Skip to content

Rechtsanwalt Marcus Beckmann am 05.10.2021 auf der NEW WORK DAYS 21-Konferenz - Editor Pick: Alles, was recht ist – New Work und Homeoffice aus juristischer Sicht

Rechtsanwalt Marcus Beckmann ist am Dienstag, den 05.10.2021 von 14.00 Uhr - 14.45 Uhr auf der NEW WORK DAYS 21-Konferenz zu Thema Editor Pick: Alles, was recht ist – New Work und Homeoffice aus juristischer Sicht als Experte eingeladen.

LAG Hannover: DSGVO gewährt keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus in Papierform geführter Personalakte

LAG Hannover
Urteil vom 04.05.2021
11 Sa 1180/20


Das LAG Hannover hat entschieden, dass die DSGVO keinen Anspruch auf Entfernung einer Abmahnung jedenfalls aus einer in Papierform geführten Personalakte gewährt.

Aus den Entscheidungsgründen:

3. Die Kammer teilt im Ergebnis die Rechtsauffassung des Arbeitsgerichts, wonach auch unter datenschutzrechtlichen Gesichtspunkten ein Löschungsanspruch nicht besteht.

a) Hinsichtlich der DSGVO (Verordnung (EU) 2016/679) hat das Arbeitsgericht auf Artikel 17 der Verordnung abgestellt, der einen ausdrücklichen Löschungsanspruch regelt. Einschlägig wäre insoweit Abs. 1 Buchst. a)

„wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.“

Ein solcher Anspruch könnte aber nicht abgelehnt werden mit der vom Arbeitsgericht gegebenen Begründung, wonach im Hinblick auf den noch anhängigen Kündigungsrechtstreit noch nicht feststellbar sei, dass die Daten nicht mehr benötigt werden. Da alle hier streitigen Rechtsfragen in einem gemeinsamen Rechtstreit anhängig gemacht werden, wird die Entscheidung über die Wirksamkeit der Kündigung und der Entfernung der Abmahnungen zeitlich koordiniert erfolgen. Im Übrigen steht zum Zeitpunkt der Berufungsentscheidung bereits seit über einem Jahr fest, dass das Arbeitsverhältnis spätestens mit Ablauf des 31.03.2020 beendet ist.

b) Art. 88 DSGVO stellt eine lex specialis hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dar. Der Artikel stellt jedoch nur eine Öffnungsklausel für besondere Regelungen der Mitgliedstaaten vor, er enthält selbst keine unmittelbar anwendbaren Rechtssätze.

Der Art. 88 DSGVO ausgestaltende § 26 BDSG regelt die Zulässigkeit der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Spezifische Löschungsvorschriften für das Beschäftigungsverhältnis enthält die Vorschrift ihrerseits nicht. Für das Recht auf Löschung verweist § 35 BDSG im Grundsatz auf Art. 17 der DSGVO. Als Ausnahme sieht § 35 Abs.1 BDSG vor, dass bei unverhältnismäßig hohem Aufwand der Löschung an die Stelle einer Löschung die Einschränkung der Verarbeitung tritt.

Art. 17 Abs. 3 DSGVO macht einen generellen Vorbehalt zu Gunsten gesetzlicher Aufbewahrungsfristen. Diese können im Arbeitsverhältnis insbesondere sozialversicherungs- und steuerrechtlicher Art sein. In der Literatur wird dazu vertreten, dass personenbezogene Daten nach Beendigung des Arbeitsverhältnisses generell zu löschen seien, soweit keine Aufbewahrungspflichten gelten (etwa Simitis/Hornung/Spieker, Datenschutzrecht 1. Aufl. 2019, Art. 88 DSGVO Rn. 205 ff.). In der Konsequenz würde dies allerdings bedeuten, dass der Arbeitgeber nach Beendigung eines jedem Arbeitsverhältnisses den vorhandenen Datenbestand des ausscheidenden Arbeitnehmers danach sortieren müsste, ob Aufbewahrungsfristen bestehen oder nicht.

c) Allerdings bestehen für den Anwendungsbereich der noch traditionell in Papierform geführten Personalakten erhebliche Zweifel, ob oder wieweit diese vom Regelungsbereich der DSGVO und des BDSG erfasst werden. In Art. 2 Abs.1 und Art. 4 Nr. 6 DSGVO wird der Begriff der Dateisysteme zugrunde gelegt. Unabhängig von der Frage, ob dieser Begriff zwischen automatisierten und nicht automatisierten Vorgängen unterscheidet (dazu etwa Gierschmann/Schlender Datenschutzgrundverordnung Kommentar 2018, Art. 4 Nr. 6 Rn. 8), ist in Erwägungsgrund 15 der Richtlinie ausdrücklich formuliert, dass Akten, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen sollen. Zutreffend weisen Gierschmann/Schlender aaO. Rn. 9 darauf hin, dass für Akten, - insbesondere Personalakten – rechtlich der Grundsatz der Vollständigkeit bestimmend ist und nicht der Grundsatz der Datensparsamkeit. Der Berufungsbegründung lassen sich weiterführende Überlegungen hinsichtlich dieser sehr grundsätzlichen Fragen nicht entnehmen.

Soweit ersichtlich, ist bisher in der Instanzrechtsprechung lediglich vereinzelt ein datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung nach Ende des Arbeitsverhältnisses angenommen worden (LAG Sachsen-Anhalt 23.11.18, 5 Sa 7/17, NZA-RR 109, 335). Eine klärende Entscheidung des Bundesarbeitsgerichts dazu steht noch aus. Die Kammer ist der Auffassung, dass auch die datenschutzrechtlichen Neuregelungen auf Basis der DSGVO eine derartig grundlegende Veränderung des Rechtsschutzes zumindest im Bereich der in Papierform geführten Personalakten nicht erfordern.

Den Volltext der Entscheidung finden Sie hier:



LAG Köln: Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG

LAG Köln
Beschluss vom 21.05.2021
9 TaBV 28/20


Das LAG Köln hat entschieden, dass die Einführung vo Microsoft Office 365 der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt.

Aus den Entscheidungsgründen:

"2.) Der Hauptantrag und die Hilfsanträge sind nicht begründet, da das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung von Microsoft Office 365 nicht dem Antragsteller, sondern dem Gesamtbetriebsrat der d -d GmbH & Co. KG zusteht, und sich insoweit eine Differenzierung zwischen den einzelnen Modulen verbietet.

a) Die Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, da es sich um eine technische Einrichtung handelt, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies ist nach der Rechtsprechung des BAG dann der Fall, wenn die Einrichtung objektiv geeignet ist, Verhaltens- oder Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen; auf die subjektive Überwachungsabsicht des Arbeitgebers kommt es nicht an (BAG, Beschluss vom 11. Dezember 2018– 1 ABR 13/17, juris Rn. 24).

b) Diese Voraussetzung liegen hier vor, da bei der Verwendung der verschiedenen Module von Microsoft Office 365 das Nutzungsverhalten wie etwa die Nutzungszeit erfasst und Nutzungsanalysen erstellt werden. Auf die diesbezüglichen Ausführungen des Arbeitsgerichts, denen die Kammer sich anschließt, wird Bezug genommen (Bl. 297 d.A.).

c) Zuständig für die Ausübung des Mitbestimmungsrechtes nach § 87 Abs. 1Nr. 6 BetrVG ist gemäß § 50 Abs. 1 Satz 1 BetrVG der Gesamtbetriebsrat der d -d GmbH & Co. KG, da es sich bei der unternehmensweiten Einführung von Microsoft Office 365 um eine Angelegenheit handelt, die das Gesamtunternehmen oder mehrere Betriebe der d -d GmbH & Co. KG betrifft und nicht durch die einzelnen Betriebsräte innerhalb ihrer Betriebe geregelt werden kann, weil objektiv ein zwingendes Erfordernis für eine unternehmenseinheitliche oder betriebsübergreifende Regelung besteht (vgl. BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Diese Zuständigkeitsregelung ist zwingend (Fitting, 30. Aufl. 2020, § 50 BetrVG, Rn. 3) und kann weder durch einen Tarifvertrag noch durch eine Betriebsvereinbarung und erst recht nicht durch eine Regelungsabrede, wie sie der Antragsteller behauptet hat, abgedungen werden

