Ein Arbeitsverhältnis macht es erforderlich, dass personenbezogene Daten von Mitarbeitenden verarbeitet – also unter anderem erhoben, erfasst, gespeichert, abgefragt oder verwendet – werden. Ohne die Verarbeitung der personenbezogenen Daten wäre es nicht möglich beispielsweise die Personalakte zu führen und die Vergütung monatlich abzurechnen. Nach der Datenschutzgrundverordnung (DSGVO) braucht eine Verarbeitung von personenbezogenen Daten eine rechtliche Grundlage. Im Beschäftigtendatenschutz war § 26 Absatz 1 Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage. Fehlt es aber an einer Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten kann dies zu einem Schadensersatzanspruch gemäß Art. 82 DSGVO führen. Der Europäische Gerichtshof (EuGH) hat innerhalb kürzester Zeit zu einer Rechtsgrundlage, die § 26 BDSG inhaltlich entspricht und zu den Voraussetzungen für einen Schadensersatzanspruch für Unternehmen praxisrelevante Aussagen getroffen, die im Folgenden dargestellt werden.
1. Verarbeitung von personenbezogenen Daten im Arbeitsverhältnis
Sowohl bei der Bewerbung für ein Arbeitsverhältnis als auch bei der Aufnahme, der Durchführung und der Beendigung eines Arbeitsverhältnisses sind personenbezogene Daten allgegenwärtig. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Dabei können auch verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, personenbezogene Daten darstellen. Damit die Verarbeitung der personenbezogenen Daten rechtmäßig ist, muss sich der Arbeitgeber für die Verarbeitung auf eine rechtliche Grundlage berufen können.
Seit Mai 2018 und seit dem Wirksamwerden der DSGVO war die rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Arbeitsverhältnis in § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) zu finden. Diese Regelungen sieht vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies für die Begründung, die Durchführung oder die Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Diese Rechtsgrundlage wurde genutzt, obwohl mit der DSGVO ein einheitlicher Datenschutzstandard innerhalb der gesamten Europäischen Union eingeführt wurde. Jedoch sieht die DSGVO auch Öffnungsklauseln vor, die wie zum Beispiel Art. 88 DSGVO im Beschäftigungskontext den Anwendungsbereich für Rechtsvorschriften der einzelnen Mitgliedsstaaten eröffnen. Voraussetzung ist jedoch, dass die Rechtsvorschrift eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext ist.
Urteil des EuGH vom 30. März 2023 (C-34-21)
Am 30. März 2023 hatte der EuGH die Frage zu entscheiden, ob die Datenverarbeitung zur Durchführung eines Arbeitsverhältnisses auf § 23 Absatz 1 Satz 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) – eine Regelung, die inhaltlich § 26 Abs. 1 S. 1 BDSG entspricht – gestützt werden kann (EuGH, Urteil vom 30. März 2023 – Az.: C-34/21). Der EuGH meinte in diesem Urteil, dass § 23 Absatz 1 Satz 1 HDSIG keine wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt. Diese Ansicht des EuGH lässt sich auch auf den inhaltsgleichen § 26 Absatz 1 S. 1 BDSG übertragen. Der EuGH hatte im Wesentlichen darauf abgestellt hat, dass § 23 Absatz 1 S. 1 HDSIG (und folglich auch § 26 Absatz 1 S. 1 BDSG) nicht die Anforderungen einer „spezifischeren Norm“ i.S.d. Art. 88 Abs. 1 DSGVO erfüllt. Wenn eine Norm nur die in Art. 6 DSGVO genannten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die in Art. 5 DSGVO angeführten Grundsätze für die Verarbeitung wiederholt und keinen Regelungsgehalt hat, der sich von den allgemeinen Regeln der DSGVO unterscheidet, kann diese Norm nicht als spezifischere Norm eingestuft werden. Die Verarbeitung der personenbezogenen Daten kann somit nicht mehr auf die rechtliche Grundlage gestützt werden.
Die Luxemburger Richterinnen und Richter haben somit im Hinblick auf § 26 Absatz 1 S. 1 BDSG europarechtliche Bedenken. Mit diesem Standpunkt weicht der EuGH im Übrigen von der älteren Rechtsprechung des Bundesarbeitsgerichts (BAG) ab. Die Richterinnen und Richter in Erfurt waren im Mai 2019 noch davon ausgegangen, dass § 26 Absatz 1 S. 1 BDSG so offenkundig europarechtskonform ist, dass für vernünftige Zweifel kein Raum geblieben ist (BAG, Beschluss vom 7. Mai 2019 – Az. 1 ABR 53/17).
