Unzulässige Datenverarbeitung im Konzern – Eine solche kann auch zur Verwirklichung eines Schadensersatzanspruches nach Art.82 DSGVO führen.
Das Landesarbeitsgericht Hamm hat in seinem Urteil vom 14. Dezember 2021 (Az.: 17 Sa 1185/20) einen Unterlassungsanspruch wegen Verarbeitungsvorgängen von personenbezogenen Daten und einen Schadensersatzanspruch einer Beschäftigten gegen einen Krankenhausbetreiber zu bewerten und darüber im Berufungsverfahren zu entscheiden.
Hintergrund war die nach Ansicht der Beschäftigten unberechtigte Verarbeitung unter anderem von Namen und Vergütung ohne eine Anonymisierung bzw. Pseudonymisierung.
Neben den umfassenden Ausführungen zur rechtlichen Bewertung der konkrete vorgenommen Datenverarbeitungsvorgängen im Konzern und bei einer für diese Aktivitäten zuständigen Gesellschaft, musste das Gericht auch den geltend gemachten Schadensersatzanspruch nach Art.82 DSGVO zu entscheiden.
Das Berufungsgericht folgte der Ansicht des Arbeitsgerichts und sprach für den Vorgang bzw. die erfolgte unberechtigte Verarbeitung von personenbezogenen Daten einen Betrag in Höhe von 2.000 EUR zu. Das Gericht sah eine Unzulässige Datenverarbeitung im Konzern.
Entscheidung des Gerichts
Das Gericht begründet in den Entscheidungsgründen unter anderem wie folgt:
„…Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren….Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch – jedenfalls bis zur Löschung der Daten durch die AKG – geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen….“