfach aufgefordert, ihm über sämtliche über seine Person in „Workday“ gespeicherten Daten Auskunft zu geben. Auch andere Beschäftigte machten Auskunftsverlangen geltend. Unter dem 23.1.2019 einigten sich die Betriebsparteien im Rahmen eines Einigungsstellenverfahrens auf die „Rahmenbetriebsvereinbarung zum Betrieb von IT Systemen“ und auf die „Betriebsvereinbarung zur Einführung und Verwendung von Workday“, welche der Kläger für den Betriebsrat und der Geschäftsführer der Beklagten für diese unterzeichneten. Beide Betriebsvereinbarungen traten mit Unterzeichnung in Kraft.
Mit seiner Klage verfolgte der Kläger zunächst sein Auskunftsverlangen weiter und beantragte daneben stufenweise die Abgabe einer eidesstattlichen Versicherung, die Löschung von Daten und die Verurteilung der Beklagten zur Zahlung von Schadenersatz. Nachdem der Kläger im Laufe des gerichtlichen Verfahrens nach und nach Auskünfte von der Beklagten über die über seine Person in Workday gespeicherten Daten erhalten hatte, nahm er die zunächst mit seiner Klage verfolgten Anträge teilweise zurück. Vor dem BAG ist nur noch der Antrag auf immateriellen Schadenersatz nach Art. 82 DSGVO wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis anhängig, dessen Größenordnung der Kläger zuletzt mit 3.000 Euro angegeben hat.
Das BAG hat dem EuGH mehrere Fragen zur Vorabentscheidung vorgelegt:
1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?
2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?
3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?
4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?
5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
BAG, Beschl. vom 22.9.2022 - 8 AZR 209/21 (A), BeckRS 2022, 35499
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenDer Beschluss enthält noch eine geheime siebte Frage:
7. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen dass das alles theoretischer Quark ist, weil wir am Ende doch nur einen Kleckerbetrag zusprechen für den niemand 4 Jahre prozessiert?