aa) Das Vorliegen eines zwingenden Erfordernisses bestimmt sich nach Inhalt und Zweck des Mitbestimmungstatbestands, der einer zu regelnden Angelegenheit zu Grunde liegt. Maßgeblich sind stets die konkreten Umstände des Unternehmens und der einzelnen Betriebe (BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Dieses Erfordernis kann sich aus technischen oder rechtlichen Gründen ergeben (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161, juris Rn. 22). Eine technische Notwendigkeit zu einer betriebsübergreifenden Regelung kann ua. dann bestehen, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben und verarbeitet werden, die auch zur Weiterverwendung in anderen Betrieben bestimmt sind (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). In einem solchen Fall kann es aus arbeitstechnischen Gründen erforderlich sein, in den Betrieben auf den dortigen Rechnern dieselbe Software zu implementieren. Die Verwendung derselben Programme, Eingabemasken und Formate sorgt in solchen Fällen dafür, dass die in den Betrieben erhobenen und verarbeiteten Daten exportiert und importiert und sodann in anderen Betrieben ohne zusätzlichen technischen Aufwand genutzt werden können. Dies gilt auch dann, wenn die Betriebe nicht unmittelbar miteinander vernetzt sind, sondern der Datentransfer über einen gemeinsamen Server stattfindet. In einem solchen Fall ist eine unterschiedliche Ausgestaltung des elektronischen Datenverarbeitungssystems in den einzelnen Betrieben mit dessen einheitlicher Funktion nicht vereinbar (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). Ein zwingendes Erfordernis für eine unternehmensübergreifende Regelung aus technischen Gründen liegt auch dann vor, wenn wegen der bestehenden zentralen Nutzungs- und Überwachungsmöglichkeiten eine betriebsindividuelle Regelung ausscheidet (vgl. zum Konzernbetriebsrat BAG, Beschluss vom 25. September 2012 – 1 ABR 45/11, juris Rn. 26). Dies ist der Fall, wenn die technische Einrichtung erhobene Daten betriebsübergreifend verknüpfen kann und hierdurch die von den Arbeitnehmern erhobenen Leistungs- und Verhaltensdaten unternehmensweit erhoben, gefiltert und sortiert werden können (vgl. zum Konzernbetriebsrat BAG, Beschluss vom25. September 2012 – 1 ABR 45/11, juris Rn. 27). Eine technische Notwendigkeit liegt hingegen dann nicht vor, wenn keine Weitergabe erhobener Daten an andere Betriebe erfolgt und unternehmensübergreifende Nutzungs- und Überwachungsmöglichkeiten fehlen (vgl. BAG, Beschluss vom 26.01.2016 – 1 ABR 68/13, juris Rn. 26). Das ist hier aber nicht der Fall.

bb) Wie das Arbeitsgericht zutreffend erkannt hat, kann der Einsatz von Microsoft Office 365 auf Grund der Datenspeicherung auf einer sog. cloud und der zentralen Administration des Systems durch in K ansässige Administratoren aus technischen Gründen nur unternehmenseinheitlich geregelt werden. Es handelt sich insofern um eine zentrale Datenverarbeitung, weil die Administratoren am Standort K über Zugriffs- und Auswertungsmöglichkeiten in Bezug auf die für Arbeitnehmer anderer Betriebe erfassten Daten verfügen. Die zentrale Administra-tion stellt keine Beeinflussung der Zuständigkeitsebene durch die Arbeitgeberseite dar. Die zentrale Vergabe von Administrationsrechten ist der Entscheidung für die 1-Tenant-Lösung geschuldet, die von Seiten des Systems eine zentrale Administration vorsieht. Die Entscheidung für die 1-Tenant-Lösung wurde aber nicht durch die Arbeitgeberinnen alleine, sondern auf Grund der Verwerfung der Multi-Tenant-Lösung in der 1. Sitzung der Einigungsstelle gemeinsam mit dem Antragsteller getroffen. Zudem besteht keine Möglichkeit, die verschiedenen Module von Microsoft Office 365 derart unterschiedlich zu administrieren, dass das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfiele.

cc) Im Hinblick auf die Module Yammer, Sway, Planner und PowerApps besteht bereits nach dem Vortrag des Antragstellers lediglich die Möglichkeit, diese für verschiedene Nutzergruppen durch den zentralen Administrator ein- oder auszuschalten, wodurch eine örtliche Regelbarkeit entfällt.

dd) Auch hinsichtlich der Module Teams, Office ProPlus, Stream und ToDo bestehen keine unterschiedlichen Administrationsmöglichkeiten, die das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfallen ließen.

(1) Für das Modul Teams besteht zwar die Möglichkeit, unterschiedliche Einstellungen für unterschiedliche Gruppen vorzunehmen, indem diesbezüglich Richtlinien definiert werden. Auch diese können jedoch auf Grund der zentralen Administrierung nicht durch Einräumung von Administrationsrechten gegenüber dem lokalen Anwender erstellt werden, sondern müssen durch die zentralen Administratoren definiert und einzelnen Benutzern oder Gruppen zugewiesen werden. Die Einstellungsmöglichkeit zur Bildung von Nutzergruppen führt nicht dazu, dass die dabei entstehenden Daten im lokalen Betrieb verbleiben, weil die Speicherung und Verarbeitung über die cloud erfolgt, sodass weiterhin Zugriffs- und Auswertungsmöglichkeiten für die Administratoren in K bestehen.

(2) Gleiches gilt im Ergebnis hinsichtlich der Module Office ProPlus, ToDo und Stream. Zwar können diese Module nach Download aus der cloud und lokaler Installation grundsätzlich auch unabhängig von der cloud genutzt werden. Eine betriebsübergreifende Zugriffs- und Überwachungsmöglichkeit würde dann nicht mehr bestehen. Dies ist aber für die Frage nach der Zuständigkeit für die Ausübung des Mitbestimmungsrechtes unerheblich, weil hier nicht die Zuständigkeit im Hinblick auf die einzelnen Module und ihre unterschiedlichen Einsatzmöglichkeiten in Frage steht, sondern die Zuständigkeit im Hinblick auf die Einführung von Microsoft Office 365 als Gesamtpaket einschließlich der damit verbundenen cloud -Nutzung. Die Tatsache, dass einzelne Module auch separat auf dem Markt angeboten und in dieser Form erworben bzw. genutzt werden können, ist insofern für den hier vorliegenden Fall der cloud-basierten Nutzung als Gesamtsystem ohne Belang. Denn es handelt sich um unterschiedliche Produkte und damit auch unterschiedliche Mitbestimmungsgegenstände. Das fehlende technisch zwingende Erfordernis kann nicht damit begründet werden, dass eine andere technische Einrichtung keine Zugriffs- und Überwachungsmöglichkeiten bietet. Gleiches gilt für die durch den Antragsteller vorgeschlagenen Möglichkeiten zur Nutzung von betriebslokalen Exchange Servern und der Anmietung weiterer Tenants.

ee) Dem steht nicht entgegen, dass das zwingende Erfordernis nicht durch das reine Interesse an einer unternehmenseinheitlichen Lösung begründet werden darf. Im Vordergrund steht, dass die Arbeitgeberinnen ein cloud-basiertes System unternehmensweit einführen wollen. Diesem Regelungsgegenstand ist auf Grund der damit verbundenen Zugriffs- und Überwachungsmöglichkeiten das Erfordernis einer unternehmenseinheitlichen Einführung inhärent. Insoweit kann der Antragsteller der Zuständigkeit des Gesamtbetriebsrates nicht entgegenhalten, dass das Vorliegen eines technischen Erfordernisses lediglich im Hinblick auf einzelne Module bestehe und der Arbeitgeberseite die Möglichkeit eröffnet werde, die Zuständigkeit der örtlichen Betriebsräte durch die Verknüpfung unterschiedlicher IT-Module auszuschließen. Denn der Mitbestimmungstatbestand ist einheitlich zu betrachten. Eine Aufteilung kommt insofern nicht in Betracht.

f) Unerheblich für die Zuständigkeit für die Ausübung des Mitbestimmungsrechtes ist hingegen die von den Arbeitgeberinnen vorgebrachte Befürchtung, dass separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen würden. Denn der Gleichbehandlungsgrundsatz bestimmt die Regelungsmacht der Betriebsparteien bei der Ausübung der Mitbestimmungsrechte, er hat jedoch keinen Einfluss auf die gesetzliche Zuständigkeitsverteilung zwischen den Betriebsverfassungsorganen (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21; BAG, Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Es handelt sich um eine reine Zweckmäßigkeitserwägung des Arbeitgebers (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21). Die Verpflichtung zur Gleichbehandlung ist vielmehr kompetenzakzessorisch. Erst die jeweiligen Betriebsvereinbarungen sind am Maßstab des Gleichbehandlungsgrundsatzes des § 75 Abs. 1 BetrVG zu messen (Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Ob separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen, ist insofern erst bei der Ausübung des Mitbestimmungsrechts durch den zuständigen Gesamtbetriebsrat erheblich. Auf die dieser vorgelagerten Zuständigkeitsfrage haben etwaige Ungleichbehandlungen ebenso wenig Einfluss wie die datenschutzrechtlichen Bedenken des Betriebsrats, welche die Frage betreffen, ob der zuständige Gesamtbetriebsrat der d -d GmbH & Co. KG sein Mitbestimmungsrecht wirksam ausgeübt hat.

d) Hingegen kann der Gesamtbetriebsrat der d T GmbH für die Einführung von Microsoft Office 365 in dem Betrieb des Antragstellers nicht zuständig sein. Für einen Gemeinschaftsbetrieb, wie es zwischen der d -d GmbH & Co. KG und der d T GmbH bestand, können zwar auf Grund der Verpflichtung der Unternehmen zur Bildung jeweils betriebsübergreifender Gesamtbetriebsräte ggf. mehrere Gesamtbetriebsräte zuständig sein, wobei diese jeweils ausschließlich für die Arbeitnehmer desjenigen Unternehmens Regelungen treffen können, für die der Gesamtbetriebsrat gebildet wurde (so Hoffmann/Alles NZA 2014, 757, 758). Eine Zuständigkeit des Gesamtbetriebsrates der d T GmbH kommt für den Betrieb des Antragstellers aber nicht mehr in Betracht, nachdem die d T GmbH im Juni 2020 eine eigene selbstständige Betriebsstätte in W eröffnet hat, für die unangefochten ein eigener Betriebsrat gewählt wurde. Die Zuständigkeit des Gesamtbetriebsrats der d -d markt GmbH & Co. KG für die Einführung von Microsoft Office 365 besteht zudem unabhängig davon, ob in ihn unternehmensfremde Betriebsräte eines Gemeinschaftsbetriebs entsandt sind. Denn die Frage nach der gesetzlichen Zuständigkeit ist von der der Thematik der wirksamen Bildung des Mitbestimmungsorgans zu trennen."


Den Volltext der Entscheidung finden Sie hier:


LAG Köln: Beschluss einer arbeitsrechtlichen Einigungsstelle auch wirksam wenn durch Verwendung des Videokonferenzsystems Cisco Webex möglicherweise gegen DSGVO verstoßen wurde

LAG Köln
Beschluss vom 25.06.2021
9 TaBV 7/21


Das LAG Köln hat entschieden, dass der Beschluss einer arbeitsrechtlichen Einigungsstelle auch wirksam ist, wenn durch Verwendung des Videokonferenzsystems Cisco Webex möglicherweise gegen die Vorgaben der DSGVO verstoßen wurde.

Aus den Entscheidungsgründen:

1.) Der Beschluss der Einigungsstelle begegnet keinen durchgreifenden formellen Bedenken. Dass die Einigungsstelle den Beschluss am 14.05.2020 im Rahmen einer Videokonferenz gefasst hat, führt nicht zu dessen Unwirksamkeit.

a) Die Zulässigkeit von Videokonferenzen im Rahmen von Betriebsratssitzungen und zur Durchführung von Einigungsstellenverfahren war umstritten, wurde zuletzt aber zunehmend bejaht (etwa Fündling/Sorber, NZA 2017, 552; Thüsing/Beden, BB 2019, 372; Lütkehaus/Powietzka NZA 2020, 552; kritisch hingegen Däubler/Klebe, NZA 2020, 545, 546). Gemäß der rückwirkend für die Zeit ab dem 01.01.2020 zunächst bis zum 31.12.2020 befristeten und derzeit bis zum 30.06.2021 verlängerten Vorschrift des § 129 Abs. 1 und 2 BetrVG hatte der Gesetzgeber ausdrücklich festgelegt, dass die Teilnahme an Einigungsstellensitzungen sowie die Beschlussfassung während der Corona-Pandemie mittels Video- und Telefonkonferenz erfolgen können, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Letzteres dient dem Datenschutz und konkretisiert zugleich den „elementaren Verfahrensgrundsatz“ (BAG, Beschluss vom 18. Januar 1994 – 1 ABR 43/93 –, BAGE 75, 261-266, Rn. 17), dass die Einigungsstelle einen Spruch in Abwesenheit der Betriebsparteien auf Grund nichtöffentlicher mündlicher Beratung. Dies entspricht dem Prinzip der Nichtöffentlichkeit nach § 30 Abs. 1 Satz 4 BetrVG (Däubler/Klebe, NZA 2020, 545, 548; ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2). Ein Verstoß gegen diesen Grundsatz würde den Spruch der Einigungsstelle unwirksam machen (vgl. BAG, Beschluss vom 18. Januar 1994 – 1 ABR 43/93 –, BAGE 75, 261-266, Rn. 17; Fitting, 30. Aufl. 2020, § 76 BetrVG, Rn. 74).

b) Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch C W gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28). Mit dieser Einschätzung steht der Bundesgesetzgeber nicht allein. Auch der Landesbetrieb IT.NRW, der für die IT-Infrastruktur der nordrhein-westfälischen Landesverwaltung zuständig ist, stellt den Behörden C W zur Durchführung von Online-Konferenzen und Gerichtsverhandlungen zur Verfügung. Eine mutwillige, heimliche und damit unzulässige Aufzeichnung durch Teilnehmer mag zwar technisch nicht ausgeschlossen sein. Dies wäre jedoch kein taugliches Kriterium, um im Einigungsstellenverfahren die Zulässigkeit einer Videokonferenz verneinen zu können. Denn eine technische Aufzeichnung wäre mit Smartphones und Tablets auch bei Präsenzsitzungen nicht ausgeschlossen (Althoff/Sommer, ArbRAktuell 2020, 250, 252).

c) Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

aa) Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement - MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe (https://konferenzen.t .de/fileadmin/Redaktion/conference/c -W /C -Datenschutz-Statement.pdf).

bb) Ob dies ausreicht, um die Anforderungen der DSGVO zu erfüllen, kann hier aber dahin stehen, da die Nutzung des Videokonferenzsystems C W jedenfalls keinen Verstoß gegen elementare Verfahrensgrundsätze darstellt, die zur Unwirksamkeit des Einigungsstellenbeschlusses führen könnte. Denn der Gesetzgeber hat mit der Neuregelung in § 129 BetrVG Rechtssicherheit schaffen wollen. An die notwendige Sicherstellung der Nichtöffentlichkeit dürfen daher keine zu hohen Anforderungen gestellt werden. Solange für den Geschäftsverkehr gängige Konferenzsysteme verwandt werden, die über eine Verschlüsselung nach dem Stand der Technik verfügen, wie dies bei Cisco Webex im Mai 2020 der Fall war, sind keine zusätzlichen technischen Sicherungsmaßnahmen erforderlich (ErfK/Kania, 21. Aufl. 2021, § 129, Rn. 2).

d) Im Übrigen hatte die Einigungsstelle hinreichend sichergestellt, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Nach der unwidersprochenen Darlegung des Betriebsrats hatten sich die Sitzungsteilnehmer mit ihrem Namen oder den ihnen zugeordneten Zugangsdaten angemeldet, wobei das Konferenzsystem ständig eine Liste der teilnehmenden Person angezeigt hatte. Die Mitglieder der Einigungsstelle waren belehrt worden, dass sie mitzuteilen hätten, wenn eine andere Person den Raum betrete, indem sie sich befänden. Jeder Teilnehmer hatte zudem auf Nachfrage bestätigt, dass er sich allein in einem geschlossenen Raum befinde. Die Einigungsstelle ist damit den in der Literatur aufgeführten Empfehlungen gefolgt (etwa Däubler/Klebe, NZA 2020, 545, 548 f.).


Den Volltext der Entscheidung finden Sie hier:


LArbG Hamm: Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO

LArbG Hamm
Urteil vom 11.05.2021
6 Sa 1260/20


Das LArbG Hamm hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bei verspäteter oder unvollständiger Auskunftserteilung nach Art. 15 Abs. 1 DSGVO besteht. Im vorliegenden Fall hat das Gericht einem Arbeitnehmer 1.000 EURO zugesprochen.

Aus den Entscheidungsgründen:

II. Soweit die Klägerin den in erster Instanz unbezifferten gestellten Klageantrag nunmehr im Rahmen der Berufungsbegründung beziffert, liegt eine Klageänderung - die im Rahmen der Berufung an den Voraussetzungen des § 533 ZPO zu messen wäre - nicht vor. Gemäß § 264 Nr. 2 ZPO ist es nicht als Klageänderung anzusehen, wenn ohne Änderung des Klagegrundes der Klageantrag in der Hauptsache erweitert wird. Darunter fällt auch der Übergang von einem nicht bezifferten Feststellungsantrag zu einem bezifferten Zahlungsantrag (vgl. BGH vom 12.05.1992 – VI ZR 118/91 -; BGH vom 13.11.2014 – IX ZR 267/13-).Wird zunächst eine Stufenlage erhoben und der Auskunftsantrag gestellt, stellt der Kläger dann aber, ohne die Bescheidung des Auskunftsanspruchs abzuwarten, sogleich den Zahlungsantrag, ist dieser Antrag ebenfalls nach § § 264 Nr. 2 ZPO zulässig. Um eine Klageänderung handelt es sich nicht (BGH vom 13.11.2014 – IX ZR 267/13 - ). Für den Zahlungsantrag, der in erster Instanz noch nicht beziffert war, gilt hier nicht anderes.

B) Die Berufung ist indes nur im Hinblick auf die Verurteilung der Beklagten zur Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs begründet. Insoweit hat das Arbeitsgericht die Klage zu Unrecht abgewiesen. Im Übrigen ist die Berufung unbegründet.

I. Die Berufung ist teilweise begründet, soweit die Klägerin die Zahlung eines immateriellen Schadensersatzes begehrt. Sie hat aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Zahlung eines solchen Schadensersatzes in Höhe von 1.000,00 Euro.

1. Der Klageantrag ist zunächst bestimmt genug, § 253 Abs. 2 Nr. 2 ZPO. Bei einem Schadensersatzanspruch auf Geldentschädigung, bei dem die Bestimmung des Betrages von der Ermittlung der Schadenshöhe durch Beweisaufnahme oder durch gerichtliche Schätzung oder vom billigen Ermessen des Gerichts abhängt, ist es ausreichend, wenn die zahlenmäßige Feststellung der Klageforderung dem Gericht überlassen wird, sofern dem Gericht zugleich die tatsächlichen Grundlagen gegeben werden, die ihm die Feststellung der Höhe des gerechtfertigten Klageanspruchs ermöglichen (vgl. BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Selbes gilt, wenn – wie hier - die ziffernmäßige Festlegung der Schadenshöhe entscheidend von der Ausübung des richterlichen Ermessens oder einer richterlichen Schätzung nach § 287 Abs. 1 ZPO abhängt (BGH vom 13.03.1967 – III ZR 8/66 m.z.N.). Vorliegend hat die Klägerin zudem angegeben, dass sie einen Mindestschaden von 6.000,00 Euro (vgl. Berufungsbegründung vom 21.12.2020) für angemessen erachtet.

2. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.

Die DSGVO, die seit dem 25.05.2018 in Kraft getreten ist (Art. 99 Abs. 2 DSGVO) gilt gemäß Art. 288 AEUV unmittelbar in jedem Mitgliedsstaat der Europäischen Union, ohne dass es einer weiteren Umsetzung durch nationales Recht bedarf.

a) Verantwortlicher im Sinne des Art. 82 Abs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Ziff. 7 DSGVO), mithin die Beklagte.

b) Die Beklagte hat vorliegend gegen ihre Auskunftspflicht gegenüber der Klägerin aus Art. 15 Abs. 1 DSGVO verstoßen. Der Auskunftsanspruch besteht auch in einem Arbeitsverhältnis. Die allgemeinen Bestimmungen der EU-DSVO enthalten eine Vollregelung, auch zum Beschäftigtendatenschutz (vgl. LAG Baden-Württemberg vom 20.12.2018 – 17 Sa 11/18 -). Der Auskunftsanspruch ist ein Grundrecht (Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV) und gehört zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person (Art. 4 Ziff. 7 DSGVO) das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und – soweit dies der Fall ist – das weitere Recht auf die unter lit. a) bis h) der Vorschrift benannten Informationen. Nach der Vorgabe des Art. 12 Abs. 3 S. 1-3 DSGVO ist ein solches Auskunftsbegehren binnen eines Monats nach Eingang, nach einer Unterrichtung über eine Fristverlängerung binnen zwei weiterer Monate zu beantworten.

(1) Ein solches Verlangen hat die Klägerin vorliegend mit außergerichtlichem Schreiben ihres heutigen Prozessbevollmächtigten vom 30.01.2020 gestellt. Darin hat sie unter Bezugnahme auf die Datenschutzgrundverordnung Auskunft über „sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ begehrt. Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonders geregelten Anforderungen an Form und Inhalt. Es kann dahinstehen, ob sich der Anspruch der Klägerin inhaltlich auf den gesamten Umfang der mit dem Schreiben geltend gemachten Daten bezieht. Aus diesem verlangen konnte die Beklagte hinreichend konkret erkennen, auf welche Rechtsgrundlage die Klägerin ihr begehren stützt. Aus Art. 4 Ziff. 2 DSGVO ergibt sich zudem, dass sich die Verarbeitung, die Gegenstand des Auskunftsanspruchs nach Art. 15 DSGVO ist, auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten bezieht. Eine Einschränkung auf einen bestimmten Auskunftsteil hat die Klägerin nicht vorgenommen. Sie hat nur formuliert, dass sich ihr Begehren „insbesondere“ aber nicht erkennbar nicht ausschließlich auf die Daten der Zeiterfassung beziehe.

(2) Der Auskunftsanspruch bezieht sich inhaltlich auf personenbezogene Daten. Dabei handelt es sich nach Art. 4 Ziff. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zur Verarbeitung gehört nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung solcher Daten. In einem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten der bei ihm beschäftigten Arbeitnehmer. Bei diesen Daten kann es sich neben den Kontaktdaten der Person etwa um Informationen über das Bestehen und die Dauer einer Arbeitsunfähigkeit, über die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten handeln. Die Beklagte hat bis heute keine Auskunft darüber erteilt, ob und zu welchem Verarbeitungszweck (Art. 15 Abs. 1 lit. a)) und nach welchen Kategorien (Art. 15 Abs. 1 lit. b)) sie entsprechende Daten der Klägerin verarbeitet. Die Beklagte hat auf das gestellte Auskunftsverlangen erstmals unter dem 13.08.2020 reagiert und der Klägerin - offenbar auch im Hinblick auf das zu diesem Zeitpunkt klageweise rechtshängig gemachte und auf den Umfang der geleisteten Arbeitszeit im Arbeitsverhältnis beschränkten Auskunftsantrag – Arbeitszeitnachweise zugesendet. Eine weitere Auskunft ist – bis heute – nicht erfolgt.

(3) Eine Haftung für die Verstöße könnte nur entfallen, wenn die Beklagte für diese nicht verantwortlich wäre, Art. 83 Abs. 3 DSGVO. Dies hat die Beklagte nicht dargetan.

c) Entgegen der Auffassung der Beklagten ist der Klägerin durch die fehlende Erteilung der Auskunft ein immaterieller Schaden entstanden.

Das zutreffende Verständnis des Schadensbegriffs ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt. Der Begriff kann auch nicht in seinen einzelnen, für die Beurteilung des vorliegenden Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. Auch in der bislang vorliegenden Literatur, die sich unter Bezugnahme auf den Erwägungsgrund 146 überwiegend für ein weites Verständnis des Schadensbegriffs ausspricht, sind die Details und der genaue Umfang des Anspruchs noch unklar (vgl. dazu: BVerfG vom 14.01.2021 – 1 BvR 2853/19 – mit zahlreichen Nachweisen).

Weder der DSGVO noch ihren Erwägungsgründen lässt sich indes entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder anders - herum formuliert – die Ausnahme von Bagatellfällen, gibt es keinen Anhaltspunkt (so auch BVerfG vom 14.01.2021 – 1 BvR 2853/19 -).

Unter Berücksichtigung des Erwägungsgrundes 146 S. 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit und auf eine Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Die Ziele der DSGVO bestehen dabei u.a. darin, den Risiken für die Rechte und Freiheit natürlicher Personen zu begegnen, die - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - aus einer Verarbeitung personenbezogener Daten hervorgehen und zu einem immateriellen Schaden führen können. Dabei kann ein immaterieller Schaden nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Aufhebung der Pseudonomisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen. Er kann (bereits) entstehen, wenn die von der Verarbeitung personenbezogener Daten betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (vgl. Erwägungsgrund 75).

In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeiter. Jeder Arbeitgeber wird mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie Anwesenheits- und Fehlzeitendaten seiner Mitarbeiter erheben, speichern und verwenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmern nicht ohne weiteres ersichtlich. Ebenso können Arbeitnehmer nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben. Die Beklagte wendet vorliegend nicht ein, dass sie über die der Klägerin im August 2020 übersendeten Arbeitszeitnachweise keine Weiteren personenbezogenen Daten der Klägerin verarbeitet. Eine Kontrolle über diese Daten hat die Klägerin indes nicht, solange die Beklagte ihrer Auskunftspflicht – in erster Stufe zumindest hinsichtlich der Bestätigung des „Ob“ der Verarbeitung personenbezogener Daten - nicht nachkommt. Der Klägerin fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten die Beklagte formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte die Beklagte solche Daten ggf. weiterreicht. Die Schwere des immateriellen Schadens, mithin das Gewicht der Beeinträchtigung, das die Klägerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, ist für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und mithin für die Frage des „ob“ eines entstandenen Schadens nicht erheblich (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18).

d) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 1.000,00 Euro zusteht.

