Vorteil für Unternehmen mit Betriebsrat! Mit Entscheidung vom 25.02.2021 hat das Landesarbeitsgericht Baden-Württemberg (Aktenzeichen 17 Sa 37/20) entschieden, dass die Verarbeitung/Speicherung von personenbezogenen Beschäftigtendaten zum Zweck, ein (noch) nicht produktiv genutztes, später noch konzernweit einzuführendes cloudbasiertes Personalinformationsmanagementsystem zu testen, nur auf Grundlage einer Betriebsvereinbarung erfolgen darf.
Insbesondere für Unternehmen mit einer Konzernmutter in den USA hat die Entscheidung eine gewisse Sprengkraft. Denn Betriebsvereinbarungen im Sinne des deutschen Rechts, sind dem Recht der USA fremd. Ob sich nun die Einstellung der Konzernmütter mit Sitz in den USA zu deutschen Betriebsräten und ihrer Funktion ändert, bleibt abzuwarten.
Betriebsvereinbarung als (einzige) Rechtsgrundlage
Nun also Betriebsvereinbarungen. Andere Rechtsgrundlagen scheiden nach Auffassung des Landesarbeitsgerichts aus. Weder die Durchführung des Arbeitsvertrages (§ 26 Abs. 1 BDSG) noch ein berechtigtes Interesse des Arbeitgebers (Art. 6 Abs. 1 Buchst. f DSGVO) kommen nach Auffassung des Gerichts als Rechtsgrundlage der Verarbeitung in Betracht: Die Verarbeitung zu Testzwecken ist schlicht nicht erforderlich. Das Gericht schreibt: „Eine Datenverarbeitung von personenbezogenen Daten in einem nicht zur Personalverwaltung produktiv genutzten „Zweitsystem“ kann nicht auf der Grundlage von § 26 Abs. 1 BDSG gerechtfertigt sein.“ Die Erforderlichkeit scheitert auch daran, dass als milderes Mittel der Einsatz von Daten fiktiver Beschäftigter möglich und zumutbar ist. Als Rechtsgrundlage einer zulässigen Datenverarbeitung kommt in diesem Fall als Kollektivvereinbarung i.S.v. § 26 Abs. 4 BDSG aber eine Betriebsvereinbarung in Betracht.
Diese bestimmt dann auch den Umfang der rechtmäßigen Datenverarbeitung. Werden in der Betriebsvereinbarung für die vorübergehende Nutzung des Personalinformationsmanagementsystems die Kategorien der vorübergehend nutzbaren Daten festgelegt, ist die Verarbeitung anderer personenbezogener Daten rechtswidrig. Es ist folglich darauf zu achten, die Betriebsvereinbarung sorgfältig zu formuliern.
Standardvertragsklauseln = AV-Vereinbarung
Da es in dem zu entscheidenden Fall zudem um eine Datenübermittlung in die USA ging, hatte das Gericht zugleich Gelegenheit, zu den Voraussetzungen der Rechtmäßigkeit einer Übermittlung personenbezogener Daten in die USA Position zu beziehen. Dem Gericht reichte für eine rechtmäßige Verarbeitung und die Verneinung eines Verstoßes gegen Art. 28 DSGVO die Vereinbarung der EU-Standardvertragsklauseln nebst ergänzender Regelungen zur Implementierung der Inhalte des Art. 28 Abs. 3 DSGVO.
Schadensersatz nur bei Verstoß gegen DSGVO
Damit nicht genug, bot der Fall auch Gelegenheit zur Frage der Schadensersatzpflicht bei einer unzulässigen Verarbeitung. Zwar reichen die die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. ein Kontrollverlust des Betroffenen grundsätzlich zur Begründung eines immateriellen Schadens i.S.v. Art. 82 DSGVO aus. Voraussetzung für die Haftung des Arbeitgebers ist jedoch, dass der Schaden durch einen Verstoß gegen die DSGVO entstanden ist. Dafür reicht der vorliegend festgestellte Verstoß gegen § 26 Abs. 4 BDSG i.V.m. den Bestimmungen der Betriebsvereinbarung nicht aus. Vielmehr bedarf es eines Verstoßes des Arbeitgebers gegen die Bestimmungen der DSGVO zur Übermittlung personenbezogener Daten in Drittländer bzw. gegen Art. 28 DSGVO.
Ein Fazit
Verfügt ein Unternehmen nicht über einen Betriebsrat, kann es in Anwendung der o.g. Rechtsprechung Daten von Beschäftigten ohne deren Einwilligung nicht in rechtmäßiger Weise dazu verwenden, um ein System zu testen. Denn wo es keinen Betriebsrat gibt, ist auch keine Betriebsvereinbarung möglich. Ob dies tatsächlich das letzte Wort ist, wird zu diskutieren sein.