{"id":57933,"date":"2021-05-05T07:14:14","date_gmt":"2021-05-05T05:14:14","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=57933"},"modified":"2021-05-05T02:15:25","modified_gmt":"2021-05-05T00:15:25","slug":"geldentschaedigung-dsgvo-konkreter-schaden","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/geldentschaedigung-dsgvo-konkreter-schaden\/","title":{"rendered":"Anspruch auf Geldentsch\u00e4digung nach Art. 82 DSGVO setzt Eintritt eines konkreten Schadens voraus"},"content":{"rendered":"
\"Daten\u00fcbermittlung
WrightStudio – stock.adobe.com<\/figcaption><\/figure>\n

Mit Urteil vom 25.05.2021 hat das Landesarbeitsgericht Baden-W\u00fcrttemberg (LArbG) entschieden, dass ein Versto\u00df gegen die Bestimmungen des 5. Kapitels der Datenschutzgrundverordnung (Art. 44 ff. DSGVO<\/a>) dann nicht vorliegt, wenn personenbezogene Daten von Besch\u00e4ftigten vor der Einf\u00fchrung der DSGVO am 25. Mai 2018 an ein Mutterkonzern in ein Drittland \u00fcbermittelt wurden. <\/em><\/p>\n

Au\u00dferdem kommt eine Geldentsch\u00e4digung wegen eines immateriellen Schadens gem\u00e4\u00df Art. 82 DSGVO<\/a> im Zusammenhang mit der Daten\u00fcbermittlung und weitergehenden Verarbeitungen von personenbezogene f\u00fcr den Betroffenen nicht in Betracht, sofern kein konkreter Schaden entstanden ist. <\/em><\/p>\n

Daten\u00fcbermittlung durch den Arbeitgeber<\/h2>\n

Die Parteien streiten \u00fcber einen immateriellen Schadensersatzanspruch<\/a> im Zusammenhang mit der \u00dcbermittlung von personenbezogenen Daten des Kl\u00e4gers an die vormalige Konzernmutter der Beklagten in den Vereinigten Staaten von Amerika (USA).<\/p>\n

Der Kl\u00e4ger ist seit 1984 bei der Beklagten angestellt. Sie betreibt ein Unternehmen der Zahnmedizintechnik, welches seit mehr als 10 Jahren zu einem Konzern, mit Hauptsitz in den USA, geh\u00f6rt. Die Beklagte verarbeitet personenbezogene Daten ihrer Besch\u00e4ftigten insbesondere, aber nicht ausschlie\u00dflich zu Abrechnungszwecken mittels SAP-Software. Darin speichert die Beklagte unter anderem Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, das Alter, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID ihrer Besch\u00e4ftigten.<\/p>\n

Im Jahr 2017 \u2013 vor Einf\u00fchrung der Datenschutz-Grundverordnung<\/a> \u2013 begannen Planungen f\u00fcr den gesamten Konzern das cloudbasierte Personalinformationsmanagementsystem \u201eWorkday\u201c einzuf\u00fchren. Unter Bezugnahme auf \u00a7 34 des Bundesdatenschutzesetzes aF (BDSG) forderte der Kl\u00e4ger die Beklagte auf, zu allen zu seiner Person gespeicherten Daten Auskunft zu geben. Daraus ergab sich, dass die Beklagte aus SAP personenbezogene Daten des Kl\u00e4gers auf eine Sharepoint-Seite des Konzerns \u00fcbermittelte, um mit diesen Daten \u201eWorkday\u201c zu bef\u00fcllen. Daraufhin machte der Kl\u00e4ger geltend, die Beklagte sei datenschutzrechtlich<\/a> nicht befugt gewesen, personenbezogene Daten des Kl\u00e4gers in das System \u201eWorkday\u201c auf eine dem Mutterkonzern geh\u00f6rende Sharepoint-Seite in die USA zu \u00fcbertragen, weshalb dem Kl\u00e4ger ein Anspruch auf Ersatz des immateriellen Schadens zustehe. Denn die Beklagte habe datenschutzrechtlich sensible Daten des Kl\u00e4gers \u00fcbermittelt, wozu die Beklagte nicht berechtigt gewesen sei. Der Abfluss der Daten f\u00fchre daher in jedem Fall zu einem immateriellen Schaden, der sowohl in einem Blo\u00dfstellungseffekt als auch in der Gefahr des Missbrauchs der Daten liegen k\u00f6nne.<\/p>\n

Daten\u00fcbermittlung in ein Drittland nur unter bestimmten Voraussetzungen<\/h2>\n

Eine Daten\u00fcbermittlung in ein Drittland ist nur unter Einhaltung der in Kapitel 5 der DSGVO genannten Anforderungen zul\u00e4ssig, die in der Praxis jedoch nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Daten\u00fcbermittlung dennoch, so liegt ein Versto\u00df gegen die Bestimmungen der DSGVO vor. Dieser Versto\u00df kann dann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO<\/a> f\u00fchren. Danach hat jede Person, der wegen eines Versto\u00dfes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweisen kann, dass er in keinerlei Hinsicht f\u00fcr den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.<\/p>\n

