DatenschutzWoche vom 14.02.2022

Landesarbeitsgericht Hamm zu Datenübermittlungen im Konzern

Mit Urteil vom 14.12.2021 (Az. 17 Sa 1185/20) hat das Landesarbeitsgericht (LAG) Hamm umfangreich zu den datenschutzrechtlichen Anforderungen an eine Übermittlung von Beschäftigtendaten im Konzern und damit verbundenen Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO entschieden. Im geprüften Fall kommt das LAG zu dem Ergebnis, dass die Datenübermittlung rechtswidrig ist, und billigt der Klägerin ein Schmerzensgeld in Höhe von 2.000 Euro zu.

Ausgangspunkt des Rechtsstreits war die Übermittlung von personenbezogenen Daten der Klägerin durch den beklagten Arbeitgeber, ein Krankenhaus, innerhalb eines Klinikverbunds an eine Gesellschaft zur Geschäftsführung von Krankenhausträgergesellschaften und im Krankenhausbereich tätigen Dienstleistungsgesellschaften (im Folgenden: AKG). Die AGK übernahm Aufgaben der Organisation, des Managements und des Personalcontrollings im Klinikverbund, war jedoch nicht personalverwaltende Stelle. Im Rahmen eines „Verbundweiten Personalmanagements“ übermittelte das Krankenhaus als Arbeitgeber personenbezogene Daten der Klägerin an die AKG.

Am 12.06.2019 erhob die Klägerin vor dem Landgericht Bochum Klage gegen den Arbeitgeber und die AKG und begehrte von dieser die Löschung der übermittelten Daten sowie die Zahlung von Schadensersatz für immateriellen Schaden nach Art. 82 Abs. 1 DSGVO. Das Landgericht Bochum gab dem Löschungsantrag durch Urteil vom 12.02.2020 statt. Außerdem wurden die AKG und der Arbeitgeber gesamtschuldnerisch zur Zahlung von Schadensersatz in Höhe von 8.000 Euro verurteilt.

Durch ein rechtskräftiges Urteil des OLG Hamm vom 31.08.2021 (Az.: I-9 U 56/20) wurde der Ausspruch zum Schadensersatz dahingehend geändert, dass die AKG allein zur Zahlung von 4.000 Euro verurteilt wurde.

Mit einer am 24.05.2019 beim Arbeitsgericht Herne eingegangen Klage gegen den Arbeitgeber (Az. 1 Ca 982/19) verlangte die Klägerin darüber hinaus von der Beklagten, es zu unterlassen, ihre personenbezogenen Daten an die AKG weiterzugeben. Darüber hinaus verlangte sie die Zahlung von Schadensersatz für den ihr entstandenen immateriellen Schaden. Mit Urteil vom 15.07.2020 (Az. 1 Ca 982/19) hat das Arbeitsgericht Herne dieser Klage überwiegend stattgegeben und die Beklagte zur Unterlassung und zur Zahlung von Schadensersatz in Höhe von 2.000 Euro verurteilt.

Das LAG Hamm hat nun die Berufung der Beklagten und die Anschlussberufung der Klägerin gegen das Urteil des Arbeitsgerichts Herne zurückgewiesen. Zur Begründung führt das LAG aus, dass der Klägerin ein Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten die AKG aus §§ 1004 Abs. 1 BGB, 823 Abs. 2 Satz 1 BGB i.V.m. Art. 5 Abs. 1 lit. a) Var. 1, 6 Abs. 1 DSGVO zustehe, da die genannten Artikel der DSGVO Schutzgesetze i.S.d. § 823 Abs. 2 Satz 1 BGB seien und die Beklagte mit der Übermittlung der Daten gegen die DSGVO verstoßen habe.

Für die Übermittlung, so das LAG weiter, fehle es an einer Rechtsgrundlage nach Art. 6 Abs. 1 Buchstabe a bis f DSGVO. Es läge insbesondere keine Einwilligung vor und die Übermittlung sei auch nicht als nach § 26 BDSG erforderlich anzusehen. Ebenso lehnt das LAG ein berechtigtes Interesse an der Übermittlung ab und führt dazu aus: „Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können. […] Zudem überwiegen im Streitfall die Interessen der Klägerin die Interessen der Beklagten und der anderen Unternehmen ihrer Unternehmensgruppe.“

Bezüglich des Schadensersatzes lehnt das LAG Hamm eine Erheblichkeitsschwelle ausdrücklich ab und hält unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls, die im Urteil ausführlich dargelegt werden, ein Schmerzensgeld in Höhe von 2.000 Euro für angemessen.

Datenschutzaufsicht Baden-Württemberg: 37. Tätigkeitsbericht

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat seinen Tätigkeitsbericht für das Jahr 2021 vorlegt. Inhaltlich hat sich die Behörde im vergangenen Jahr, wenig überraschend, viel mit datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Corona-Pandemie beschäftigt. Darüber hinaus haben die Datenpannenmeldungen, die beim LfDI eingegangen sind, erneut einen Höchststand erreicht, der aus Sicht der Behörde die hohe Bedeutung von IT-Sicherheit für den Datenschutz belegt. Die Zahl der Beschwerden stagnierte hingegen auf hohem Niveau. Weitere Schwerpunkte des Berichts sind der Datenschutz als Kulturgut, Drittlandtransfers, die europäische Perspektive des Datenschutzes sowie Berichte aus der Dienststelle und über Veranstaltungen.