Folgen dieses Urteils
Zwar ist § 26 Absatz 1 S. 1 DSGVO fortan nicht mehr geeignet, um die Verarbeitung personenbezogener Daten im Beschäftigungskontext zu rechtfertigen. In der Sache wird sich vorerst kaum etwas ändern. Nur: Anstelle von § 26 Absatz 1 S. 1 DSGVO wird Art. 6 Abs. 1 DSGVO als Rechtsgrundlage benannt werden müssen.
Daher sollten Arbeitgeber gegebenenfalls Dokumente wie Datenschutzinformationen, Verarbeitungsverzeichnisse und Einwilligungstexte zeitnah an die aktualisierte Rechtsgrundlage anpassen (lassen).
Außerdem dürften festzuhalten sein, dass § 26 Absatz 1 S. 2 DSGVO und § 26 Abs. 3 DSGVO vom Urteil des EuGH nicht betroffen sein und weiterhin als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungskontext zur Verfügung stehen.
2. Schadensersatz bei Datenschutzverstößen
Werden personenbezogene Daten verarbeitet, ohne dass für die Verarbeitung eine rechtliche Grundlage gibt, ist die Verarbeitung datenschutzrechtlich unzulässig. Der EuGH hatte sich in seinem Urteil vom 4. Mai 2023 (Urteil vom 4. Mai 2023 – 300/21) mit den Rechtsfolgen einer datenschutzrechtlichen unzulässigen Verarbeitung und insbesondere mit den Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 DSGVO beschäftigt. Das war erforderlich, da unter anderem in Deutschland, keine Einigkeit bestand, welche Tatbestandsvoraussetzungen für einen Schadensersatzanspruch erfüllt sein müssen.
EuGH: Schaden muss nachweisbar, aber nicht erheblich sein
Noch im Oktober 2022 sprach sich der Generalanwalt des EuGH in seinem Schlussantrag für eine restriktive Handhabung des Schadensersatzanspruchs aus. Der Generalanwalt vertrat die Ansicht, dass ein Schadensersatzanspruch einen nachweisbaren Schaden voraussetze, der eine gewisse Erheblichkeit habe. Für Unternehmen wäre dies ein wünschenswertes Ergebnis gewesen.
Der EuGH ist dem restriktiven Ansatz des Generalanwalts in der Sache nicht vollständig gefolgt und hat festgehalten, dass ein Verstoß gegen die Bestimmungen der DSGVO nicht zwingend zu einem Schadensersatzanspruch führt (EuGH, Urt. v. 04.05.2023 – Az.: C-300/21). Voraussetzung für einen Schadensersatzanspruch nach Art. 82 DSGVO ist, dass ein materieller oder immaterieller Schaden sowie ein ursächlicher Zusammenhang zwischen Datenschutzverstoß und Schaden nachgewiesen werden können. Anderseits hat der EuGH in dem Urteil vom 4. Mai 2023 auch festgehalten, dass ein Schadensersatzanspruch nach Art. 82 DSGVO nicht davon abhängig ist, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
Folgen dieses Urteils
Mit dem Urteil vom 4. Mai 2023 hat der EuGH für Rechtsklarheit im Zusammenhang mit dem Schadensersatzanspruch nach Art. 82 DSGVO gesorgt. Unternehmen können einem Schadensersatzbegehren nicht mehr mit der Begründung ablehnen, dass die Erheblichkeitsschwelle nicht erreicht ist. Anderseits hat der EuGH auch geklärt, dass nicht jeder Datenschutzverstoß einen Schadensersatzanspruch nach sich zieht, sondern nur dann ein Schadensersatzanspruch besteht, wenn neben dem Datenschutzverstoß auch ein Schaden entstanden ist und die Kausalität zwischen Datenschutzverstoß und Schaden besteht. Im Hinblick auf die Höhe eines Schadensersatzanspruchs hat der EuGH zudem ergänzt, dass die Entschädigung im Rahmen des Art. 82 DSGVO als vollständig und wirksam anzusehen ist, wenn der aufgrund des Verstoßes gegen die DSGVO konkret erlittene Schaden in vollem Umfang ausglichen ist. Die Verhängung von Strafschadenersatz ist in diesem Zusammenhang aber nicht erforderlich.
Weitere Beiträge zum Thema: