Daten von Mitarbeitern dürfen ohne hinreichende Rechtsgrundlage nicht einfach weitergegeben werden – auch nicht innerhalb eines Unternehmensverbundes. Mit dieser Entscheidung hat das Landesarbeitsgericht Hamm
einer Klägerin Recht gegeben, die sich dagegen zur Wehr setzte, dass ihr Arbeitsvertrag inklusive aller Personaldaten an eine Konzerngesellschaft übermittelt worden war (Az.: 17 Sa 1185/20).  

Die Betreiberin eines Klinikverbundes wurde von einer konzerneigenen Managementgesellschaft aufgefordert, ihr die Personaldaten der Mitarbeitenden zu übermitteln. Die Konzerngesellschaft hatte die Geschäftsführung für mehrere Konzernunternehmen übernommen. Dazu gehörte das Personalcontrolling, jedoch nicht die Personalverwaltung.

Die Managementgesellschaft hatte zum Beispiel „einen Zustimmungsvorbehalt bei Abschluss oder Änderungen von Arbeitsverträgen“ für Arbeitsverträge mit einem Bruttojahresgehalt von über 80.000 EUR vereinbart. Um eine Übersicht über den Status quo der existierenden Arbeitsverträge zu bekommen, forderte sie daher Daten der Beschäftigten bei der Klinikbetreiberin an.

Die gewünschten Informationen wurden der Managementgesellschaft zugeleitet. Weder anonymisiert noch pseudonymisiert, noch abgesprochen mit den Beschäftigten, gab die Beklagte etwa Name, Vorname, Personalnummer, Arbeitsverträge, Gehälter oder auch Ansprüche auf Prämien und Tantiemen weiter. Gleichzeitig mit der Übermittlung wurde die Klägerin informiert.

Die Klägerin, eine Mitarbeiterin mit einem außertariflichen Arbeitsvertrag, verlangte von der Managementgesellschaft Löschung der übermittelten Daten und Schadensersatz. Die Klage hatte Erfolg. Die Daten mussten gelöscht werden und in der Berufung wurden ihr vom Oberlandesgericht Hamm gemäß Art. 82 Abs. 1 DSGVO 4.000,00 EUR Schadensersatz zugesprochen (OLG Hamm, 31.08.2021 – I-9 U 56/20).

Auch gegen ihre Arbeitgeberin klagte die Mitarbeiterin. Sie forderte, künftig eine Datenübermittlung zu unterlassen und Schadensersatz für die bereits erfolgte Übermittlung. Die Klage vor dem Arbeitsgericht Herne hatte Erfolg. Der Klägerin wurden dabei 2.000 Euro Schadenersatz zugesprochen. Die Arbeitgeberin nutzte die Möglichkeit der Berufung und scheiterte.

Das Landesarbeitsgericht (LAG) Hamm stellte eine Verletzung des Datenschutzes fest. Im Zentrum der Argumentation stand die Übermittlung der Daten mit Klarnamen sowie die mangelnde Gelegenheit der Mitarbeiterin, Einspruch erheben zu können gegen eine Datenweitergabe.

Rechtsgrund nötig, Grundsatz der Datenminimierung beachten

Wie es in der Begründung weiter heißt, war sie Datenübermittlung im Streitfall “zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich” i.S.d. Vorgaben von § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Schließlich sei die Managementgesellschaft, die die Daten bekommen habe, “keine Personalabteilung oder personalverwaltende Stelle der Beklagten”, sondern kümmere sich lediglich um Personalcontrolling und Organisationsfragen. Eine Datenverarbeitung sei aber, so die Richter weiter, nach den Vorgaben Art. 6 Abs. 1 Buchstabe f DSGVO nur notwendig, “wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen”. Und gegen diesen Grundsatz habe man hier verstoßen.

Zwar sei es legitim, dass der Klinikverbund anhand von Vergleichsdaten eine konzernweit einheitliche Vergütungsstruktur entwickeln wolle, so die Richter weiter: “Dieses berechtigte Interesse könnte allerdings in gleicher Weise verwirklicht werden, wenn die Daten in geringerem Umfang und in pseudonymisierter Form verarbeitet worden wären.”  Insofern habe die Datenübermittlung “nicht dem Grundsatz der Datenminimierung” entsprochen

Last but not least hätte die Arbeitgeberin die Beschäftigte rechtzeitig von der Übermittlung ihrer Daten informieren (Grundsatz der Transparenz gemäß Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) müssen, damit die Klägerin ggf. Einspruch hätte gegen die Weitergabe erheben können.

Urteil des Landesarbeitsgerichts Hamm vom 14.12.2021 (Az.: 17 Sa 1185/20).

Wegen grundsätzlicher Bedeutung “zur Auslegung und Anwendung der DSGVO” wurde Revision zum Bundesarbeitsgericht zugelassen. Der Fall ist dort bereits anhängig (Az.: 2 AZR 81/22).

Aktuelle Beiträge

BetriebsratsPraxis24 Newsletter
Holen Sie sich noch mehr Input für Ihre Betriebsratsarbeit.
Jetzt anmelden »
Jetzt abonnieren »
BetriebsratsPraxis24 Newsletter