Internationale Nachrichten

• Frankreich: Die CNIL folgt der Einschätzung anderer europäischer Datenschutzaufsichtsbehörden und sieht den Einsatz von Google Analytics wegen einer Drittlandsübermittlung in die USA als unzulässig an.
• Finnland: Die finnische Datenschutzaufsicht hat gegen ein Reisebüro ein Bußgeld in Höhe von 6.500 Euro verhängt, weil das Unternehmen personenbezogene Daten über ein unverschlüsseltes Kontaktformular auf einer Webseite erhoben hatte. Ein weiteres Bußgeld über 52.000 Euro hat die Behörde gegen das finnische Zentrum der Kfz-Versicherer wegen der Sammlung nicht erforderlicher Patienteninformationen verhängt.
• Italien: Die italienische Datenschutzaufsicht Garante hat gegen den Energiekonzern Enel Energia wegen aggressivem Telemarketing ein Bußgeld in Höhe von etwa 26,5 Millionen Euro verhängt.

Aktuelle Gerichtsentscheidungen

• OLG Celle, Urteil vom 20.01.2022, Az. 13 U 84/19 (Volltext): Zu den Ansprüchen des Nutzers eines sozialen Netzwerks bei Löschung eines Beitrags des Nutzers und zeitweiser Sperrung des Nutzerkontos, u.a. kein Anspruch auf Schmerzensgeld nach Art. 82 DSGVO.
• OLG Köln, Urteil vom 27.01.2022, Az. 15 U 153/21 (beck-online): Berechtigtes Interesse an der Speicherung einer Restschuldbefreiung durch die SCHUFA für drei Jahre. Ausdrückliche Ablehnung der Entscheidung des OLG Schleswig vom 02.07.2021, Az. 17 U 15/21.
• VG Wiesbaden, Beschluss vom 31.01.2022, Az. 6 K 2249/18.WI (beck-online): Das VG fragt den EuGH: 1) Ist § 31 BDSG mit 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse) vereinbar? 2) Besteht eine gemeinsame Verantwortlichkeit von Auskunftei und Kreditinstitut?
• VG Wiesbaden, Beschluss vom 23.12.2021, Az. 6 K 441/21.WI (beck-online): Vorlage an den EuGH, u.a. zu Art. 78 Abs. 1 DSGVO und einem berechtigten Interesse an der Speicherung der Restschuldbefreiung durch Auskunfteien über die gesetzlichen Fristen hinaus.
• VG Wiesbaden, Urteil vom 19.01.2022, 6 K 361/21.WI (Volltext): Zur datenschutzrechtlichen Zulässigkeit der Verarbeitung von Gesundheitsdaten in Gerichtsverfahren zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
• LG Kiel, Beschluss vom 19.08.2021, Az. 10 Qs 43/21 (Volltext): Datenschutzrechtliche Wirksamkeitsvoraussetzungen bei der Einwilligung in eine strafprozessuale Ermittlungsmaßnahme (hier: Kofferraumdurchsuchung).
• LAG Hamm, Urteil vom 14.12.2021, Az. 17 Sa 1185/20 (Volltext): Die klagende Arbeitnehmerin hat Anspruch auf Unterlassung und Schmerzensgeld gemäß Art. 82 Abs. 1 DSGVO i.H.v. 2.000 Euro für eine datenschutzwidrige Übermittlung seiner Daten innerhalb eines Krankenhaus-Konzerns.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Berlin: „Safer Internet Day: Neue Unterrichtsmaterialien für Grundschulen“ – Pressemitteilung vom 08.02.2022
• Datenschutzaufsicht Sachsen-Anhalt: „Nach fünf Jahren Hängepartie: Datenschützer für Sachsen-Anhalt in Sicht“ – Bericht der Mitteldeutschen Zeitung vom 10.02.2022 wonach der derzeitige Vertreter im Amt des Datenschutzbeauftragten, Albert Cohaus, künftig der neue Landesdatenschutzbeauftragte von Sachsen-Anhalt werden soll.
• Datenschutzaufsicht Baden-Württemberg: „Tätigkeitsbericht Datenschutz 2021: Wege aus der Pandemie – zurück zur Freiheit!“ – Pressemitteilung vom 09.02.2022 (37. Tätigkeitsbericht)
• Datenschutzaufsicht Rheinland-Pfalz: „Safer Internet Day 2022 – die Macht der Daten verstehen“ – Pressemitteilung vom 08.02.2022
• Datenschutzaufsicht Baden-Württemberg: „Vorbildlich: LfDI-Tool DS-GVO.clever“ – Pressemitteilung vom 14.02.2022 (Transparenzhinweis: DS-GVO.clever wird von der Stiftung Datenschutz betreut.)