(1) Unter Berücksichtigung des Erwägungsgrundes 146 (Satz 6) zur DSGVO soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Insoweit erscheint eine Orientierung an dem Kriterienkatalog für die Bemessung von Bußgeldern in Art. 83 Abs. 2 S. 2 DSGVO naheliegend (so auch ArbG Düsseldorf vom 05.03.2020 – 9 Ca 6557/18 -). Danach sind für die Ermittlung der Höhe einer Geldbuße u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten zu betrachten. Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten grundsätzlich ein weites Ermessen zu, § 287 Abs. 1 S. 1 ZPO. Es müssen mithin sowohl sämtliche Auswirkungen des konkreten Datenschutzverstoßes für die geschädigte Person als auch sämtliche in der Person des Schädigers liegenden, insbesondere die Tatsituation und den Verschuldensgrad betreffenden, Umstände berücksichtigt werden (vgl. Oetker in MüKoBGB, 8. Auflage 2019, § 253 ZPO Rz. 36 ff).

2) In Anwendung des zuvor dargestellten Maßstabs ist unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ein Schadensersatz in Höhe von 1.000,00 Euro angemessen.

Dabei hat die Kammer zu Lasten der Beklagten berücksichtigt, dass diese die Auskunft nach Art. 5 Abs. 1 DSGVO bis zum heutigen Tag nicht erteilt hat. Die Beklagte hat der Klägerin lediglich im August 2020 Arbeitszeitnachweise übermittelt. Damit hat die Beklagte den Auskunftsanspruch allenfalls rudimentär erfüllt. Schriftsätzlich hat sich die Beklagte auf den Standpunkt gestellt, dass die Klägerin in dem Schreiben vom 30.01.2020 zu Unrecht Auskunft über „sämtliche Daten“ gefordert habe, obgleich ein Anspruch sich allenfalls auf solche Daten beziehe könne, die die Klägerin persönlich betreffen. Soweit die Beklagte darin eine Rechtfertigung erblickt, einem aus ihrer Sicht unklaren oder überzogenen Begehren nicht nachkommen zu müssen, kann dies nur zu ihren Lasten berücksichtigt werden. Zum einen erscheint eine derart weite Auslegung des Begehrens der Klägerin im Kontext des Schreibens bereits fernliegend. So erläutert der Prozessvertreter in dem Schreiben vom 30.01.2020, dass die Beklagte nach Auskunft seiner Mandantin, die Arbeitszeit elektronisch erfasse, dass es sich bei der Erfassung dieser Daten um personenbezogene Daten handele und die Mandantin daher „ihren“ Auskunftsanspruch nach der Datenschutz-Grundverordnung geltend mache. Auch für einen unbefangenen Leser ist erkennbar, dass die Klägerin keine Auskunft über Daten begehrt, die mit ihrer Person nicht in Zusammenhang stehen. Von dieser Auslegung ist die Beklagte indes auch im Kammertermin nicht abgerückt. Ein Problembewusstsein der Beklagten im Hinblick auf die Verletzung eines Rechts, dass der Europäischen Verordnungsgeber, wie sich bereits aus Art. 8 Abs. 2 der Grundrechtscharta zeigt, als sehr bedeutsam einordnet, vermochte die Berufungskammer nicht zu erkennen. Es ist auch nicht ersichtlich, dass die Klägerin die tatsächliche Erteilung der Auskunft in der Zukunft noch außergerichtlich erreichen wird. Zugunsten der Beklagten kann insoweit nur unterstellt werden, dass einschlägige frühere Verstöße nicht vorliegen.

Obwohl das vorgehend dargestellte Verhalten die Annahme nahelegt, dass die Beklagte den Umfang und die Bedeutung ihrer Verpflichtung aus der Datenschutzgrundverordnung jedenfalls fahrlässig grob verkennt, ist zu Lasten der Klägerin zu berücksichtigen, dass sie die tatsächliche Erlangung der ihr nach Art. 15 Abs. 1 DSGVO zustehenden Informationen in Erkennung des Umstandes, dass die Beklagte diesem Auskunftsbegehren nicht ohne Weiteres nachkommen wird, bislang nicht konsequent verfolgt hat. Nachdem die Beklagte im August 2020 Arbeitsnachweise erteilt hat, hat die Klägerin den Auskunftsanspruch insoweit für erledigt erklärt. Sie hat aber in der Folgezeit davon abgesehen, ihr Auskunftsverlangen im Weiteren gerichtlich geltend zu machen, um eine tatsächliche Durchsetzung zu erreichen. Vielmehr hat die Klägerin sich darauf beschränkt, unter Berufung auf die fehlende Auskunft einen immateriellen Schadensersatzanspruch gerichtlich einzuklagen. Ihr Prozessverhalten deutet für die Berufungskammer darauf hin, dass die tatsächliche Erlangung einer Kontrolle über die von ihr verarbeiteten personenbezogenen Daten nicht ihr primäres Ziel ist. Es drängt sich vielmehr für die Berufungskammer der Eindruck auf, dass es ihr in dem außergerichtlichen Schreiben vom 30.01.2020 maßgeblich um die Herausgabe der Arbeitsaufzeichnungen zum Zwecke der Bezifferung einer beabsichtigten Überstundenklage ging. Obwohl sie durch die nach wie vor ausstehende Auskunft nach wie vor keine Kontrolle über ihre personenbezogenen Daten hat, die bei der Beklagten – auch nach Beendigung des Arbeitsverhältnisses – gegebenenfalls weiter verwendet werden, lässt das Verhalten der Klägerin nicht erkennen, dass dieser Umstand als solcher eine besondere Belastung für sie darstellt, die nicht jedenfalls mit der Zahlung eines Schadensersatzbetrages kompensiert werden könnte. Insbesondere ist nicht erkennbar, dass die Klägerin beabsichtigt, die tatsächliche Erteilung der Auskunft auch im Falle der Zahlung eines Schadensersatzes durch die Beklagte weiterzuverfolgen. Dies deutet darauf hin, dass ihre persönliche Betroffenheit im Hinblick auf die fehlende Möglichkeit der Kontrolle ihrer personenbezogenen Daten überschaubar ist und Zweifel an der Nachhaltigkeit des Auskunftsverlangens berechtigt erscheinen. Dieser Umstand ist bei der Bemessung der Höhe des immateriellen Schadensersatzes - anders als bei der Frage des Entstehens eines solchen - zu berücksichtigen.

Inwieweit die Höhe des Schadensersatzes auch von dem nach Art. 4 Ziffer 7 DSGVO Verantwortlichen und dessen Finanzkraft abhängen mag (so ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18), kann dahinstehen. Keine der Parteien hat vorliegend Angaben diesbezüglich getätigt. Der Umstand, dass es sich bei der Beklagten um einen Kleinbetrieb handelt, hat für sich genommen keine Aussagekraft hinsichtlich der Finanzkraft des Unternehmens.

Unter Berücksichtigung all dessen hat die Kammer für den Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO insgesamt einen Schadensersatzanspruch in Höhe von 1.000,00 Euro angesetzt.


Den Volltext der Entscheidung finden Sie hier:

BAG legt EuGH vor: Stehen Anforderungen des BDSG an Abberufung eines betrieblichen Datenschutzbeauftragten mit DSGVO im Einklang ?

BAG
Beschluss vom 27.04.2021 - 9 AZR 383/19 (A)
Beschluss vom 27.04.2021 - 9 AZR 621/19 (A)


Das BAG hat dem EuGH zu Entscheidung vorgelegt, ob die Anforderungen des BDSG an die Abberufung eines betrieblichen Datenschutzbeauftragten mit den Vorgaben der DSGVO in Einklang stehen.

Die Pressemitteilung des Gerichts:

Abberufung eines Beauftragten für Datenschutz

Zur Klärung der Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) an die Abberufung eines betrieblichen Datenschutzbeauftragten im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) stehen, hat der Neunte Senat des Bundesarbeitsgerichts ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet.

Der Kläger ist der von der Arbeit teilweise freigestellte Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Mit Wirkung zum 1. Juni 2015 wurde er zusätzlich zum betrieblichen Datenschutzbeauftragten der Beklagten und - parallel dazu - drei weiterer Konzernunternehmen bestellt. Die Beklagte berief den Kläger (ebenso wie die drei weiteren Konzernunternehmen) mit Schreiben vom 1. Dezember 2017 und - nach Inkrafttreten der DSGVO - mit weiterem Schreiben vom 25. Mai 2018 als Datenschutzbeauftragten ab. Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, die einen wichtigen Grund zur Abberufung des Klägers darstelle.

