DSGVO-Schock: Schadensersatz für Arbeitnehmer wegen Cloud-Daten

Die fortschreitende Digitalisierung macht auch vor dem Personalwesen nicht halt. Immer mehr Unternehmen setzen auf Cloud-Lösungen zur Speicherung und Verarbeitung von Mitarbeiterdaten – von der Personalakte bis hin zu Leistungsdaten. Doch die Bequemlichkeit moderner Technologien darf nicht dazu führen, datenschutzrechtliche Pflichten außer Acht zu lassen. Ein aktuelles und richtungsweisendes Urteil des Bundesarbeitsgerichts (BAG) hat nun die Brisanz dieses Themas unterstrichen: Wenn Arbeitgeber Arbeitnehmerdaten in der Cloud speichern, die über das zulässige Maß hinausgehen, kann dies direkte Schadenersatzansprüche nach der Datenschutz-Grundverordnung (DSGVO) auslösen.

Der konkrete Fall vor dem Bundesarbeitsgericht (Az. 8 AZR 217/23)

Dem Urteil lag der Fall eines Arbeitnehmers zugrunde, dessen Daten von seinem Arbeitgeber in einer Cloud-Anwendung verarbeitet wurden. Solche Cloud-Anwendungen, oft im Ausland gehostet, bieten vielfältige Funktionen für die Personalverwaltung. Das Problem in diesem spezifischen Fall war jedoch, dass die Art und der Umfang der in die Cloud hochgeladenen Daten über das hinausgingen, was durch eine vorhandene Betriebsvereinbarung zur Nutzung der Software abgedeckt war. Eine solche Betriebsvereinbarung regelt üblicherweise detailliert, welche Daten zu welchem Zweck und in welchem Umfang verarbeitet werden dürfen, gerade bei der Einführung neuer IT-Systeme, die personenbezogene Daten verarbeiten.

Weder gab es eine ausdrückliche Zustimmung des Betriebsrats zu dieser erweiterten Datenverarbeitung in der Cloud, noch lag eine wirksame Einwilligung des betroffenen Arbeitnehmers vor. Auch eine andere gesetzliche Grundlage für die weitergehende Datenverarbeitung fehlte. Der Arbeitnehmer sah in dieser unerlaubten und übermäßigen Speicherung seiner Daten in der Cloud einen schwerwiegenden Eingriff in sein Recht auf informationelle Selbstbestimmung und damit einen Verstoß gegen die DSGVO. Er forderte daher Schadenersatz nach Artikel 82 DSGVO.

Artikel 82 DSGVO: Das Recht auf Schadenersatz

Artikel 82 der DSGVO ist eine zentrale Vorschrift für den Schutz der Betroffenenrechte. Er gibt jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, das Recht, von dem Verantwortlichen (in diesem Fall dem Arbeitgeber) oder Auftragsverarbeiter Schadenersatz zu verlangen.

• Materieller Schaden: Hierunter fallen konkrete finanzielle Einbußen, die direkt durch den Datenschutzverstoß entstanden sind.
• Immaterieller Schaden: Dieser Begriff ist weiter gefasst und umfasst nicht-finanzielle Nachteile, wie z. B. erlittene Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung, der Verlust der Kontrolle über die eigenen personenbezogenen Daten oder die Einschränkung von Rechten, erlittene Diskriminierung, Nichtigerklärung eines Dokuments, unbefugte Offenlegung oder sonstige unbefugte Verarbeitung personenbezogener Daten, wenn diese zu erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffene Person führen. Auch bloße Unannehmlichkeiten, Kontrollverlust über die eigenen Daten oder das Gefühl der Überwachung können unter bestimmten Umständen einen immateriellen Schaden darstellen, auch wenn die Rechtsprechung hierzu noch in Entwicklung ist und das BAG in diesem speziellen Fall die Höhe des immateriellen Schadens noch von der Vorinstanz klären ließ.

Der besondere Wert des BAG-Urteils liegt darin, dass es grundsätzlich bejaht hat, dass ein unberechtigter Upload von Arbeitnehmerdaten in die Cloud einen DSGVO-Verstoß darstellt, der einen Anspruch auf immateriellen Schadenersatz nach Artikel 82 DSGVO begründen kann.

Die wegweisende Entscheidung und ihre Begründung

Das Bundesarbeitsgericht stellte klar, dass die Speicherung der über die Betriebsvereinbarung hinausgehenden Daten in der Cloud ohne die notwendige Rechtsgrundlage einen eindeutigen Verstoß gegen die Prinzipien der DSGVO darstellt, insbesondere gegen das Prinzip der Rechtmäßigkeit der Verarbeitung (Artikel 6 DSGVO) und der Zweckbindung (Artikel 5 Abs. 1 lit. b DSGVO).

Das Gericht betonte, dass die Verarbeitung personenbezogener Daten, wozu auch die Speicherung zählt, immer einer expliziten gesetzlichen Erlaubnis, einer wirksamen Einwilligung des Betroffenen oder einer anderen in der DSGVO genannten Rechtsgrundlage bedarf. Eine Betriebsvereinbarung kann eine solche Rechtsgrundlage darstellen, aber nur in dem Umfang, den sie konkret regelt. Eine eigenmächtige Ausweitung der Datenverarbeitung durch den Arbeitgeber, die über die Vereinbarungen hinausgeht, ist unzulässig.

