"Gefahr des Datenmissbrauchs" als immaterieller Schaden im Sinne des Art. 82 DSGVO?

I. Einleitung

Mit seinem “Schrems II”- Urteil vom 16.07.2020, Az.: C-311/18 erklärte der EuGH das EU-US Privacy Shield für ungültig, da der Privacy Shield-Beschluss nicht die Anforderungen erfülle, um nach dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit gleichwertigen Datenschutz zu gewährleisten. Die Übermittlung von Daten in die USA ist seitdem nur noch bei Einhaltung der Vorgaben für die Datenübermittlung in Drittländer nach der DSGVO zulässig. Nach Art. 82 Abs. 1 DSGVO hat derjenige Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter, dem wegen eines Verstoßes gegen die Vorgaben der DSGVO ein (im)materieller Schaden entsteht, wobei alle an einer Verarbeitung beteiligten Verantwortlichen für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, haften. Das LAG Baden-Württemberg befasste sich in diesem Zusammenhang mit der praxisrelevanten Frage, ob die rechtswidrige Datenübermittlung in Länder, die ein nicht ausreichendes Datenschutzniveau bieten, auch vor Geltung der DSGVO geeignet ist, einen Schadensersatzanspruch nach Art. 82 Abs. 2 S. 1 DSGVO zu begründen. Weiter prüfte das LAG auch, ob eine vor Inkrafttreten der DSGVO erfolgte rechtswidrige Datenverarbeitung eine sich später anschließende rechtmäßige Datenverarbeitung „infizieren“ kann und welche Anforderungen an das Vorliegen eines Schadens zu stellen sind.

II. Sachverhalt

Der Kläger ist Arbeitnehmer der Beklagten, bei der es sich um die deutsche Tochtergesellschaft eines US-Konzerns handelt. Im Jahr 2017 kündigte der Mutterkonzern an, ein konzernweites Personalverwaltungssystem einführen zu wollen und schloss mit dem Betriebsrat eine „Duldungsbetriebsvereinbarung“ bezüglich der begrenzten Datenübertragung im Testbetrieb ab, wobei es in diesem Zusammenhang auch zu Datenübertragungen in die USA kommen sollte. Der Kläger behauptete, dass die Beklagte neben den in der Duldungsvereinbarung vorgesehenen Daten weitere personenbezogene Daten in die USA übermittelt habe. Einen Tag vor Inkrafttreten der DSGVO am 25. Mai 2018 schloss die Beklagte dann EU-Standardvertragsklauseln zur Gewährleistung des Datenschutzes mit der Muttergesellschaft ab.

Der Kläger verlangte als Arbeitnehmer der Beklagten Ersatz des seiner Meinung nach aus der Datenübermittlung in die USA und der damit einhergehenden Datenverarbeitung in einem Drittland verursachten immateriellen Schadens nach Art. 82 DSGVO. Bei dem Schaden handele es sich um die bezüglich seiner Daten permanent bestehende Gefahr des Missbrauchs durch amerikanische Ermittlungsbehörden und den daraus resultierenden Kontrollverlust über seine Daten.

Nachdem das ArbG Ulm die Klage abgewiesen hatte, legte der Kläger Berufung ein.

III. Entscheidung

Das LAG Baden-Württemberg war der Ansicht, dass der Kläger lediglich nachzuweisen habe, dass die Beklagte an einer Datenverarbeitung beteiligt war, während es der Beklagten oblegen habe, zu beweisen, dass die Datenverarbeitung in zulässiger Weise erfolgt sei.
Die Datenübermittlung in die USA vor Inkrafttreten der DSGVO komme als schadensersatzbewährter Verordnungsverstoß jedoch nicht in Betracht, da die Datenübermittlung mit der vor Inkrafttreten der DSGVO erfolgten Speicherung der Daten bei der Konzernmutter bereits beendet gewesen sei. Die sich nach Inkrafttreten der DSGVO anschließende fortgesetzte Speicherung der Daten in den USA sei von den von der Beklagten mit der Konzernmutter abgeschlossenen EU-Standardvertragsklauseln gedeckt gewesen. Einzig die über die abgeschlossene Duldungsbetriebsvereinbarung hinausgehende „überschießende Datenverarbeitung“ im Testbetrieb stelle einen Verordnungsverstoß dar.

Das LAG führte aus, dass der Vortrag des Klägers für die Begründung eines immateriellen Schadens grundsätzlich geeignet sei, da es zu einer Datenübermittlung in ein Land gekommen sei, welches über kein nach der DSGVO ausreichendes Datenschutzniveau verfüge und keinen Schutz von personenbezogenen Daten gegenüber den dortigen Behörden garantiere, sodass sich der Kläger einer permanenten Missbrauchsgefahr bezüglich seiner Daten durch dortige Ermittlungsbehörden, die Beklagte und andere Gesellschaften des Konzerns ausgesetzt gesehen habe. Ein Datenabfluss führe in jedem Fall zu einem immateriellen Schaden. Auch liege ein Schaden darin, dass sich der Kläger einer Bloßstellung seiner Person gegenüber anderen (unberechtigten) Personen und Institutionen ausgesetzt gesehen habe, was umso mehr gelte, als der Kläger über einen verhältnismäßig langen Zeitraum in einen Stand der Unsicherheit versetzt worden sei. Es sei nicht klar, wer in den USA Zugriff auf die Daten des Klägers gehabt habe. Dieser klägerische Kontrollverlust sei grundsätzlich geeignet, einen auszugleichenden immateriellen Schaden zu bilden. Zuvor hatte das ArbG Ulm noch festgestellt, dass die bloße abstrakte Gefahr, dass in den USA Ermittlungsbehörden möglicherweise auf die Daten zugreifen könnten, sodass der Kläger befürchten müsse, damit bei einem späteren Aufenthalt in den USA konfrontiert zu werden, nicht genüge, um das Vorliegen eines immateriellen Schadens zu begründen.

Der Anspruch des Klägers müsse jedoch daran scheitern, dass der vom Kläger monierte Schaden – die Datenübertragung in die USA – nicht der überschießenden Datenverarbeitung unter Verstoß gegen die Duldungsvereinbarung zugeordnet werden könne. Es genüge nicht, dass der Schaden durch eine Verarbeitung entstehe, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß komme, da der Schaden „wegen eines Verstoßes gegen die Datenschutzgrundverordnung“ und damit unter Verstoß gegen Kapitel 5 der DSGVO oder Art. 28 DSGVO entstanden sein müsse. Ein Schadensersatzanspruch gem. Art. 82 DSGVO bestehe deswegen nicht, wenn zum Zeitpunkt der rechtswidrigen Datenverarbeitung die DSGVO noch nicht anwendbar war.

IV. Fazit

Die Argumentation des LAG ist – trotz der noch nicht eingetretenen Rechtskraft der Entscheidung – für die Praxis bereits jetzt interessant. Das LAG nimmt eine Beweislastumkehr dahingehend vor, dass der klagende Arbeitnehmer lediglich zu beweisen hat, dass sein Arbeitgeber für eine Datenverarbeitung verantwortlich war. Der Arbeitgeber hat im Anschluss zu beweisen, dass diese Datenverarbeitung in zulässiger Weise erfolgte. Im Vergleich zur erstinstanzlichen Entscheidung des ArbG nimmt das LAG zudem eine Ausweitung der Haftung vor, indem es bereits eine abstrakte Gefährdung personenbezogener Daten für das Vorliegen eines immateriellen Schadens ausreichen lässt. Ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO soll die fortgesetzte Datenverarbeitung nach Inkrafttreten der DSGVO aber nicht „infizieren können“.
Deutlich wird auch, dass die Datenübermittlung in Drittstaaten grundsätzlich auch nach Ergehen des „Schrems II“-Urteils durch die Verwendung von EU-Standardvertragsklauseln abgesichert werden kann. Den Erwägungen des EuGH in Sachen „Schrems II“ hat die EU-Kommission durch Veröffentlichung der neuen Standardvertragsklauseln am 7. Juni 2021 Rechnung getragen.