Die Vorinstanzen haben der Klage stattgegeben. Für die Entscheidung, ob die Beklagte den Kläger wirksam von seinem Amt als betrieblicher Datenschutzbeauftragter abberufen hat, kommt es auf die Auslegung von Unionsrecht an, die dem Gerichtshof der Europäischen Union vorbehalten ist. Das nationale Datenschutzrecht regelt in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund iSv. § 626 BGB vorliegen muss. Damit knüpft es die Abberufung eines Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, nach dessen Art. 38 Abs. 3 Satz 2 DSGVO die Abberufung lediglich dann nicht gestattet ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Einen wichtigen Grund zur Abberufung verlangt das europäische Recht nicht.

Der Neunte Senat des Bundesarbeitsgerichts hält unter Zugrundelegung der bisherigen Rechtsprechung vorliegend keinen wichtigen Abberufungsgrund für gegeben. Deshalb hat er sich nach Art. 267 AEUV mit der Frage an den Gerichtshof gewandt, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die - wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG - die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken. Sollte der Gerichtshof

die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält der Senat es zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt.

Bundesarbeitsgericht, Beschluss vom 27. April 2021 - 9 AZR 383/19 (A) -
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 - 9 Sa 268/18

Der Senat hat mit weiterem Beschluss vom 27. April 2021 den Gerichtshof in der Sache - 9 AZR 621/19 (A) - mit teilweise gleichgelagerten Fragen um Vorabentscheidung ersucht.



BVerwG: Bewilligung von Sonntagsarbeit für Amazon vor Weihnachten war rechtswidrig

BVerwG
Urteil vom 27.01.2021
8 C 3.20


Das BVerwG hat entschieden, dass die Bewilligung von Sonntagsarbeit für Amazon vor Weihnachten rechtswidrig war.

Die Pressemitteilung des Gerichts:

Rechtswidrige Bewilligung von Sonntagsarbeit im Online-Versandhandel

Sonntagsarbeit zur Abwendung eines unverhältnismäßigen Schadens darf gemäß § 13 Abs. 3 Nr. 2 Buchstabe b des Arbeitszeitgesetzes (ArbZG) nur wegen einer vorübergehenden Sondersituation bewilligt werden, die eine außerbetriebliche Ursache hat. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Beigeladene ist eine hundertprozentige Tochtergesellschaft eines Online-Versandhändlers. Innerhalb des Konzerns ist sie mit der Ausführung der auf dessen Webseite eingehenden Bestellungen betraut. Auf ihren Antrag hin erteilte der Beklagte ihr eine Bewilligung zur Beschäftigung von jeweils 800 Arbeitnehmern am 3. und 4.Bewil Adventssonntag 2015, weil besondere Verhältnisse dies zur Verhütung eines unverhältnismäßigen Schadens erforderten. Andernfalls drohe ein Überhang von ungefähr 500 000 unbearbeiteten Bestellungen bis Weihnachten. Auf Antrag der Klägerin, einer Gewerkschaft für den Dienstleistungssektor, hat das Verwaltungsgericht festgestellt, dass die Bewilligung rechtswidrig gewesen ist. Die Berufung dagegen blieb ohne Erfolg.

Das Bundesverwaltungsgericht hat die Revisionen des Beklagten und der Beigeladenen zurückgewiesen. Nach § 13 Abs. 3 Nr. 2 Buchstabe b ArbZG kann die zuständige Behörde an bis zu fünf Sonn- und Feiertagen die Beschäftigung von Arbeitnehmern bewilligen, wenn besondere Verhältnisse zur Verhütung eines unverhältnismäßigen Schadens dies erfordern. Besondere Verhältnisse sind vorübergehende Sondersituationen, die eine außerbetriebliche Ursache haben. Sie dürfen also nicht vom Arbeitgeber selbst geschaffen sein. Auf solche innerbetrieblichen Umstände war aber der Bedarf für die beantragte Sonntagsarbeit nach den tatsächlichen Feststellungen des Berufungsgerichts zurückzuführen. Ursächlich war nicht schon der saisonbedingt erhöhte Auftragseingang. Die Lieferengpässe wurden vielmehr maßgeblich durch die kurz vor dem Weihnachtsgeschäft 2015 eingeführte Zusage kostenloser Lieferung am Tag der Bestellung verstärkt. Deshalb war nicht zu entscheiden, ob schon ein saisonbedingt erhöhter Auftragseingang eine Sondersituation darstellt, die die Bewilligung von Sonntagsarbeit rechtfertigen kann.

BVerwG 8 C 3.20 - Urteil vom 27. Januar 2021

Vorinstanzen:

OVG Münster, 4 A 738/18 - Urteil vom 11. Dezember 2019 -

VG Düsseldorf, 29 K 8347/15 - Urteil vom 15. Januar 2018 -


LfD Niedersachsen: 10,4 Millionen Euro Bußgeld gegen notebooksbilliger.de wegen nicht datenschutzkonformer Videoüberwachung von Mitarbeitern

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die notebooksbilliger.de AG eine Bußgeld in Höhe von 10,4 Millionen Euro wegen angeblich nicht datenschutzkonformer Videoüberwachung seiner Mitarbeiter verhängt. Der Bescheid ist nicht rechtskräftig.

Die Pressemitteilung der LfD Niedersachsen:

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.


LAG Köln: Kostenregelung in § 12a ArbGG gilt auch für Geltendmachung von Schadensersatz nach Art. 82 DSGVO und Beseitigungsanspruch nach Art. 17 DSGVO

LAG Köln
Urteil vom 14.09.2020
2 Sa 358/20


Das LAG Köln hat entschieden, dass die Kostenregelung in § 12a ArbGG auch für die Geltendmachung von Schadensersatz nach Art. 82 DSGVO und Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung gilt.

Aus den Entscheidungsgründen:

Der Klägerin steht kein weiterer Schadensersatzanspruch aus Art. 82 DSGVO zu.

Dabei kann dahinstehen, ob der zugesprochene immaterielle Schadensersatz nicht bereits zu hoch war, da die Beklagte insoweit zur Verknappung des Prozessstoffes keine Anschlussberufung eingelegt hat.

Die erkennende Kammer tritt den Überlegungen des Arbeitsgerichts zur Bemessung des immateriellen Schadens bei der versehentlichen Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin auf dem Server der Beklagten bei. Der Verschuldensgrad ist sehr gering. Nach der Umstellung des Dateiformats des Internetauftritts im Jahr 2015 liegt eine Nachlässigkeit der Beklagten vor, nicht vollumfänglich geprüft zu haben, ob weiterhin alte Dateiformate abrufbar waren. Zum Zeitpunkt der Umstellung war zudem die Klägerin als Arbeitnehmerin und Lehrende der Beklagten nicht berechtigt, die Löschung des PDF zu verlangen, da die Darstellung der Lehrenden für eine Hochschule unverzichtbarer Inhalt eines Internetauftritts und damit der erforderlichen Datenverarbeitung war.

Richtig hat das Arbeitsgericht auch gewertet, dass die Intensität der Rechtsverletzung marginal war. Die veröffentlichen Tatsachen über die Klägerin waren inhaltlich richtig, allein das Logo der Beklagten auf dem Profil ermöglichten nach dem Ende des Arbeitsverhältnisses den fehlerhaften Rückschluss, die Klägerin sei auch im Zeitpunkt des Abrufs des PDF noch Lehrende der Beklagten. Zwar mag es sein, dass das PDF unter den ersten zehn Einträgen der Suchmaschine Google bei einer Suche nach dem Namen der Klägerin erschien. Wie viele Personen tatsächlich dann das PDF angeklickt haben, um es vollständig zu lesen (nach dem Vortrag der Beklagten, welcher nicht bestritten wurde, soll es nur zwei Zugriffe gegeben haben), ist nicht nachgewiesen.

Allerdings hat die Klägerin keine Rückmeldung von Dritten zu diesem veralteten Profil erhalten und im Prozess vorgetragen. Entscheidend für die Intensität der Wahrnehmung des PDF wäre hierbei, welche Suchergebnisse die ersten neun Google Einträge beinhalteten. Üblicherweise werden bei einer Namenssuche, die einer Personeninfo dienen soll, die Einträge in der Reihenfolge ihres Erscheinens angeschaut, da dem Googlenutzer bekannt ist, dass die Einträge mit den meisten Klicks, in der Regel aber auch die neueren Beiträge zuerst angezeigt werden. Ob dann der Googlenutzer überhaupt spätere Einträge öffnet, hängt damit davon ab, ob das Informationsbedürfnis bei der Namenssuche bereits vorher ausreichend befriedigt ist. Da das PDF auch nur eine relativ kurze Zeit nach dem Ende des Arbeitsverhältnisses überhaupt auffindbar war, aber niemand Kontakt zur Klägerin gesucht hat, um ihr von der fehlerhaften Veröffentlichung Mitteilung zu machen, kann davon ausgegangen werden, dass das bei Google auffindbare Suchsuchergebnis für Personen, die sich für die Klägerin interessierten und deshalb ihren Namen gegoogelt haben, eher uninteressant war.