Die Tatsache, dass die Daten in der Cloud eines externen Dienstleisters gespeichert wurden, oft außerhalb der direkten Kontrolle des Arbeitgebers und möglicherweise sogar außerhalb der EU, erhöht zudem die datenschutzrechtlichen Risiken und die Anforderungen an die Sorgfaltspflicht des Arbeitgebers.

Was bedeutet das Urteil konkret für Arbeitgeber?

Das Urteil des BAG ist eine eindringliche Mahnung an alle Arbeitgeber:

1. Prüfung der Rechtsgrundlage: Jeder einzelne Datenverarbeitungsvorgang mit Arbeitnehmerdaten muss auf einer soliden Rechtsgrundlage basieren. Verlassen Sie sich nicht blind auf bestehende Prozesse, sondern überprüfen Sie diese regelmäßig, insbesondere bei der Einführung neuer Software oder Dienste.
2. Umfang der Verarbeitung: Definieren Sie klar, welche Daten für welchen spezifischen Zweck benötigt werden und verarbeiten Sie keine "auf Vorrat". Das Prinzip der Datenminimierung (Artikel 5 Abs. 1 lit. c DSGVO) ist hier entscheidend.
3. Betriebsvereinbarungen aktualisieren und einhalten: Bestehende Betriebsvereinbarungen zur IT-Nutzung und Datenverarbeitung müssen aktuell und umfassend sein. Vor allem aber müssen sie strikt eingehalten werden. Planen Sie eine weitergehende Datenverarbeitung, die nicht abgedeckt ist, suchen Sie das Gespräch mit dem Betriebsrat und schließen Sie eine ergänzende Vereinbarung.
4. Datenschutz-Folgenabschätzung (DSFA): Bei der Einführung neuer Technologien wie Cloud-Systemen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der Mitarbeiter darstellen, ist eine DSFA (Artikel 35 DSGVO) obligatorisch.
5. Auftragsverarbeitung regeln: Wenn Sie Cloud-Dienstleister nutzen, handelt es sich oft um Auftragsverarbeitung. Hierfür ist ein schriftlicher Vertrag nach Artikel 28 DSGVO zwingend erforderlich, der die Pflichten des Dienstleisters im Hinblick auf den Datenschutz genau regelt.
6. Transparenz gegenüber Mitarbeitern: Informieren Sie Ihre Mitarbeiter umfassend darüber, welche ihrer Daten in welchem System zu welchem Zweck verarbeitet werden.
7. Schulung der Mitarbeiter: Sensibilisieren und schulen Sie Ihre Mitarbeiter, die mit personenbezogenen Daten umgehen, für die Anforderungen des Datenschutzes.

Die Nichtbeachtung dieser Punkte kann nicht nur zu Schadenersatzforderungen durch Arbeitnehmer führen, sondern auch zu empfindlichen Bußgeldern durch die Aufsichtsbehörden.

Ihre Rechte als Arbeitnehmer

Auch als Arbeitnehmer haben Sie das Recht, dass Ihre personenbezogenen Daten am Arbeitsplatz datenschutzkonform verarbeitet werden. Das BAG-Urteil stärkt Ihre Position erheblich. Wenn Sie Grund zu der Annahme haben, dass Ihr Arbeitgeber Ihre Daten unrechtmäßig speichert oder verarbeitet, insbesondere in Cloud-Systemen, haben Sie das Recht auf:

• Auskunft: Sie können Auskunft darüber verlangen, welche Daten Ihr Arbeitgeber über Sie speichert und verarbeitet (Artikel 15 DSGVO).
• Berichtigung und Löschung: Sie haben das Recht auf Berichtigung unrichtiger Daten und unter bestimmten Voraussetzungen auf Löschung Ihrer Daten (Artikel 16, 17 DSGVO).
• Einschränkung der Verarbeitung: Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird (Artikel 18 DSGVO).
• Widerspruch: Unter bestimmten Bedingungen können Sie der Verarbeitung Ihrer Daten widersprechen (Artikel 21 DSGVO).
• Schadenersatz: Wenn Ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist, haben Sie Anspruch auf Schadenersatz nach Artikel 82 DSGVO.
• Beschwerde bei der Aufsichtsbehörde: Sie können sich jederzeit mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde wenden (Artikel 77 DSGVO).

Wir stehen Ihnen zur Seite

Die rechtlichen Rahmenbedingungen für den Datenschutz im Arbeitsverhältnis sind komplex. Sowohl Arbeitgeber, die rechtssichere Lösungen implementieren möchten, als auch Arbeitnehmer, die ihre Datenschutzrechte wahren wollen, benötigen oft kompetente rechtliche Beratung. Als Fachanwalt für Urheber- und Medienrecht sowie für Informationstechnologierecht verfügt Herr Rechtsanwalt Christian Kramarz, LL.M., über 15 Jahre Berufserfahrung und fundiertes Wissen im Bereich des Datenschutzes und IT-Rechts.

Die Kanzlei Kramarz berät und vertritt Mandanten bundesweit in allen Fragen rund um den Datenschutz am Arbeitsplatz und darüber hinaus.

Nutzen Sie unsere kostenlose telefonische Erstberatung

Haben Sie konkrete Fragen zu diesem BAG-Urteil, zur Cloud-Nutzung im Personalwesen oder zu Ihren individuellen Rechten und Pflichten im Bereich Datenschutz am Arbeitsplatz? Zögern Sie nicht, uns zu kontaktieren. Wir bieten Ihnen gerne eine kostenlose telefonische Erstberatung an, um Ihre Situation unverbindlich einzuschätzen und erste Handlungsempfehlungen zu geben.