Art. 82 DSGVO<\/a> setzt konkreten Schaden voraus<\/h2>\n

Das Landesarbeitsgericht Baden-W\u00fcrttemberg (LAG Baden-W\u00fcrttemberg, Urteil v. 25.02.2021, Az. 17 Sa 37\/20<\/a>) kam zu dem Entschluss, dass die konkreten Umst\u00e4nde hier zwar grunds\u00e4tzlich zur Begr\u00fcndung eines immateriellen Schadens nach Art. 82 DSGVO<\/a> in Betracht kommen. Allerdings lehnte das Gericht eine Haftung des Arbeitgebers ab, da es an einem konkreten Versto\u00df gegen die Bestimmungen der DSGVO fehle. Art. 82 DSGVO<\/a> fordere vielmehr, dass der Schaden \u201ewegen eines Versto\u00dfes\u201c gegen die Verordnung entstanden sei. Das setze voraus, dass der Schaden einem Verordnungsversto\u00df zugeordnet werden k\u00f6nne und somit tats\u00e4chlich eingetreten ist \u2013 woran es hier jedoch fehle.<\/p>\n

Das Gericht macht deutlich, dass der Schaden gerade durch den Rechtsversto\u00df entstanden sein m\u00fcsse. Es gen\u00fcge demnach nicht, dass der Schaden durch eine Verarbeitung entstanden sei, in deren Rahmen es dann irgendwann zu einem Rechtsversto\u00df gekommen ist. Man k\u00f6nne also nicht davon ausgehen, dass ein Rechtsversto\u00df bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung \u201einfiziere\u201c und sodann zu einem Schadensersatzanspr\u00fcche f\u00fchre. Die Kausalit\u00e4tspr\u00fcfung soll ja gerade verhindern, dass es zu einer uferlosen Schadensersatzpflicht f\u00fcr alle m\u00f6glichen, noch so entfernten Sch\u00e4den komme, f\u00fcr die ein rechtswidriges Verhalten eine Ursache gesetzt hatte. Das f\u00fchre insbesondere dazu, dass der Kl\u00e4ger keinen durch die Beklagte infolge eines Verordnungsversto\u00dfes verursachten immateriellen Schaden erlitten habe. Ankn\u00fcpfungspunkt f\u00fcr den Schaden k\u00f6nne weder die Daten\u00fcbermittlung sein \u2013 denn diese habe bereits stattgefunden als die DSGVO noch nicht in Geltung war \u2013 noch der Umstand, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage, welche zudem auch den Anforderungen f\u00fcr eine Auftragsdatenverarbeitung nach Art. 28 DSGVO<\/a> gerecht wurde. Daher k\u00f6nne die vom Arbeitnehmer behauptete permanente Unsicherheit, dass unbefugte Dritte auf Daten des Kl\u00e4gers Zugriff nehmen, nicht einem Versto\u00df gegen die DSGVO zugeordnet werden. Die Beklagte habe also alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gew\u00e4hrleisten, hielten die Richter fest.<\/p>\n

Kausalit\u00e4t zwischen Schaden und Versto\u00df gegen die Verordnung<\/h2>\n

Das Urteil verdeutlicht erneut, dass ein Anspruch im Sinne des Art. 82 DSGVO<\/a> nur angenommen und der immaterielle oder materielle Schaden dementsprechend ersetzt werden kann, wenn ein tats\u00e4chlicher Zusammenhang zwischen dem Schaden und dem Verordnungsversto\u00df gegeben ist.<\/p>\n

Neben der Gefahr eines Missbrauchs der Daten oder einem Kontrollverlust als immateriellen Schaden, muss daher vor allem die Kausalit\u00e4t zwischen diesem und dem Versto\u00df gegen die DSGVO vorliegen. Woran es jedoch offensichtlich fehlt, wenn der Beklagte weder gegen Bestimmungen des 5. Kapitels der DSGVO noch gegen Art. 28 DSGVO<\/a> versto\u00dfen hat. Ein verbleibender Versto\u00df gegen die Vorschriften des Bundesdatenschutzgesetzes (BDSG) kann im \u00dcbrigen keinen Schadensersatzanspruch nach Art. 82 DSGVO<\/a> ausl\u00f6sen \u2013 was plausibel erscheint! Denn das Anspruchserfordernis des Art. \u00a082 DSGVO<\/a> \u201ewegen eines Versto\u00dfes gegen die DSGVO\u201c passt dann offensichtlich nicht mehr.<\/p>\n","protected":false},"excerpt":{"rendered":"

Mit Urteil vom 25.05.2021 hat das Landesarbeitsgericht Baden-W\u00fcrttemberg (LArbG) entschieden, dass ein Versto\u00df gegen die Bestimmungen des 5. Kapitels der Datenschutzgrundverordnung (Art. 44 ff. DSGVO) dann nicht vorliegt, wenn personenbezogene Daten von Besch\u00e4ftigten vor der Einf\u00fchrung der DSGVO am 25. Mai 2018 an ein Mutterkonzern in ein Drittland \u00fcbermittelt wurden. Au\u00dferdem kommt eine Geldentsch\u00e4digung wegen […]<\/p>\n","protected":false},"author":85,"featured_media":57934,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[107,17191,19014,19015],"class_list":["post-57933","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht","tag-geldentschadigungsanspruch","tag-dsgvo","tag-datenuebermittlung","tag-drittland","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/57933","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/85"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=57933"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/57933\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/57934"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=57933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=57933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=57933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}