Es kann auch ausgeschlossen werden, dass sich eine Vielzahl von Googlenutzern nach dem Lesen des PDF der Homepage der Beklagten zugewandt haben. Denn eine direkte Verlinkung war nicht gegeben. Um die Homepage der Beklagten aufzurufen hätte ein Benutzer diese in eine neue Suchmaske eingeben müssen. Dann allerdings hätte er sofort feststellen können, dass die Klägerin nicht mehr zu den Lehrenden gehört.

Fernliegend ist auch die von der Klägerin angezogene Lizenzanalogie. Es ist nicht erkennbar, dass für die Beklagte irgendein Mehrwert durch die kurzzeitige Aufrechterhaltung der Sichtbarkeit des PDF mit dem Profil der Klägerin und dem Logo der Beklagten im Internet verbunden war. Ein potentieller Studierender, der tatsächlich überlegt, einen Vertrag mit der Beklagten abzuschließen, wird sich zuvor genauer und aktuell über die Homepage der Beklagten mit deren Lehrangeboten auseinandersetzen. Dabei war unmittelbar festzustellen, dass die Klägerin nicht mehr zu den Lehrenden zählt. Wenn es gleichwohl zum Vertragsschluss kam, so war dies jedenfalls dann unabhängig von der Person der Klägerin.

Auch ein Reputationsschaden der Klägerin ist fernliegend. Sie beachtet dabei nicht, dass es auch eine große Anzahl von Personen gibt, die die Beklagte schätzen und dadurch die Klägerin somit an einer positiven Bewertung der Beklagten mittelbar teilhaben lassen. Insbesondere die Studierenden, die bei der Evaluation angegeben haben, mit den Leistungen der Beklagten zufrieden zu sein und alle Personen, die die Beklagte für eine gute Hochschule halten, nützen damit der Reputation der Klägerin. Damit ist ein Interesse an einer Nutzung des PDFs durch die Beklagte schon nicht gegeben. Ein hypothetischer „Verkaufswert“ ist nicht feststellbar.

Eine Erhöhung des immateriellen Schadensersatzes war auch nicht angezeigt, um zukünftige Verstöße zu vermeiden. Bereits das vorliegende Verfahren sowie die Rüge durch die Landesdatenschutzbeauftragte sind geeignet, bei der Beklagten den auch vom Schadensersatz erwünschten erzieherischen Effekt zu erzielen.

Der Klägerin steht der Ersatz der vorgerichtlichen Anwaltskosten wegen des geltend gemachten Anspruchs auf Entfernung des PDF nach Art. 17 Abs. 1 DSGVO nicht zu.

Unabhängig von den späteren Ausführungen zu § 12a ArbGG und dessen Geltung im Rahmen des Schadensersatzanspruchs nach Art. 82 DSGVO handelt es sich bei Art. 17 DSGVO um den Löschungsanspruch. Zwar mag es richtig sein, dass der deutsche Gesetzgeber insgesamt keine Einschränkung der in der DSGVO niedergelegten Rechte vornehmen kann, jedoch handelt es sich bei der Anwendbarkeit von § 12a ArbGG auf den Beseitigungsanspruch nicht um eine Ausgestaltung des Beseitigungsanspruchs. Die Kosten des Beseitigungsanspruchs regelt die DSGVO nicht, so dass es bei den allgemeinen deutschen Regeln aus § 12a ArbGG verbleibt..

Zudem folgt die erkennende Kammer im Übrigen der Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8. Danach ist in all den Fällen, in denen die DSGVO keine ausdrückliche Regelung enthält, nationales Recht anwendbar. Damit sind jedenfalls auf die vorliegenden Ansprüche die allgemeinen Grundsätze über Mitverschulden, Verjährungsfristen und prozessuale Behandlung der Ansprüche anwendbar.

Vorliegend gilt für den Beseitigungsanspruch, dass die Klägerin auch nach dem Ende des Arbeitsverhältnisses eine minimale Rücksichtnahme auf die Interessen der Beklagten hätte nehmen müssen. Diese hätte darin bestanden, die Beklagte durch einen kurzen Anruf, ein E-Mail oder auch eine andere schriftliche Notiz darauf aufmerksam zu machen, dass das PDF mit dem Profil der Klägerin im Internet noch abrufbar war. Erst dann, wenn die Beklagte hierauf nicht reagiert hätte, hätte die Klägerin sich anwaltlicher Hilfe bedienen können. Ohne vorherige Abmahnung war die Einschaltung eines Prozessbevollmächtigten nicht erforderlich, sodass die hierfür angefallenen Kosten nicht erstattungsfähig sind. Gerade das Rechtsinstitut der Abmahnung ist die Ausformung der gegenseitigen Rücksichtnahme im Arbeitsverhältnis und konkretisiert, dass dem Vertragspartner, auch dann, wenn der Vertrag beendet ist, zunächst die Gelegenheit eingeräumt werden muss, sein nachvertragliches Verhalten gesetzeskonform auszugestalten.

Hinsichtlich der weiteren Kostenerstattungsforderungen legt die erkennende Kammer Art. 82 DSGVO dahingehend aus, dass dieser nur den primären Schadensersatz hinsichtlich der immateriellen Schäden/Persönlichkeitsrechtsverletzungen, die durch einen Verstoß gegen die DSGVO entstanden sind, regelt. Sekundäre Schäden wie Vermögensschäden, die durch die Rechtsverfolgung des immateriellen Schadensersatzanspruchs entstehen, sind von der DSGVO nicht erfasst und bleiben damit entsprechend der Kommentierung bei Däubler (siehe oben) der Regelung durch nationales Recht vorbehalten.

Im Übrigen stellt die Regelung des § 12a ArbGG und die von der Rechtsprechung hieraus hergeleitete Wirksamkeit auch im materiellen Kostenerstattungsrecht letztlich keine Einschränkung des Schadensersatzes oder gar einen Nachteil von Arbeitnehmern dar, die von Datenschutzverstößen ihre Arbeitgeber betroffen sind. Denn durch die fehlende Kostenerstattung ist der Schadensersatz geltend machende Arbeitnehmer durchaus frei, wenigstens in erster Instanz einen höheren Anspruch geltend zu machen, ohne hierbei im Fall des Unterliegens die Kosten des Gegners erstatten zu müssen. Die Regelung fördert also sogar den Zweck des Art. 82 DSGVO, in dem sie das Risiko des Arbeitnehmers, einen zu hohen Schadensersatzbetrag zu fordern, absenkt. Vorliegend wäre aber jedenfalls bei einer Unanwendbarkeit des §12a ArbGG der Anteil der von der Klägerin der Beklagten zu erstattenden Kosten höher als umgekehrt. Die Regelung stellt sich damit ohnehin nicht als Einschränkung des Schadensersatzanspruchs, sondern da sie in beide Richtungen wirkt, als neutrale Kostenverteilungsregelung dar.

Wegen der zu hohen Klageforderung und des Unterliegens (mit Kostenpflicht) im Berufungsverfahren ist der Selbstbehalt der Klägerin bei ihrer Rechtsschutzversicherung ohnehin angefallen. Dieser und eine mögliche Beitragsverschlechterung sind damit unabhängig vom erstinstanzlichen Streit angefallen, so dass ein Schadensersatz durch die Beklagte wegen Verschlechterung der Rechtsschutzkonditionen keines falls geschuldet ist.


Den Volltext der Entscheidung finden Sie hier:



ArbG Augsburg: Kein Anspruch auf Homeoffice oder Einzelbüro - Arbeitgeber entscheidet wie er Pflicht zu Schutzmaßnahmen nach § 618 BGB nachkommt

ArbG Augsburg
Urteil vom 07.05.2020
3 Ga 9/20


ArbG Augsburg hat entschieden, dass ein Arbeitnehmer nach derzeit geltender Rechtslage keinen Anspruch auf Homeoffice oder ein Einzelbüro hat. Der Arbeitgeber entscheidet - so das Gericht - , wie er seiner Pflicht zu Schutzmaßnahmen nach § 618 BGB nachkommt.

Aus den Entscheidungsgründen:

"1. Der Antrag 1 war mangels Verfügungsanspruch abzuweisen.

Zunächst ist darauf hinzuweisen, dass der Verfügungsanspruch insoweit nicht ausreichend glaubhaft gemacht ist. Die vom Kläger im Termin 7.5.2020 übergebene eidesstattliche Versicherung, gesetzt auf eine Kopie seines Antragsschriftsatzes, erfüllt nicht die zu stellenden Anforderungen an eine eidesstattliche Versicherung.

