Konzernprivileg bei Datenübermittlungen?
Sachverhalt
Die Klägerin war seit dem 1. Oktober 2018 bei der beklagten Krankenhausgesellschaft beschäftigt. Die Krankenhausgesellschaft gehört einem Krankenhaus-Konzern an. Bei der Arbeitgeberin besteht eine eigene Personalabteilung. In dem Arbeitsvertrag der Klägerin ist der folgende Absatz enthalten: „Die Arbeitnehmerin ist darüber informiert, dass ihre personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses erhoben, gespeichert und genutzt werden". Veranlasst durch eine andere Konzerngesellschaft sollte es zu einer Erhebung über bestimmte Vergütungen und Vertragsabschlüsse im Konzern kommen. Dabei ging es um in der Vergangenheit liegende Abschlüsse oder Änderungen von Arbeitsverträgen mit außertariflichen Inhalten oberhalb eines Brutto-Jahresgehaltes von EUR 80.000, sowie von Zielvereinbarungen mit Tantiemen bei Tarifangestellten oder AT-Angestellten mit einem Brutto-Jahreswert oberhalb von EUR 5.000. Zu diesem Zweck gab die Arbeitgeberin Arbeitnehmerdaten ohne die Einwilligung ihrer Arbeitnehmer an die Konzern-Gesellschaft weiter. Weitergegeben wurden Namen und Vornamen, Einstellungsdaten, Arbeitsverträge, das Jahres-Bruttogehalt, Regelungen zu Tantiemen und sonstigen Leistungen. Die betroffenen Arbeitnehmer wurden nicht vorab über die Übermittlung ihrer Daten informiert und ihnen wurde keine Gelegenheit zur Stellungnahme eingeräumt.
Die Klägerin beanstandete die Datenübermittlung. Diese sei nicht gerechtfertigt gewesen und zumindest in dem vorgenommen Umfang nicht erforderlich gewesen. Für die Erreichung des von der Arbeitgeberin und des Konzerns angegebenen Ziels – Schaffung einer einheitlichen Vergütungsstruktur – sei auch eine anonymisierte Weitergabe ausreichend gewesen. Die beklagte Arbeitgeberin hielt die konzerninterne Datenübermittlung für zulässig, da sie ein berechtigtes Interesse an der Übermittlung habe.
Die Klägerin klagte gegen die Weitergabe im Konzern. Sie machte Unterlassungs- und Schadensersatzansprüche geltend. Das Arbeitsgericht Herne gab ihr Recht. Der Unterlassungsklage wurde vollständig und die Forderung zum Ersatz immateriellen Schadens in Höhe von EUR 2.000 stattgegeben. Beide Parteien legten Berufung ein.
Entscheidung
Die Berufung wurde durch das LAG als unbegründet zurückgewiesen. Das Gericht erkannte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die andere Konzerngesellschaft an. Der Anspruch folgt aus § 1004 Abs.1 BGB, § 823 Abs.2 Satz 1 BGB i.V.m. Art. 5 Abs.1 lit a Var.1. Art 6 DSGVO. Die verarbeiteten Daten seien personenbezogene Daten im Sinne der DSGVO. Der Datentransfer sei weder nach Art. 6 Absatz 1 lit f) DSGVO noch nach § 26 Abs. 1 BDSG gerechtfertigt. Nach § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigte erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind.
Grundsätzlich bestünde zwar ein berechtigtes Interesse der Beklagten an der Übermittlung der Gehaltsdaten der Klägerin. Die Verarbeitung der Daten solle einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten außertariflichen Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, sei ein berechtigtes wirtschaftliches Interesse i.S.d. Vorschrift. Zur Zweckerreichung wäre es jedoch ausreichend gewesen nur die Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion und seiner Organisationseinheit zu übermitteln. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft) seien hingegen in diesem Sinne nicht erforderlich gewesen.
Den Einwand der Beklagten, dass eine eigeschränkte Datenübermittlung nicht zielführend sei und aufgrund der Größe des betroffenen Personenkreises eine Zuordnung auch im Falle der anonymisierten Weitergabe möglich gewesen wäre, hielt das Gericht für unzutreffend. Der betroffenen Personenkreis von 156 Mitarbeitern sei nicht so klein, dass eine Zuordnung zur Klägerin (21 Mitarbeiter aus ihrer Krankenhausgesellschaft) ohne weiteres möglich wäre. Eine anonymisierte Übermittlung wäre ein geringerer Eingriff in die Rechte der Klägerin gewesen und somit als milderes Mittel vorzugswürdig. Die Beklagte sei zudem der Verpflichtung zur Unterrichtung der Klägerin über die Datenweiterleitung nicht in dem erforderlichen Maß nachgekommen und habe ihr keine Gelegenheit zur Stellungnahme eingeräumt. Die Beklagte habe den Grundsatz der Transparenz nicht gewahrt.
Darüber hinaus habe die Klägerin auch einen Anspruch auf Schadensersatz. Der Klägerin sei ein immaterieller Schaden entstanden. Es bestünde auch die erforderliche Wiederholungsgefahr. Ein Anspruch von EUR 2000 sei angemessen.
Praxishinweis
Fragen im Zusammenhang mit der Weitergabe von Daten im Konzern beschäftigen Unternehmen in der Praxis immer wieder. Viele Verantwortliche gehen dabei davon aus, dass ein Austausch von Daten innerhalb des Konzerns immer durch ein berechtigtes Interesse gedeckt ist. Die DSGVO kennt jedoch kein Privileg für Konzerne, das einen Transfer personenbezogener Daten von einer Gesellschaft zu einer anderen Gesellschaft innerhalb eines Konzerns weniger strengen Auflagen unterwirft. Vielmehr gelten auch in diesem Verhältnis die allg. Regelungen von DSGVO bzw. BDSG.
Das Urteil – sowie bereits mehrere andere Urteile in der Vergangenheit – zeigen das Gerichte zunehmend auf Verstöße von Unternehmen gegen Datenschutzvorschriften mit Schadensersatzansprüchen reagieren. Für Arbeitgeber sollte immer deutlicher werden, dass sie den Datenschutz in der Unternehmenspraxis ernst nehmen müssen und insbesondere vorsichtig bei der Datenübermittlung innerhalb des Konzerns sein müssen.
Artikel als PDF speichern