Unabhängig davon besteht aber auch in der Sache selber kein Anspruch des Klägers auf einen Arbeitsplatz an seinem Wohnsitz (Homeoffice), ein solcher Anspruch ergibt sich weder aus Vertrag noch aus Gesetz.

Es obliegt allein dem Arbeitgeber, wie er seinen Verpflichtungen aus § 618 BGB gerecht wird und sie ermessensgerecht durch entsprechende Ausübung seines Leistungsbestimmungsrechtes umsetzt, um das Ziel zu erreichen, den hausärztlichen Empfehlungen des Klägers zu entsprechen.

2. Der weitergehende Antrag, der unter Bedingungen und somit hilfsweise gestellt ist, ist ebenfalls mangels Verfügungsanspruch abzuweisen.

Ein Anspruch des Klägers auf ein Einzelbüro besteht nicht, auch insoweit fehlt es an einer vertraglichen bzw. gesetzlichen Regelung, welche den Anspruch des Klägers stützen könnte.

Auch insoweit ist jedoch der Arbeitgeber verpflichtet, die notwendigen und erforderlichen Schutzmaßnahmen zu Gunsten des Klägers auf Grund § 618 BGB zu ergreifen, umso mehr eine entsprechende hausärztliche Empfehlung vorliegt. Dies kann auch ein Büro mit mehreren Personen sein, wenn entsprechende Schutzvorkehrungen vorhanden sind. Im Ergebnis kann dies jedoch dahingestellt bleiben, da nach dem Sachvortragt der Beklagten, sobald seine Arbeitsfähigkeit wiederhergestellt ist, in einem Büro alleine beschäftigt wird. Mehr kann der Kläger nicht verlangen."

Den Volltext der Entscheidung finden Sie hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann: Wenn der Datenschützer klingelt - Tipps und Hinweise zum Umgang mit Aufsichtsverfahren durch Landesdatenschutzbehörden

In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.


LAG Nürnberg: Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund - §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar

LAG Nürnberg
Urteil vom 19.02.2020
2 Sa 274/19

Das LAG Nürnberg hat entschieden, dass die Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund möglich ist. §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG ist insoweit mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar.

Aus den Entscheidungsgründen:

Die Beklagte zu 1) bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DS-GVO.

1. Auch die Abberufung des Datenschutzbeauftragten ist in der DS-GVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DS-GVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Der Arbeitsvertragsinhalt ändert sich (BAG 23.03.2011 - 10 AZR 652/09 - Rn 30; 13.03.2007 - 9 AZR 612/05 - Rn 23). Die Abberufung als interner Datenschutzbeauftragter zielt damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel (a.A. Kühling/Buchner/Kühling/Sackmann, 2. Aufl., 2018, BDSG § 38 Rn 20; Ehmann/Sehmayr/Heberlein, 2.Aufl., 2018, DS-GVO Art. 38 Rn 28), da die europarechtliche Kompetenznorm sich insoweit in Art. 153 Abs. 1 lit. b AEUV („Arbeitsbedingungen“) findet. In diesem Bereich wird die EU jedoch nicht durch Verordnung, sondern durch Richtlinien tätig und hindert strengere Schutzmaßnahmen der Mitgliedstaaten nicht (Art. 153 Abs. 4, 2. Spiegelstrich). Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DS-GVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DS-GVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.

Mit dem Bundesgesetzgeber (BT-Drs. 18/11326, 82) vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DS-GVO auch im BDSG n. F. beibehalten werden kann (LAG Sachsen 19.08.2019 - 9 Sa 268/18 Rn 49; ErfK/Franzen, 20. Aufl., 2020, BDSG § 38 Rn 7; BeckOK DatenschutzR/Moos BDSG § 38 Rn 18; Pauly in Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 BDSG Rn 17; Körffer in Paal/Pauly, a.a.O § 6 BDSG, Rn 3).

2. Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Dies hat das Arbeitsgericht überzeugend unter Bezugnahme auf die Entscheidung des BAG vom 23.03.2011 - 10 AZR 562/09 herausgearbeitet. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.

3. Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten zu 1), dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DS-GVO stand. Die Beklagte zu 1) beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.

Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DS-GVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte zu 1) nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.

Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte zu 1) hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Dies gilt erst recht vor dem Hintergrund des behaupteten Wegfalls anderer Arbeitsaufgaben auf Grund der unternehmerischen Entscheidung. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DS-GVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam (Kühling/Buchner/Bergt, 2. Aufl., 2018, DS-GVO Art. 38 Rn 30).

Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DS-GVO festgehalten ist (vgl. hierzu EuArbRK/Franzen 3. Aufl., 2020, DS-GVO Art. 38, Rn 4).


Den Volltext der Entscheidung finden Sie hier:



ArbG Wesel: Mitbestimmungsrecht des Betriebsrats bei Videoüberwachung zur Überprüfung der Einhaltung der Sicherheitsabstände im Zusammenhang mit der Corona-Pandemie

Arbeitsgericht Wesel
Beschluss vom 24.04.2020
2 BVGa 4/20


Das Arbeitsgericht Wesel hat entschieden, dass ein Mitbestimmungsrecht des Betriebsrats bei Einführung der Videoüberwachung zur Überprüfung der Einhaltung der Sicherheitsabstände im Zusammenhang mit der Corona-Pandemie besteht.

Die Pressemitteilung des Gerichts:

Arbeitsgericht Wesel: Unterlassungsverfügung gegen die Nutzung von Kameraaufnahmen zum Zwecke der Abstandsüberwachung

Der Betriebsrat eines Logistik- und Versandunternehmen mit Sitz in Rheinberg, das einem internationalen Konzern angehört, hat den Arbeitgeber im Wege eines einstweiligen Verfügungsverfahrens wegen der Verletzung seiner Mitbestimmungsrechte auf Unterlassung in Anspruch genommen.

Der Arbeitgeber kontrolliert anhand Bildaufnahmen der Arbeitnehmer die Einhaltung der im Rahmen der Corona Pandemie empfohlenen Sicherheitsabstände von mindestens 2 Metern im Betrieb. Dazu verwendet er die im Rahmen der betrieblichen Videoüberwachung erstellen Aufnahmen, die er auf im Ausland gelegenen Servern mittels einer Software anonymisiert.

Das Arbeitsgericht hat dem Unterlassungsanspruch des Betriebsrates teilweise stattgegeben. Hierbei ist das Arbeitsgericht davon ausgegangen, dass die Übermittlung der Daten ins Ausland der im Betrieb geltenden Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras widerspricht. Zudem hat das Gericht bei seiner Entscheidung darauf abgestellt, dass die Mitbestimmungsrechte des Betriebsrates aus § 87 Abs. 1 Nr. 6 und 7 BetrVG verletzt sind.

Der Beschluss ist nicht rechtskräftig.


ArbG Siegburg: Missbrauch von Kundendaten durch IT-Mitarbeiter rechtfertigt fristlose Kündigung des Arbeitsverhältnisses

ArbG Siegburg
Urteil vom 15.01.2020
3 Ca 1793/19


Das ArbG Siegburg hat entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war seit 2011 bei der Beklagten als SAP-Berater tätig. Der Kläger bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt am 26.08.2019 eine fristlose Kündigung. Er erhob dagegen Kündigungsschutzklage.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung der 3. Kammer gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Arbeitsgericht Siegburg – Aktenzeichen 3 Ca 1793/19 vom 15.01.2020.

ArbG Berlin: Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG und nur mit Einwilligung des Betroffenen zulässig

ArbG Berlin
Urteil vom 16.10.2019
29 Ca 5451/19


Das ArbG Berlin hat entschieden, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG ist und daher nur mit Einwilligung des Betroffenen zulässig ist.

Aus den Entscheidungsgründen:

"Die Abmahnung vom 05. Oktober 2018 sowie die Abmahnung vom 26. März 2019 wegen Nichtbenutzung des Zeiterfassungssystems ZEUS sind aus der Personalakte des Klägers zu entfernen.

Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 Satz 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (ständige Rechtsprechung des BAG, hier nur herausgreifend Urteil vom 20. Januar 2015, 9 AZR 860/13, juris).

Diese Voraussetzungen liegen im Streitfall vor. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen.

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor.

Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm „aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.

2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.

3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen (Weth/Herberger/Wächter/Sorge-Kramer B XI. Rn.-Nr. 9f mit weiteren Nachweisen).

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG).

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Nach alledem vermag die Kammer nicht festzustellen, dass vorliegend die Interessen der Beklagten das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung überwiegen.

Daher sind diese Abmahnungen aus der Personalakte des Klägers zu entfernen."


Den Volltext der Entscheidung finden Sie hier: