Das LAG Hamm hat entschieden, dass einem Arbeitnehmer ein Unterlassungsanspruch und immaterieller Schadensersatz in Höhe von 2.000 EURO zusteht, wenn der Arbeitgeber durch Datenweitergabe innerhalb des Konzerns, die nicht für die Durchführungen des Arbeitsverhältnisses erforderlich ist, gegen die Vorgaben der DSGVO verstößt.
Aus den Entscheidungsgründen:
1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.
a) Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht - anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) - auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).
b) Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.
aa) Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 - Rn. 73 mwN).
bb) Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten - zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung - gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl. BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).
c) Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.
d) Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.
e) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.
aa) Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.
bb) Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.
(1) § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).
(2) Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.
(a) Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).
(b) Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.
(3) Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.
cc) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.
aa) Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).
(1) Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 - Rn. 76).
(2) Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 - Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) - Rn. 31).
[...]
bb) Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.
(1) Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.
Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und - änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.
(2) Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.
(a) Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung dieses Vorgehens vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).
(b) Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.
[...]
dd) Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.
(1) Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.
(2) In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).
(a) Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.
Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 – Rn. 30 mwN.).
(b) Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).
f) Es besteht auch die erforderliche Wiederholungsgefahr.
aa) Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 - 1 AZR 179/11 - Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 - 1 AZR 257/13 - Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).
bb) Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).
2. Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.
a) Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).
b) Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.
c) Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.
d) Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.
aa) Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.
bb) Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.
e) Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.
Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der - auch hier eingetretene - Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).
f) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.
aa) Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).
bb) Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.
(1) Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.
(2) Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch - jedenfalls bis zur Löschung der Daten durch die AKG - geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.
(3) Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.
(4) Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.
(5) Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.
(6) Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.
g) Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.
B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.
I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.
Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).
Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.
1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.
Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).
§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.
[...]
3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).
a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.
aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.
Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.
Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).
Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).
bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:
(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.
(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).
Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).
Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.
(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.
Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.
Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.
Das VG Köln hat entschieden, dass die Anordnung der Abberufung eines Datenschutzbeauftragten durch di Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig ist.
Aus den Entscheidungsgründen:
Der zulässige – sinngemäß gestellte - Antrag nach § 80 Abs. 5 der Verwaltungsgerichtsordnung (VwGO),Gründe
die aufschiebende Wirkung der Klage des Antragstellers (13 K 5069/21) gegen Ziffern 2. und 3. der Anweisungsverfügung des Antragsgegners vom 27. September 2021wiederherzustellen,
hat in der aus dem Tenor ersichtlichen Form Erfolg.
Dabei ist zunächst die Anordnung der sofortigen Vollziehung schon formell rechtswidrig. Insoweit genügt bereits die Begründung der Anordnung der sofortigen Vollziehung in dem Bescheid des Antragsgegners vom 27. September 2021 nicht den maßgeblichen Anforderungen.
Gemäß § 80 Abs. 3 Satz 1 VwGO ist bei der Anordnung der sofortigen Vollziehung das besondere Interesse an der sofortigen Vollziehung schriftlich zu begründen. Dies soll den Betroffenen in die Lage versetzen, in Kenntnis dieser Gründe seine Rechte wirksam wahrzunehmen und die Erfolgsaussichten des Rechtsbehelfs abzuschätzen. Der Behörde wird zugleich der Ausnahmecharakter der Vollziehungsanordnung verdeutlicht und eine besonders sorgfältige Prüfung des Vollzugsinteresses auferlegt. Diese Warnfunktion soll zu einer sorgfältigen Prüfung des Interesses an der sofortigen Vollziehung veranlassen. Der Betroffene wird über die Gründe, die für die behördliche Entscheidung maßgebend gewesen sind, unterrichtet; er kann danach die Erfolgsaussichten eines Aussetzungsantrags gemäß § 80 Abs. 5 Satz 1 VwGO abschätzen. Dem Gericht erlaubt die Kenntnis der verwaltungsbehördlichen Erwägungen für die sofortige Vollziehbarkeit eine ordnungsgemäße Rechtskontrolle und ermöglicht gleichzeitig bei der eigenständig vom Gericht zu treffenden Ermessensentscheidung das Erkennen der gegebenenfalls maßgeblichen Parameter.
Notwendig ist dafür eine auf die Umstände des konkreten Falles bezogene Darlegung des besonderen Interesses gerade an der sofortigen Vollziehbarkeit des Verwaltungsakts. Insbesondere muss die Vollziehbarkeitsanordnung erkennen lassen, dass sich die Behörde des rechtlichen Ausnahmecharakters der Anordnung bewusst ist. Formelhafte, also für beliebige Fallgestaltungen passende Wendungen, formblattmäßige oder pauschale Argumentationsmuster oder die bloße Wiederholung des Gesetzestextes genügen nicht. Ebenso wenig reicht es aus, dass sich die Begründung erst aus dem Gesamtzusammenhang eines Bescheids ermitteln lässt, sofern nicht ausnahmsweise die den Erlass des Verwaltungsakts rechtfertigenden Gründe zugleich die Dringlichkeit der Vollziehung belegen. Das besondere Vollziehbarkeitsinteresse ist vielmehr gesondert zu begründen. Aus ihr muss hervorgehen, dass und warum die Verwaltung im konkreten Fall dem sofortigen Vollziehbarkeitsinteresse Vorrang vor dem Aufschubinteresse des Betroffenen einräumt,
vgl. nur Schoch in: Schoch/Schneider/Bier, VwGO, 41. EL Juli 2021, § 80 Rdn. 247 m.w.N.
Gemessen an diesen Grundsätzen genügt die Begründung des Sofortvollzuges der Ziffer 2 und 3 in der angegriffenen Anweisungsverfügung vom 27. September 2021 den Anforderungen des § 80 Abs. 3 Satz 1 VwGO nicht:
Zwar wird aus der Begründung, die sich ausführlich zu der abstrakten Frage verhält, ob die Aufsichtsbehörde überhaupt – entgegen § 20 Abs. 7 des Bundesdatenschutzgesetzes (BDSG) - die sofortige Vollziehung gegenüber einer Behörde anordnen darf, hinreichend deutlich, dass sich der Antragsgegner des Ausnahmecharakters der Anordnung der sofortigen Vollziehung bewusst gewesen ist. In der Folge werden in der Begründung jedoch keinerlei konkrete Umstände des Einzelfalles in den Blick genommen. Zudem wird sodann lediglich einseitig das öffentliche Interesse an einer sofortigen Vollziehung hervorgehoben, ohne dass eine Abwägung mit den Interessen des Antragstellers an der aufschiebenden Wirkung der Klage erfolgte. Etwaige Interessen des Antragstellers werden vielmehr nicht einmal bezeichnet.
Dieses Vorgehen genügt nach den aufgezeigten Maßstäben nicht den Anforderungen des § 80 Abs. 3 Satz 1 VwGO, weil bereits die Parameter für die Interessenabwägung nicht benannt werden.
Der Aussetzungsantrag hat mit der Maßgabe Erfolg, dass die aufschiebende Wirkung der Klage 13 K 5069/21, soweit Ziffern 2. und 3. der Anweisungsverfügung vom 27. September 2021 in Rede stehen, festzustellen war.
Es steht nämlich im Ergebnis ein so genannter Fall der „faktischen“ Vollziehung in Rede, d.h. einer Vollziehung, die unter Missachtung der aufschiebenden Wirkung eines Rechtsbehelfs erfolgt,
Nach § 20 Abs. 7 BDSG darf die Aufsichtsbehörde gegenüber einer Behörde oder deren Rechtsträger nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.
Dies hat der Antragsgegner im Hinblick auf den Anwendungsvorrang des Unionrechts dennoch getan, weil er § 20 Abs. 7 BDSG für unanwendbar hält.
Es kann dahinstehen, ob die europarechtlichen Bedenken, die gegen die Regelung des § 20 Abs. 7 BDSG geltend gemacht werden,
Zwar kann gerade bei Rechtsverletzungen im Datenschutzrecht mitunter schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten sein. Im Konfliktfall mag daraus die Unanwendbarkeit der innerstaatlichen Bestimmung bei Maßnahmen der Aufsichtsbehörde nach Art. 58 der Datenschutzgrundverordnung (DSGVO),
Verordnung Nr. 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Abl. L 119),
folgen,
vgl. Schoch, a.a.O.
Dass aber hier ein solcher Konfliktfall vorläge bzw. schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten wäre, ist vom Antragsgegner nicht dargelegt worden. Eine solche Konstellation ist auch sonst nicht ersichtlich, zumal der Antragsteller derzeit über einen behördlichen Datenschutzbeauftragten (Herrn C. F. ) verfügt.
Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des § 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind.
Nach der genannten Norm darf die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.
„Verarbeitung“ im Sinne der DSGVO meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Abs. 2 DSGVO.
Dabei stellen die – allenfalls als einschlägig heranzuziehende - Organisation und das Ordnen von Daten Vorgänge dar, durch die Möglichkeiten zur Auffindung und Auswertung dieser Daten vereinfacht oder verbessert werden, etwa indem sie in einer in bestimmter Weise aufgebauten Datei gespeichert werden. Das Ordnen stellt einen Unterfall des allgemeineren Begriffs der Organisation dar; der Begriff des Ordnens stellt auf ein bestimmtes Kriterium ab, nach dem jeweils die Daten geordnet werden (z.B. nach alphabetischer oder numerischer Reihenfolge).
Das LG Essen hat entschieden, dass die Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit den Vorgaben der DSGVO vereinbar ist. Zudem hat das Gericht entschieden, dass ein Anspruch aus Art. 82 DSGVO abgetreten werden kann.
Aus den Entscheidungsgründen:
Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt zu.
a) Ein Anspruch des Klägers ergibt sich zunächst nicht aus Art. 82 Abs. 1 DSGVO.
Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen i.S.d. DSGVO. Zwar ist der Kläger auch hinsichtlich der Ansprüche seiner Ehefrau aktivlegitimiert. Es liegt auch - zumindest hinsichtlich der fehlenden Mitteilung an die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW - ein Verstoß gegen die DSGVO vor. Der Kläger hat jedoch nicht hinreichend substantiiert dargetan, dass ihm ein erheblicher Schaden entstanden ist. Im Einzelnen:
aa) Der Kläger ist zunächst aktivlegitimiert. Für seinen eigenen Anspruch ist dies unproblematisch der Fall. Die Aktivlegitimation besteht darüber hinaus - entgegender Ansicht der Beklagten - auch hinsichtlich des Anspruchs seiner Ehefrau.
Aufgrund des Abtretungsvertrags vom 06.06.2021 (Anlage K 5, Bl. 20 d. A.) ist der Kläger Forderungsinhaber geworden, § 398 BGB.
Grundsätzlich ist jede Forderung abtretbar (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 8); insbesondere auch Schmerzensgeldansprüche (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 253 BGB Rn. 22). Ein Abtretungsverbot nach §§ 399, 400 BGB besteht nicht. Die vermeintliche Forderung der Ehefrau des Klägers gegen die Beklagte unterliegt weder der Pfändung (§ 400 BGB) noch wurde die Abtretung durch Vereinbarung ausgeschlossen oder erfordert die Abtretung eine Inhaltsänderung der Leistung (§ 399 BGB).
Die Abtretung ist zudem wirksam, insbesondere ist sie hinreichend bestimmt. Dabei genügt es, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar ist, ob sie von der Abtretung erfasst wird (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 14). Das ist hier der Fall. In dem Abtretungsvertrag ist unter Ziffer 1 das Rechtsverhältnis, aus dem sich etwaige Ansprüche ergeben können, hinreichend bestimmt bezeichnet. Dort heißt es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die [xxx] - die hiesige Beklagte - in einer noch durch ein Gericht festzulegenden Höhe zustehen. Zudem wird der Grund des Schadensersatzanspruchs noch näher beschrieben; nämlich der Verlust eines USB-Sticks mit umfangreichen persönlichen und sensiblen Daten.
bb) Der Beklagten ist ein Verstoß gegen Art. 33 DSGVO vorzuwerfen - unterstellt, der USB-Stick ist tatsächlich verloren gegangen.
Gemäß Art. 33 Abs. 1 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Eine solche Meldung ist indes - unstreitig - nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben.
Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).
Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b- d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen - hier dem Kläger und seiner Ehefrau - mitgeteilt werden. Dies ist jedoch - unstreitig - nicht erfolgt.
cc) Dagegen liegt kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO vor.
Danach hat der Verantwortliche i.S.d. DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit
und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. In Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO werden dafür exemplarisch die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt. Ein Verstoß der Beklagten liegt indes nicht vor.
Die Kammer konnte kein Fehlverhalten im Haus der Beklagten feststellen. Dabei ist zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt ist. Dies wird auch von Klägerseite nicht behauptet. Vielmehr soll der USB-Stick auf dem Postversand verloren gegangen sein.
Die Kammer sieht zudem keinen Grund, weshalb die Beklagte den USB-Stick nicht per einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Zwar waren auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich. Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht.
Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.
Ferner bestand keine Verpflichtung der Beklagten, den USB-Stick dem Kläger oder seiner Verlobten persönlich zu übergeben. Unstreitig wurde dies nicht durch den Kläger oder seine Ehefrau gefordert. Zudem bestand für die Beklagte - wie bereits ausgeführt - keine Veranlassung, an dem zuverlässigen Versand durch die Deutsche Post zu zweifeln.
dd) Der Kläger hat jedoch ohnehin nicht hinreichend substantiiert dargetan, dass ihm und seiner Ehefrau ein konkreter immaterieller Schaden entstanden ist.
Für den - hier geltend gemachten - immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31) (vgl. LG Köln, Urteil vom 07.10.2020 - 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Allein die - etwaige - Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Gemessen an diesen Grundsätzen kann die Kammer anhand des klägerischen Vortrags spürbare Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau in keiner Weise feststellen.
Der Kläger hat lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten. Weiter wird dies indes nicht ausgeführt. Die Kammer hat dabei berücksichtigt, dass der Verlust eines USB-Sticks, auf dem sich ungesicherte persönliche und wirtschaftliche Informationen befinden, durchaus zu einem „unguten Gefühl“ führen kann. Der Kläger hat jedoch in keiner Weise vorgetragen, inwiefern sich für ihn bzw. seine Ehefrau eine ernsthafte Beeinträchtigung ergeben hat. Negative Auswirkungen des Verlustes haben sich nicht gezeigt -zumindest wurden sie weder vorgetragen noch ergeben sie sich aus den sonstigen Umständen des Falles. Es ist zudem völlig unklar, was mit dem USB-Stick passiert ist - unterstellt, er ist tatsächlich abhandengekommen. Negative Auswirkungen des behaupteten Verlustes - etwa in Form eines Identitätsdiebstahls oder ähnliches - müssten der Kläger und seine Ehefrau allenfalls befürchten, wenn der USB-Stick in die Hände eines Dritten gelangt ist. Ob das der Fall ist, ist völlig unklar. Genauso gut ist es möglich, dass der USB-Stick bei der Verarbeitung der Briefe im Bereich der Deutschen Post zerstört oder beschädigt wurde. Im klägerischen Schriftsatz vom 15.09.2021 ist die Rede von einer walzen- und rollenbetriebenen Sortieranlage der Deutschen Post. Insofern ist es durchaus wahrscheinlich, dass ein USB-Stick in dieser Sortieranlage beschädigt werden kann. In diesem Fall wäre es somit ausgeschlossen, dass ein unbefugter Dritter überhaupt an die Daten des Klägers und seiner Ehefrau gelangen könnte.
Dieses Ergebnis steht nicht im Widerspruch zu der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (1 BvR 2853/19), in der es um die‚ Ablehnung eines immateriellen Schadensersatzanspruchs wegen fehlender Erheblichkeit ging, was „weder unmittelbar in der DSGVO angelegt [sei], noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet [werde]. Denn im vorliegenden Fall wurde nicht einmal eine spürbare Beeinträchtigung des Klägers und seiner Ehefrau vorgetragen. Über die Frage der Erheblichkeit musste die Kammer daher nicht entscheiden.
Im Übrigen hält die Kammer das Vorgehen des Klägers, außergerichtlich zunächst einen niedrigeren Schmerzensgeldbetrag zu fordern, unter Androhung, den Betrag zu erhöhen, falls ein gerichtliches Verfahren erforderlich werde, für äußerst befremdlich. Generell ist der vom Kläger geforderte Betrag deutlich übersetzt, wie insbesondere ein Vergleich mit Schmerzensgeldansprüchen wegen Körperverletzungen verdeutlicht, was insgesamt ein überbordendes Gewinnstreben des Klägers aufzeigt, hingegen nicht, dass er sich durch die behaupteten Vorgänge in irgendeiner Art und Weise persönlich beeinträchtigt sieht.
b) Ein Anspruch des Klägers folgt ferner nicht aus Schadensersatzgesichtspunkten. Sowohl vorvertragliche Schadensersatzansprüche (§§ 280 Abs. 1, 311 Abs. 2, 241 Abs. 2, 253 Abs. 2 BGB) als auch deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Insofern wird auf die obigen Ausführungen Bezug genommen, die hier sinngemäß gelten.
Das BAG hat dem EuGH zu Entscheidung vorgelegt, ob die Anforderungen des BDSG an die Abberufung eines betrieblichen Datenschutzbeauftragten mit den Vorgaben der DSGVO in Einklang stehen.
Die Pressemitteilung des Gerichts:
Abberufung eines Beauftragten für Datenschutz
Zur Klärung der Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) an die Abberufung eines betrieblichen Datenschutzbeauftragten im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) stehen, hat der Neunte Senat des Bundesarbeitsgerichts ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet.
Der Kläger ist der von der Arbeit teilweise freigestellte Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Mit Wirkung zum 1. Juni 2015 wurde er zusätzlich zum betrieblichen Datenschutzbeauftragten der Beklagten und - parallel dazu - drei weiterer Konzernunternehmen bestellt. Die Beklagte berief den Kläger (ebenso wie die drei weiteren Konzernunternehmen) mit Schreiben vom 1. Dezember 2017 und - nach Inkrafttreten der DSGVO - mit weiterem Schreiben vom 25. Mai 2018 als Datenschutzbeauftragten ab. Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, die einen wichtigen Grund zur Abberufung des Klägers darstelle.
Die Vorinstanzen haben der Klage stattgegeben. Für die Entscheidung, ob die Beklagte den Kläger wirksam von seinem Amt als betrieblicher Datenschutzbeauftragter abberufen hat, kommt es auf die Auslegung von Unionsrecht an, die dem Gerichtshof der Europäischen Union vorbehalten ist. Das nationale Datenschutzrecht regelt in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund iSv. § 626 BGB vorliegen muss. Damit knüpft es die Abberufung eines Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, nach dessen Art. 38 Abs. 3 Satz 2 DSGVO die Abberufung lediglich dann nicht gestattet ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Einen wichtigen Grund zur Abberufung verlangt das europäische Recht nicht.
Der Neunte Senat des Bundesarbeitsgerichts hält unter Zugrundelegung der bisherigen Rechtsprechung vorliegend keinen wichtigen Abberufungsgrund für gegeben. Deshalb hat er sich nach Art. 267 AEUV mit der Frage an den Gerichtshof gewandt, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die - wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG - die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken. Sollte der Gerichtshof
die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält der Senat es zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt.
Bundesarbeitsgericht, Beschluss vom 27. April 2021 - 9 AZR 383/19 (A) -
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 - 9 Sa 268/18 –
Der Senat hat mit weiterem Beschluss vom 27. April 2021 den Gerichtshof in der Sache - 9 AZR 621/19 (A) - mit teilweise gleichgelagerten Fragen um Vorabentscheidung ersucht.
Das ArbG Mannheim hat wenig überraschend entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 DSGVO zugesprochen werden kann, wenn der Kläger nicht darlegt, welche datenschutzrechtlichen Vorschriften durch welche Handlungen konkret verletzt wurden.
OVG Schleswig-Holstein
Beschluss vom 19.03.2021 8 B 7/21
Das OVG Schleswig-Holstein hat entschieden, dass die Berufung auf ein Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG erstmals im Zwangsgeldverfahren zu spät ist.
Aus den Entscheidungsgründen:
Der Antrag nach § 80 Abs. 5 S. 1 VwGO, die aufschiebende Wirkung der Klage 8 A 47/21 vom 19.02.2021 gegen die mit Bescheid vom 05.02.2021 (Bl. 30 Beiakte „A“) verfügte Zwangsgeldfestsetzung anzuordnen, ist zulässig, aber unbegründet.
Die Zwangsgeldfestsetzung erweist sich nach summarischer Prüfung als offensichtlich rechtmäßig, so dass das gesetzlich indizierte (§ 248 Abs. 1 S. 2 LVwG) öffentliche Vollziehungsinteresse das Aussetzungsinteresse der Antragstellerin überwiegt. Ihre Rechtsgrundlage findet die Zwangsgeldfestsetzung in § 237 LVwG. Das Zwangsgeld ist ordnungsgemäß i. S. d. § 236 Abs. 1 S. 1 LVwG angedroht worden. Es hält sich im gesetzlichen Rahmen (§ 237 Abs. 3 LVwG) und steht zum öffentlichen Interesse einerseits und der wirtschaftlichen Bedeutung für die Antragstellerin andererseits in einem angemessenen Verhältnis. Die zugrundeliegende Ordnungsverfügung vom 21.12.2020 (Bl. 17 Beiakte A) ist unstreitig bestandskräftig geworden und die Antragstellerin ist den in dieser Verfügung angeordneten Auskünften nicht nachgekommen.
Die Antragstellerin kann sich gegenüber der Zwangsgeldfestsetzung auch nicht auf das aus § 40 Abs. 4 S. 2 BDSG folgende Auskunftsverweigerungsrecht berufen. Nach dieser Vorschrift kann der Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde, worauf der Auskunftspflichtige hinzuweisen ist.
Die Antragstellerin greift mit ihrer Berufung auf ein Auskunftsverweigerungsrecht die hier zugrundeliegende Verfügung vom 21.12.2020 an. Diese ist jedoch bestandskräftig. Anhaltspunkte für eine Nichtigkeit sind nicht ersichtlich. Sie hat sich im die Grundverfügung betreffenden Verfahren zu keinem Zeitpunkt auf ein Auskunftsverweigerungsrecht berufen. In einem solchen Fall gilt der allgemeine Grundsatz des § 248 Abs. 2 LVwG, dass Einwendungen gegen den dem Vollzug zugrundeliegenden Verwaltungsakt nur außerhalb des Vollzugsverfahrens mit den dafür zugelassenen Rechtsbehelfen geltend gemacht werden können. Folglich kann ein Auskunftsverweigerungsrecht im Vollzugsverfahren nicht mehr mit Erfolg geltend gemacht werden (vgl. VG Göttingen, Urteil vom 31.05.2017, 1 A 83/15, BeckRS 2017, 116998 zu § 38 Abs. 3 S. 2 BDSG a.F.; VG Minden, Urteil vom 26.04.2012, 2 K 884/12, zitiert nach juris). Damit wird dem rechtsstaatlichen Gehalt des Aussagverweigerungsrechts ausreichend Rechnung getragen.
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro wegen angeblich nicht datenschutzkonformer Videoüberwachung seiner Mitarbeiter verhängt. Der Bescheid ist nicht rechtskräftig.
Die Pressemitteilung der LfD Niedersachsen:
LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.
Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.
Generalverdacht reicht nicht aus
„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“
Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.
Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.
Das LG Detmold hat entschieden, dass ein Vertrag bei unberechtigter Datenweitergabe unter Verstoß gegen die Vorgaben von DSGVO bzw. BDSG nicht nach § 134 BGB nichtig ist.
Aus den Entscheidungsgründen:
Die Verträge sind auch nicht nach § 134 BGB nichtig, selbst für den Fall, dass eine unberechtigte Datenweitergabe durch die Klägerin erfolgte. Unterstellt, es läge ein Verstoß gegen das BDSG bzw. die DSGVO vor, so wären die Voraussetzungen des § 134 BGB nicht erfüllt. Nach der Rechtsprechung des BGH handelt es sich dabei nämlich nicht um ein Verbotsgesetz iSv § 134 BGB. Daran habe sich auch mit dem Inkrafttreten der DSGVO nichts geändert (BGH NJW 2011, 3024; Vossler, in: beck-online.GROSSKOMMENTAR, Stand: 01.10.2019, § 134, Rn. 344).
Das BAG hat dem EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO zur Entscheidung vorgelegt.
Leitsätze des BAG:
Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:
1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?
Falls die erste Frage bejaht wird:
2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?
Falls die erste Frage bejaht wird:
3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?
In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.
LAG Berlin-Brandenburg
Urteil vom 04.06.2020 10 Sa 2130/19
Das LAG Berlin-Brandenburg hat entschieden, dass ein biometrisches Zeiterfassungsystem im Regelfall nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG ist.
Aus den Entscheidungsgründen:
Die Berufung ist zwar zulässig, aber nicht begründet. Denn der Beklagten ist es nicht gelungen darzulegen, dass der Kläger mit dem in den drei Abmahnungen gerügten Verhalten seine arbeitsvertraglichen Pflichten verletzt hat. Im Ergebnis und auch in der Begründung ist keine andere Beurteilung als in erster Instanz gerechtfertigt. Das Landesarbeitsgericht folgt dem Arbeitsgericht Berlin hinsichtlich der Begründung und sieht insoweit gemäß § 69 Abs. 2 ArbGG von einer nur wiederholenden Begründung ab. Die Angriffe der Berufung sind nicht geeignet, die Rechtslage anders zu beurteilen.
1. Minutien sind entgegen der von der Beklagten in der Berufungsverhandlung geäußerten Ansicht biometrische Daten. Minutien sind zwar „nur“ Fingerlinienverzweigungen, so dass der dazu gehörige Fingerabdruck nicht „als Ganzes“ verarbeitet wird. Nach Art. 4 Nr. 14 der europäischen Datenschutzgrundverordnung (DSGVO) sind biometrische Daten aber alle mit speziellen technischen Verfahren gewonnene personenbezogene Daten u.a. zu den physischen und physiologischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglicht oder bestätigt. Das ist bei Minutien der Fall.
2. Die Beklagte verkennt mit ihrer Argumentation in der Berufung den Regelungsgehalt der DSGVO. Wie das Arbeitsgericht bereits hervorgehoben hat, regelt Art. 9 Abs. 1 DSGVO ausdrücklich, dass die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person untersagt ist. Von diesem Grundsatz lässt Art. 9 Abs. 2 DSGVO zwar, wie das Arbeitsgericht auch ausgeführt hat, einzelne Ausnahmen zu. Im hiesigen Fall kommt allein die Ausnahme nach Art. 9 Abs. 2 lit. b DSGVO in Betracht. Danach muss die Verarbeitung erforderlich sein, damit die Beklagte oder der Kläger die ihnen aus dem Arbeitsrecht erwachsenden Rechte ausüben und ihren diesbezüglichen Pflichten nachkommen können, soweit dies nach Unionsrecht, nach nationalem Recht oder nach einer Kollektivvereinbarung zulässig ist.
2.1 Nach der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) vom 14. Mai 2019 in der Rechtssache C-55/18, die zum Zeitpunkt der hier streitigen Abmahnungen noch nicht bekannt war, gebieten die Art. 3, 5 und 6 der Richtlinie 2003/88/EG des Europäischen Parlaments und des Rates vom 4. November 2003 über bestimmte Aspekte der Arbeitszeitgestaltung im Licht von Art. 31 Abs. 2 der Charta der Grundrechte der Europäischen Union sowie von Art. 4 Abs. 1, Art. 11 Abs. 3 und Art. 16 Abs. 3 der Richtlinie 89/391/EWG des Rates vom 12. Juni 1989 über die Durchführung von Maßnahmen zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit, dass Arbeitgeber ein System einrichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.
Die Beklagte hat zwar als das wesentliche Ziel der Einführung des Zeiterfassungssystems Model „ZEUS“ der Firma I. GmbH nebst einem Terminal „IT 8200 FP“ die Verhinderung von Arbeitszeitmanipulationen angegeben und nicht die Sicherstellung von gerechten und angemessenen Arbeitsbedingungen, wie Art. 31 GRCh das insbesondere durch eine Begrenzung der Höchstarbeitszeit und die Einhaltung der täglichen und wöchentlichen Ruhezeiten vorsieht. Aber dennoch ist ein Arbeitgeber nach den im vorhergehenden Absatz genannten Normen verpflichtet, ein objektives, verlässliches und zugängliches System, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann, einzurichten.
Es ist aber nicht ersichtlich, dass ein objektives, verlässliches und zugängliches System der Verarbeitung biometrischer Daten des Klägers (oder anderer Mitarbeitender) bedarf. In der Rd.-Nr. 63 der EuGH-Entscheidung vom 14. Mai 2019 hat der Gerichtshof ausdrücklich auf die Rd.-Nrn. 85-88 der Schlussanträge des Generalanwalts Bezug genommen. Dieser hat dort in Rd.-Nr. 87 ausdrücklich ausgeführt:
Insoweit ist darauf hinzuweisen, dass die derzeitige Technologie die verschiedensten Systeme zur Erfassung der Arbeitszeit ermöglicht (Aufzeichnungen in Papierform, Computerprogramme, elektronische Zeitausweise).
Zwar erlaubt Art. 88 DSGVO zusätzliche nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext. Davon hat der deutsche Gesetzgeber mit § 26 BDSG Gebrauch gemacht. Aber auch für die Verarbeitung von Daten im Beschäftigungskontext gelten zunächst die allgemeinen Regelungen der DSGVO. Die Öffnungsklausel in Art. 88 DSGVO ist keine Bereichsausnahme in dem Sinn, dass der Anwendungsbereich der Verordnung per se eingeschränkt wäre (vgl. etwa Nolte in Kommentar zur Datenschutzgrundverordnung, hrsg. von Gierschmann u.a., Art. 88 RN 9). Der Maßstab bei der Verarbeitung biometrischer Daten ist im Beschäftigungskontext kein anderer als außerhalb des Beschäftigungskontexts (Nolte, ebenda RN 13). Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern (Nolte, ebenda RN 19 m.w.N.).
2.2 In einem zweiten Schritt ist deshalb zu prüfen, ob die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können. In der Gesetzesbegründung zu § 26 BDSG hat der deutsche Gesetzgeber festgehalten, dass im Rahmen der Erforderlichkeitsprüfung die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen seien. Dabei seien die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtige (BT-Drs. 18/11325, S. 97).
Zusätzlich zur Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der betroffenen Beschäftigten die Interessen des verantwortlichen Arbeitgebers an der Verarbeitung überwiegen (BT-Drs. 18/11325, S. 98). Erst wenn also diese Erforderlichkeit und die Feststellung, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen grundsätzlich bejaht werden sollten, kommt es auf die von der Beklagten auch angegebenen „geeigneten Garantien für die Grundrechte und die Interessen der betroffenen Person“ an, also technische und organisatorische Vorkehrungen wie z.B. Anonymisierung, Pseudonymisierung und Zugriffsbeschränkungen auf die biometrischen Daten des Klägers.
„Erforderlich“ ist ein technisches System, das das Persönlichkeitsrecht eines Menschen berührt, nur dann, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkende Mittel zur Verfügung steht (BAG vom 25. April 2017 – 1 ABR 46/15). Auch das hat das Arbeitsgericht zutreffend seiner Entscheidung zugrunde gelegt.
Die Beklagte hat in der Berufungsbegründung auf Seite 10, wenn auch vielleicht versehentlich, ausdrücklich angegeben, dass es neben dem Terminal „IT 8200 FP“ für das Zeiterfassungssystem Model „ZEUS“ der Firma I. GmbH auch ein Terminal mit der Bezeichnung „IT 8200“ gibt. Dabei handelt es sich um ein Ausweisleser-System, also ein System ohne Nutzung biometrischer Daten des Klägers, was eine Internetrecherche bestätigt hat. Dieses ist mit Chipkarten und Transpondern und anderen lesbaren Ausweisen zu betreiben.
2.2.1 Die Beklagte hat angeführt, dass das Zeiterfassungssystem im Betrieb (mit biometrischen Daten u.a. des Klägers) zu betreiben sei, weil in diesem System bereits die Soll-Arbeitszeiten hinterlegt seien, die zuvor in dem Papiersystem regelmäßig und nicht nachvollziehbar verlängert oder reduziert worden seien. Diese Funktionalität wäre mit dem Terminal IT 8200 ebenso vollständig nutzbar, ohne biometrische Daten des Klägers zu verarbeiten.
2.2.2 Die Beklagte hat weiter ausgeführt, dass der bundesweit tätige Konzern, dem die Beklagte angehöre, eine einheitliche Erfassung der Anwesenheitszeiten mittels Fingerabdruckscanner wünsche. Das Personal werde über die Konzernpersonalabteilung einheitlich gesteuert. Das sei ein legitimes Interesse und auch im Interesse der Mitarbeitenden, denen Aufstiegschancen im Konzern ermöglicht würden. Auch wenn nicht ganz verständlich ist, weshalb für die Aufstiegschancen von Beschäftigten die Anwesenheitszeiten relevant sind, könnte dieser Effekt jedenfalls auch mit dem Terminal IT 8200 ebenso erreicht werden.
2.2.3 Die Beklagte hat auch als legitimes Interesse angeführt, dass die Zeiterfassung mittels Fingerscanner auf Dauer preiswerter sei als die Pflege eines Chipkartensystems, welches bei Kartenverlust ausgetauscht bzw. neu programmiert werden müsse. Nähere Angaben zur Kalkulation der beiden Varianten hat die Beklagte nicht vorgetragen, obwohl der Kläger in der Berufungserwiderung vom 23. März 2020 ausdrücklich bestritten hat, dass ein Fingerabdrucksystem preiswerter und längerfristig günstiger zu betreiben sei als ein chipkartengesteuertes System. Deshalb kann mangels entsprechendem Tatsachenvortrag der Beklagten in diesem Verfahren dahinstehen, ob und gegebenenfalls welche Kostenersparnis die Verarbeitung biometrischer Daten eines Beschäftigten rechtfertigen könnte.
2.2.4 Ein weiteres Interesse am Einsatz des Systems hat die Beklagte damit angegeben, dass auch beim Vergessen und Verlieren der Chipkarte die Arbeitszeit nicht fehlerfrei erfassbar sei. Dazu hat die Beklagte aber selbst bereits in einer Informationsmail vom 27. Juli 2018 an die Beschäftigten angenommen, dass es auch bei dem Terminal IT 8200 FP Situationen des Nichtfunktionierens geben könne. Dort hatte die Beklagte ausdrücklich ausgeführt:
„Sollte die Zeiterfassung mal nicht funktionieren, schreibt Euch bitte die Arbeitszeiten auf. Diese werden dann nachträglich im System eingepflegt. Doreen wird sich zukünftig um diese Aufgaben kümmern …“
Selbst wenn die Beklagte davon ausgehen sollte, dass Beschäftigte der Beklagten in relevantem Umfang Chipkarten vergessen oder verlieren würden, hätte es die Beklagte in der Hand, durch den Einsatz kleinerer Transponder, die man mit dem Schlüsselbund verbinden könnte, das Risiko des Vergessen und Verlierens erheblich zu minimieren. Im Übrigen erschließt sich für das Berufungsgericht nicht, weshalb bei einem technischen Versagen des Systems die händische Aufzeichnung ausreichen soll, bei einem menschlichen Versagen (des Systems) aber nicht. Im Übrigen wäre es der Beklagten natürlich auch nicht verwehrt, ein tatsächliches Fehlverhalten des Klägers zu sanktionieren. Da der Kläger seine Arbeit zusammen mit anderen Beschäftigten (und Patienten) erledigt, ist nicht ersichtlich, dass etwaige Arbeitszeitmanipulationen im Betrieb auch ohne dauernd anwesende Praxismanager unentdeckt bleiben würden.
2.2.5 Weitere Aspekte für das System der Verarbeitung biometrischer Daten des Klägers hat die Beklagte mit dem Umstand benannt, dass sensible Gesundheitsdaten bei der Beklagten verwahrt würden. Deshalb müsse sie fälschungssicher feststellen können, welche Mitarbeitende sich zu welcher Zeit tatsächlich in den Praxisräumen aufgehalten hätten.
Abgesehen davon, dass die Beklagte keinerlei Tatsachen vorgetragen hat, nach denen der Kläger oder andere Mitarbeitende ein Risiko für sensible Gesundheitsdaten der Patienten darstellen würden, ist davon auszugehen, dass die Beklagte die Gesundheitsdaten der Patienten, die ebenso wie die biometrischen Daten des Klägers als besondere Kategorien von Art. 9 DSGVO erfasst sind, nicht offen in den Praxisräumen verwahrt, sondern diese auch noch gegen unberechtigte Zugriffe innerhalb der Praxisräume gesichert hat. Aber auch unabhängig davon erschließt sich nicht, inwiefern ein fälschungssicheres Zeiterfassungssystem die Patientendaten in den Praxisräumen besonders schützen würde. Weder hat die Beklagte die Art und Weise der Aufbewahrung der Patientendaten näher dargelegt noch inwieweit diese gefährdet sind. Selbst wenn das aber der Fall wäre, wäre allenfalls ein Zugangskontrollsystem geeignet, ein Betreten der Praxisräume zu dokumentieren. Ein Zeiterfassungssystem, das (nur) die berechtigte Anwesenheit dokumentiert, ist dafür ungeeignet. Insofern ist der Vortrag der Beklagten zum Schutz der Patientendaten nicht geeignet, berechtigte Interessen an der Verarbeitung biometrischer Daten des Klägers zu begründen.
2.2.6 Schließlich hat die Beklagte angegeben, das angesichts der Infektionsrisiken eine genaue Zeiterfassung erforderlich sei, um Infektionsketten aufklären zu können. Das diene dem Schutz der übrigen Mitarbeitenden und der Patienten. Das Bundesarbeitsgericht hat aber entschieden, dass Gefährdungen bei der Arbeit entweder feststehen oder im Rahmen einer Gefährdungsbeurteilung nach § 5 ArbSchG (bzw. § 4 BioStoffVO oder § 6 GefStoffVO) ermittelt sein müssen, um erforderliche Maßnahmen daraus abzuleiten (BAG vom 28. März 2017 – 1 ABR 25/15). Zwar handelte es sich insoweit um eine Entscheidung über die Reichweite der Befugnisse einer Einigungsstelle nach § 76 BetrVG. Da aber die Mitbestimmung im Bereich des § 87 Abs. 1 Nr. 7 BetrVG nur einsetzt, wenn für einen Arbeitgeber eine Handlungspflicht besteht, gelten diese Grundsätze in einem Betrieb ohne Betriebsrat ebenso. Die Beklagte hat aber weder Tatsachen vorgetragen, aus denen sich feststehende Gefährdungen ergeben, die als erforderliche Maßnahme im Sinne des § 3 ArbSchG die Aufklärung einer Infektionskette erfordern würden, noch hat die Beklagte das Ergebnis einer Gefährdungsbeurteilung vorgetragen, das als erforderliche Maßnahme die Aufklärung einer Infektionskette erfordern würde.
2.2.7 Danach verbleibt allein das Verlangen der Beklagten, jegliche Manipulation bei der Zeiterfassung auszuschließen. Zutreffend weist die Beklagte darauf hin, dass ein Arbeitgeber nicht erst in gewissem Umfang missbräuchliche Eingaben der Arbeitszeit dulden müsse, bevor er ein fälschungssicheres Zeiterfassungssystem zur Anwendung bringen dürfe. Allerdings hat die Beklagte aufgrund des grundsätzlichen Verbots der Verarbeitung biometrischer Daten sowohl nach Art. 9 Abs. 2 lit. b DSGVO wie auch nach § 26 Abs. 3 BDSG die Erforderlichkeit der Verarbeitung biometrischer Daten anhand von Tatsachen darzulegen.
2.2.7.1 Die Beklagte hat vorgetragen, dass aufgrund der Erfahrungen mit dem analogen Papier-Dienstplan in Berlin zu erwarten sei, dass die Manipulation der Dienstzeiterfassung per Chipkarte fortgesetzt werde, da dieses technisch ebenso einfach sei. Dem vermag das Berufungsgericht nicht zu folgen. Denn eine Papierdokumentation lässt sich jederzeit durch Überschreibung, Ergänzung und/oder Löschung mittels Korrekturflüssigkeit verändern. Das elektronische System „ZEUS“ der Firma I. GmbH speichert auch ohne biometrische Daten des Klägers soweit ersichtlich die jeweiligen Buchungen, so dass jederzeit nachvollziehbar ist, wann welche Erfassung vorgenommen worden ist.
2.2.7.2 Richtig ist der Vortrag der Beklagten, dass es bei einem Zeiterfassungssystem mittels Chipkarten- oder Transpondersystem nicht ausgeschlossen ist, dass Beschäftigte ihre Anwesenheit vortäuschen ohne tatsächlich anwesend zu sein. Allerdings dürfte dieses abgesehen von den unter 2.2.4 beschriebenen Sachverhalten einen Arbeitszeitbetrug und somit eine Straftat darstellen.
Wenn aber für die Aufdeckung von Straftaten entsprechend § 26 Abs. 1 Satz 2 BDSG personenbezogene Daten von Beschäftigten nur verarbeitet werden dürfen, wenn „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht begründen, muss das erst recht für den Fall gelten, dass zur Vermeidung von Straftaten eine ständige Verarbeitung besonders geschützter biometrischer Beschäftigtendaten erfolgen soll. Dieser Grundrechtseingriff ist aufgrund der Festlegung in § 9 DSGVO von hoher Intensität und kann bereits als solcher unverhältnismäßig sein, wenn der Eingriffsanlass kein hinreichendes Gewicht aufweist. Soweit der Eingriff der Abwehr bestimmter Gefahren dient, kommt es für das Gewicht des Eingriffsanlasses maßgeblich auf den Rang und die Art der Gefährdung der Schutzgüter an (vgl. auch BVerfG vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07).
Die Behauptung der Beklagten, dass es in einem verbundenen anderen Unternehmen zu Missbräuchen mit anderen technischen Zeiterfassungssystemen gekommen sei, hat die Beklagte trotz Bestreitens des Klägers nicht näher dargelegt. Dass Kartensysteme und andere Systeme beispielsweise durch die Übergabe der Karten an Kollegen (und die strafrechtlich relevante Benutzung durch diese) fälschlich Anwesenheiten vorspiegeln würden, ist richtig. Weshalb es aber im Betrieb der Beklagten in Berlin unentdeckt bleiben soll, wenn der Kläger (bzw. andere Mitarbeiter) entgegen dem Dienstplan bzw. der im System hinterlegten Sollarbeitszeit zu spät erscheinen oder vorzeitig gehen, ist dem Vortrag der Beklagten nicht zu entnehmen. Selbst wenn entsprechend dem Vortrag der Beklagten nicht immer ein Praxismanager vor Ort sein sollte, sind die übrigen Beschäftigten vor Ort. Dass diesen eine etwaige Unterbesetzung nicht auffallen würde, ist dem Vortrag der Beklagten nicht zu entnehmen.
2.3 Nach alledem hat die Beklagte keine Tatsachen dargelegt, nach denen die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können.
Da der Kläger somit keine arbeitsvertragliche Nebenpflicht verletzt hat, indem er sich geweigert hat, dass die Beklagte seine biometrischen Daten bei der Arbeitszeiterfassung verarbeiten kann, sind die Abmahnungen vom 5. Oktober 2018 und 26. März 2019 zu Unrecht erfolgt und diese deshalb, wie bereits vom Arbeitsgericht in dem angefochtenen Urteil festgestellt, in entsprechender Anwendung der §§ 242, 1004 BGB ersatzlos aus der Personalakte des Klägers zu entfernen.
Das LAG Nürnberg hat entschieden, dass die Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund möglich ist. §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG ist insoweit mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar.
Aus den Entscheidungsgründen:
Die Beklagte zu 1) bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DS-GVO.
1. Auch die Abberufung des Datenschutzbeauftragten ist in der DS-GVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DS-GVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Der Arbeitsvertragsinhalt ändert sich (BAG 23.03.2011 - 10 AZR 652/09 - Rn 30; 13.03.2007 - 9 AZR 612/05 - Rn 23). Die Abberufung als interner Datenschutzbeauftragter zielt damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel (a.A. Kühling/Buchner/Kühling/Sackmann, 2. Aufl., 2018, BDSG § 38 Rn 20; Ehmann/Sehmayr/Heberlein, 2.Aufl., 2018, DS-GVO Art. 38 Rn 28), da die europarechtliche Kompetenznorm sich insoweit in Art. 153 Abs. 1 lit. b AEUV („Arbeitsbedingungen“) findet. In diesem Bereich wird die EU jedoch nicht durch Verordnung, sondern durch Richtlinien tätig und hindert strengere Schutzmaßnahmen der Mitgliedstaaten nicht (Art. 153 Abs. 4, 2. Spiegelstrich). Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DS-GVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DS-GVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.
Mit dem Bundesgesetzgeber (BT-Drs. 18/11326, 82) vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DS-GVO auch im BDSG n. F. beibehalten werden kann (LAG Sachsen 19.08.2019 - 9 Sa 268/18 Rn 49; ErfK/Franzen, 20. Aufl., 2020, BDSG § 38 Rn 7; BeckOK DatenschutzR/Moos BDSG § 38 Rn 18; Pauly in Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 BDSG Rn 17; Körffer in Paal/Pauly, a.a.O § 6 BDSG, Rn 3).
2. Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Dies hat das Arbeitsgericht überzeugend unter Bezugnahme auf die Entscheidung des BAG vom 23.03.2011 - 10 AZR 562/09 herausgearbeitet. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.
3. Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten zu 1), dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DS-GVO stand. Die Beklagte zu 1) beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.
Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DS-GVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte zu 1) nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.
Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte zu 1) hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Dies gilt erst recht vor dem Hintergrund des behaupteten Wegfalls anderer Arbeitsaufgaben auf Grund der unternehmerischen Entscheidung. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DS-GVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam (Kühling/Buchner/Bergt, 2. Aufl., 2018, DS-GVO Art. 38 Rn 30).
Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DS-GVO festgehalten ist (vgl. hierzu EuArbRK/Franzen 3. Aufl., 2020, DS-GVO Art. 38, Rn 4).
Das LAG Köln hat entschieden, dass die umfangreiche private Internetnutzung am Dienst-PC während der Arbeitszeit trotz Verbot eine außerordentliche Kündigung rechtfertigt.
Aus den Entscheidungsgründen:
" a) Gemäß § 626 Abs. 1 BGB kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Arbeitsverhältnisses nicht zugemutet werden kann.
aa) Das Vorliegen eines wichtigen Grundes iSv. § 626 Abs. 1 BGB ist in zwei Stufen zu prüfen (vgl. bspw. BAG, Urteil vom 29. Juni 2017 – 2 AZR 597/16, Rn. 13, NZA 2017, 1179, 1180; BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, NZA 2006, 98 ff.). Im Rahmen von § 626 Abs. 1 BGB ist zunächst zu prüfen, ob ein bestimmter Sachverhalt ohne die besonderen Umstände des Einzelfalls als wichtiger Kündigungsgrund an sich geeignet ist (1. Stufe). Liegt ein solcher Sachverhalt vor, bedarf es der weiteren Prüfung, ob die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (2. Stufe) (st. Rspr., siehe bspw. BAG, Urteil vom 16. Juli 2015 – 2 AZR 85/15, Rn. 21 mwN, juris; BAG, Urteil vom 19. April 2012 – 2 AZR 186/11, Rn. 20 mwN, NJW 2013, 104 ff.).
bb) Sowohl die Nichteinhaltung von vorgegebenen Arbeitszeiten als auch die Verrichtung von Privattätigkeiten während der Arbeitszeit unter Nutzung des dienstlichen PCs als auch ausufernde Privattelefonate während der Arbeitszeit können an sich einen wichtiger Grund im Sinn des § 626 Abs. 1 BGB darstellen (vgl. BAG, Urteil vom 31. Mai 2007 – 2 AZR 200/06, Rn. 19, NZA 2007, 922 ff.; BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, Rn. 27 mwN, NZA 2006, 98 ff.; Kramer, NZA 2004, 457, 459; Mengel, NZA 2005, 752, 753). Bei einer privaten Internetnutzung ebenso wie Privattelefonaten oder der Verrichtung von Neben- und privaten Tätigkeiten während der Arbeitszeit verletzt der Arbeitnehmer seine arbeitsvertragliche (Hauptleistungs-)Pflicht zur Arbeit, nämlich die Pflicht zur Erbringung der geschuldeten Arbeitsleistung. Private Telefonate und die private Internetnutzung während der Arbeitszeit dürfen die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflicht in zeitlicher und inhaltlicher Hinsicht vernachlässigt (BAG, Urteil vom 31. Mai 2007 – 2 AZR 200/06, Rz. 19, juris; BAG, Urteil vom 27. April 2006 – 2 AZR 386/05, Rz. 25; BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, Rz. 27, NZA 2006, 98 ff.; Landesarbeitsgericht Rheinland-Pfalz, Urteil vom 21. Februar 2018 – 7 Sa 406/17, Rn. 78, juris; LAG Berlin-Brandenburg, Urteil vom 14. Januar 2016 – 5 Sa 657/15, Rn. 76, juris). Nutzt der Arbeitnehmer während seiner Arbeitszeit den Dienst-PC in erheblichem zeitlichen Umfang für private Angelegenheiten, kann er grundsätzlich nicht darauf vertrauen, der Arbeitgeber werde dies tolerieren. Er muss vielmehr damit rechnen, dass der Arbeitgeber nicht damit einverstanden ist, wenn sein Arbeitnehmer seine Arbeitsleistung in dieser Zeit nicht erbringt und gleichwohl eine entsprechende Vergütung dafür beansprucht (vgl. nur BAG, Urteil vom 7. Juli 2005 – 2 AZR 581/04, Rz. 27, NZA 2006, 98 ff.; Landesarbeitsgericht Hamm, Urteil vom 17. Juni 2016 – 16 Sa 1711/15, Rn. 84, juris).
cc) Bei der Prüfung, ob dem Arbeitgeber eine Weiterbeschäftigung des Arbeitnehmers trotz Vorliegens einer erheblichen Pflichtverletzung jedenfalls bis zum Ablauf der Kündigungsfrist zumutbar ist, ist in einer Gesamtwürdigung das Interesse des Arbeitgebers an der sofortigen Beendigung des Arbeitsverhältnisses gegen das Interesse des Arbeitnehmers an dessen Fortbestand abzuwägen. Es hat eine Bewertung des Einzelfalls unter Beachtung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Dabei lassen sich die Umstände, anhand derer zu beurteilen ist, ob dem Arbeitgeber die Weiterbeschäftigung zuzumuten ist oder nicht, nicht abschließend festlegen. Zu berücksichtigen sind aber regelmäßig das Gewicht und die Auswirkungen einer Vertragspflichtverletzung, der Grad des Verschuldens des Arbeitnehmers, eine mögliche Wiederholungsgefahr sowie die Dauer des Arbeitsverhältnisses und dessen störungsfreier Verlauf. Eine außerordentliche Kündigung kommt nur in Betracht, wenn es keinen angemessenen Weg gibt, das Arbeitsverhältnis fortzusetzen, weil dem Arbeitgeber sämtliche milderen Reaktionsmöglichkeiten unzumutbar sind (BAG, Urteil vom 19. April 2012 – 2 AZR 186/11, Rn. 21 mwN, NJW 2013, 104 ff.).
dd) Beruht die Vertragspflichtverletzung auf steuerbarem Verhalten des Arbeitnehmers, ist grundsätzlich davon auszugehen, dass sein künftiges Verhalten schon durch die Androhung von Folgen für den Bestand des Arbeitsverhältnisses positiv beeinflusst werden kann. Einer entsprechenden Abmahnung bedarf es nach Maßgabe des auch in § 314 Abs. 2 in Verbindung mit § 323 Abs. 2 BGB zum Ausdruck kommenden Verhältnismäßigkeitsgrundsatzes nur dann nicht, wenn bereits ex ante erkennbar ist, dass eine Verhaltensänderung in Zukunft auch nach Abmahnung nicht zu erwarten steht, oder es sich um eine so schwere Pflichtverletzung handelt, dass selbst deren erstmalige Hinnahme dem Arbeitgeber nach objektiven Maßstäben unzumutbar und damit offensichtlich - auch für den Arbeitnehmer erkennbar - ausgeschlossen ist (BAG, Urteil vom 19. April 2012 – 2 AZR 186/11, Rn. 22 mwN, NJW 2013, 104 ff.).
b) Hieran gemessen stellt der dem Kläger durch die Beklagte vorgeworfene Arbeitszeitbetrug durch private Nutzung von Internet und E-Mail vom 28.11.2017, 29.11.2017 und 01.03.2018 sowie in den Monaten November 2017 bis einschließlich Februar 2018 einen an sich geeigneten Kündigungsgrund dar (1. Stufe). Die Täuschung des Arbeitgebers darüber, dass ein Arbeitnehmer gearbeitet habe, während tatsächlich – wegen Privattätigkeiten – keine Arbeitsleistung erbracht wurde, stellt regelmäßig einen Grund dar, der geeignet ist, das Arbeitsverhältnis durch Arbeitgeberkündigung ohne Einhaltung der Kündigungsfrist zu beenden (vgl. unter anderem Landesarbeitsgericht Köln, Urteil vom 29. September 2014 – 2 Sa 181/14, Rn. 27, NZA-RR 2015 128, 129). Der Kläger hat den ihm vorgeworfenen Arbeitszeitbetrug zulasten der Beklagten zur Überzeugung der Berufungskammer begangen.
aa) Die Beklagte hat den Arbeitszeitbetrug des Klägers durch private Tätigkeiten während der Arbeitszeit, indem der Kläger entgegen des am 23.11.2017 – nachträglich – vereinbarten ausdrücklichen Verbots der Privatnutzung des dienstlichen Laptops zu privaten Zwecken im Internet „gesurft“ ist und E-Mails zu privaten Zwecke von Dritten gelesen und an diese geschrieben hat, in Ergänzung zu der unstreitigen E-Mail-Korrespondenz mit dem Vater am 29.11.2017, wie folgt begründet und dargelegt:
Am 28.11.2017 habe der Kläger ab 08:40 Uhr bis 17:17 Uhr über den Browser Mozilla Firefox insgesamt 616 Webseiten zu privaten Zwecken aufgerufen, zB. Facebook, Spiegel-Online, Whatsapp, Booking.com, Landal Ferienparks, Kinderhotels, Familien Parks, Bild.de, 1&1-Email (für Frau V W = Mutter des Klägers) und softeware–billiger.de (Suche für den Vater des Klägers, insgesamt 15 URLs im Zusammenhang mit einer Lizenz für Windows 10). Im Zeitraum von 11:47 Uhr bis ca. 15:42 Uhr entfallen nahezu sämtliche Web-Aufrufe auf die Homepages von Autoscout24, Autohaus S , Autohaus H , Peugeot, Autohaus K , RKG Autohaus, Autocenter D und automobile.de. Insgesamt wurden in dem zuletzt genannten Zeitraum über 290 URLs in Bezug auf Autorecherchen aufgerufen. Mit allen drei Browsern habe der Kläger an dem Tag über 860 URLs aufgerufen, dh. im Schnitt alle 33,49 Sekunden. Bzgl. der URL-Aufrufe wird auf den Internet-Browser-Verlauf auf Bl. 97-107 d.A. (= Anlage B 7 zum Schriftsatz der Beklagten vom 03.07.20118) Bezug genommen. Am 28.11.2017 habe der Geschäftsführer der Beklagten zudem einen auswärtigen Gesprächstermin gehabt, wo allein die Anreisezeit mit dem Auto zwei Stunden betrage, dh. der Kläger habe die Beklagte bewusst hintergehen wollen.
Am 29.11.2017 habe der Kläger zwischen 8:28 Uhr und 14:55 Uhr insgesamt 174 URLs im Zusammenhang mit Autorecherchen aufgerufen. Zwischenzeitlich erfolgte die unstreitige E-Mail-Korrespondenz mit dem seinem Vater, wobei der Kläger die in den E-Mails genannten URLs aufgerufen habe.
Am 01.03.2018 habe der Kläger zwischen 10:24 Uhr und 17:40 Uhr 205 Webseiten zu privaten Zwecken aufgerufen, ua. Facebook, Spiegel-Online, Kunde S D , Videos auf Youtube, Bild.de, Express.de. Insofern wird auf die Daten aus dem Log-File des Internet-Browsers auf Bl. 122-125 d.A. (= Anlage B 8 zum Schriftsatz der Beklagten vom 03.07.2018)
Ferner habe der Kläger in der Zeit vom 21.11.2017 bis zum 27.02.2018 über den Internet-Browser insgesamt 500 Aufrufe der Outlook Web App bzgl. einer E-Mail-Adresse aufgerufen, die bei seinem vormaligen Arbeitgeber (Firma S D ) gehostet wird. Bzgl. der Daten (Tag, Uhrzeit) der einzelnen Aufrufe wird auf Bl. 258-264 d.A. Bezug genommen.
Des Weiteren habe der Kläger im Zeitraum vom 06.11.2017 bis zum 28.02.2018 an 32 unterschiedlichen Tagen während der Arbeitszeit über 80 Änderungen an der Webseite der Mutter (https://www.m .de/) vorgenommen und dafür insgesamt rund 9 Stunden aufgewandt. Hinzu kämen noch rund 35 E-Mails an die Mutter bzgl. der Änderungen. Bzgl. der einzelnen Zeiträume der Änderungen wird auf Bl. 412-418 d.A. Bezug genommen.
Zwischen dem 02.11.2017 und dem 01.03.2018 habe der Kläger zudem 559 Mal sein E-Mail-Konto ( w @p .de) seiner privaten Firma (P ) von seinem Laptop aufgerufen, wobei der Kläger insofern 90 E-Mails bearbeitet habe. Diese Aufrufe fanden zu allen Uhrzeiten des Arbeitstages statt.
bb) Die diesbezüglichen Einlassungen des Klägers sind nicht erheblich. Der von der Beklagten vorgetragene Sachverhalt zum Umfang der privaten Nutzung von Internet und E-Mail über den dienstlichen Laptop ist daher gemäß § 138 Abs. 3 ZPO als zugestanden anzusehen. Einer Beweisaufnahme bedurfte es nicht.
Im Hinblick auf die allgemeinen Grundsätze der Verteilung der Darlegungs- und Beweislast im Zivilprozess ist zunächst an den Wortlaut des § 138 ZPO zu erinnern, der wie folgt lautet:
„(1) Die Parteien haben ihre Erklärungen über tatsächliche Umstände vollständig und der Wahrheit gemäß abzugeben.
(2) Jede Partei hat sich über die von dem Gegner behaupteten Tatsachen zu erklären.
(3) Tatsachen, die nicht ausdrücklich bestritten werden, sind als zugestanden anzusehen, wenn nicht die Absicht, sie bestreiten zu wollen, aus den übrigen Erklärungen der Partei hervorgeht.
(4) Eine Erklärung mit Nichtwissen ist nur über Tatsachen zulässig, die weder eigene Handlungen der Partei noch Gegenstand ihrer eigenen Wahrnehmung gewesen sind.“
Die aus Absatz 1 folgende Wahrheitspflicht obliegt den Parteien und ihren Bevollmächtigten im Interesse einer geordneten Rechtspflege dem Gericht und dem Gegner gegenüber. Sie ist Pflicht zur subjektiven Wahrhaftigkeit im Sinne eines Verbots der wissentlichen Falschaussage und erstreckt sich auf Behauptung und Bestreiten tatsächlicher Umstände. Ein Verstoß gegen die Wahrheitspflicht ist die bewusste Behauptung unwahrer Tatsachen, ebenso das Verschweigen bekannter Tatsachen, deren Vortrag für die begehrte Entscheidung erforderlich ist, sowie das eigener Überzeugung widersprechende Bestreiten. Erkennbar unwahres Vorbringen bleibt im Rahmen der Beweiswürdigung nach § 286 Abs. 1 ZPO unberücksichtigt.
Die Pflicht zum vollständigen Vortrag im Sinne des § 138 Abs. 1 ZPO besagt, dass die darlegungspflichtige Partei keine relevanten Tatsachen unterdrücken darf, was im Grunde schon aus der Wahrheitspflicht folgt, sich aber insbesondere auf die Frage auswirkt, wie umfangreich der Gegner nach § 138 Abs. 2 ZPO zu erwidern hat. Diese Erklärungslast des Gegners nach Abs. 2 ist in Bestehen und Umfang im Übrigen davon abhängig, wie die darlegungspflichtige Partei zuvor vorgetragen hat und welche Tatsachen unstreitig sind. Die Erklärungen müssen gleichermaßen den Anforderungen des Abs. 1 folgen, sie müssen also wahr und vollständig sein.
Die Verteilung der Darlegungslast zwischen der klagenden und der beklagten Partei folgt im Übrigen grundsätzlich aus der allgemeinen Beweislastregelung, der zufolge jeder, der sich auf eine ihm günstige Norm beruft, deren Voraussetzungen darlegen und beweisen muss. Dieser Grundsatz ist in den letzten Jahren zunehmend durch die Rechtsprechung des BGH zur sogenannten „sekundären Darlegungslast“ geprägt und teilweise aufgehoben worden. Ihr zufolge darf sich der Gegner der primär darlegungspflichtigen Partei nicht auf ein einfaches Bestreiten beschränken, wenn die darlegungspflichtige Partei außerhalb des von ihr darzulegenden Geschehensablaufes steht und keine nähere Kenntnis der maßgebenden Tatsachen besitzt, während der Prozessgegner sie hat und ihm nähere Angaben zumutbar sind (BGH, Urteil vom 1. Dezember 1982 – VIII ZR 279/81, juris; BGH, Urteil vom 14. Juni 2005 – VI ZR 179/04, juris). In diesen Fällen kann vom Prozessgegner im Rahmen des Zumutbaren das substantiierte Bestreiten der behaupteten Tatsache unter Darlegung der für das Gegenteil sprechenden Tatsachen und Umstände verlangt werden (BGH, Urteil vom 17. Januar 2008 – III ZR 239/06, juris). Genügt er dem nicht, ist der gegnerische Vortrag gemäß Abs. 3 als zugestanden anzusehen (st. Rspr; vgl. nur BGH, Urteil vom 19. Februar 2014 – I ZR 230/12, juris; siehe hierzu und mit weiteren Nachweisen: Greger in Zöller, Zivilprozessordnung, 32. Aufl. 2018, § 138 ZPO, Rn. 7 ff.; Landesarbeitsgericht Köln, Urteil vom 31. Oktober 2018 – 6 Sa 652/18, Rn. 147, juris). In diesem Falle bedarf es also keiner Beweisaufnahme zum Beweis der von beweisbelasten Hauptpartei behaupteten Tatsachen.
cc) Hieran gemessen steht zur Überzeugung der erkennenden Berufungskammer iSv. § 286 Abs. 1 Satz 1 ZPO aufgrund des konkreten Sachvortrags der Beklagten und des nicht hinreichend substantiierten Bestreitens des Klägers sowie der unstrittigen E-Mail-Korrespondenz zwischen ihm und seinem Vater fest, folgendes Ausmaß eines Arbeitszeitbetruges fest:
(1) Am 28.11.2017 hat der Kläger von 08:40 Uhr bis 17:17 Uhr über den Browser Firefox von seinem Laptop insgesamt 616 Webseiten zu privaten Zwecken – zB. Facebook, Spiegel-Online, Whatsapp, Booking.com, Landal Ferienparks, Kinderhotels, Familien Parks, Bild.de, 1&1-Email (für Frau V W = Mutter des Klägers) – und damit im Schnitt alle 50 Sekunden (= 517 Minuten = 31.020 Sekunden / 616) eine andere URL aufgerufen. Im Zeitraum von 11:47 Uhr bis ca. 15:42 Uhr entfallen 290 URL-Aufrufe auf die Homepages von Autoscout24, Autohaus S , Autohaus H , Peugeot, Autohaus K , RKG Autohaus, Autocenter D und automobile.de, was einen URL-Aufruf alle 49 Sekunden durchschnittlich bedeutet. Und mit allen drei Browsern hat der Kläger an dem Tag über 860 URLs aufgerufen, was im Schnitt alle 36 Sekunden einen URL-Aufruf bedeutet. Die Beklagte hat in der Anlage B 7zum Schriftsatz vom 03.07.2018 (Bl. 97-107 d.A.) die einzelnen URL-Aufrufe und die Uhrzeiten dargelegt. Hierzu gehören auf die 15 URL-Aufrufe im Zusammenhang mit der Lizenz für Windows 10 für den Vater des Klägers (www.software-billiger.de). Dem ist der Kläger nicht erheblich entgegen getreten. Er hat sich zu den einzelnen Seiten-Aufrufen nicht näher eingelassen, weil er es aus seiner Erinnerung heraus nicht mehr könnte. Dies ist mit § 138 ZPO nicht zu vereinbaren, denn die Beklagte kann nicht mehr tun, als die unerlaubten URL-Aufrufe aufzuzeigen. Soweit der Kläger behauptet, er habe URLs zu privaten Zwecken nur während der Pausenzeiten aufgerufen, ist dies offensichtlich unzutreffend, denn der Kläger hat nicht den ganzen Arbeitstag oder zumindest – soweit es die Autoseiten-Aufrufe betrifft – von 11:47 bis 15:42 Uhr Mittagspause gemacht. Der Kläger hat daher mittlerweile eine halbe Stunde insgesamt (dh. am 28./29.11.2017 zusammen) für Privatnutzung des Internets zugestanden, ohne allerdings klar darzulegen, wann diese im Einzelnen gewesen sein soll. Auch hat er nicht dargelegt, ob und wann er dann an dem Tag seine Mittagspause genommen soll. Insgesamt steht damit zur Überzeugung der Kammer fest, dass der Kläger den gesamten 28.11.2017 nicht gearbeitet hat, denn bei der durchschnittlichen Zeitspanne der einzelnen URL-Aufrufe kann dazwischen keine sinnvolle Arbeitsleistung des Klägers liegen. Soweit der Kläger behauptet, dass er während der Dauer des Arbeitsverhältnisses ganz viele und umfangreiche Projekte und Tätigkeiten ausgeübt hat, hat der Kläger nicht konkret dargelegt, welche Arbeitsleistung er denn konkret am 28.11.2017 erbracht haben will. Er hat sich im Übrigen auch nicht dagegen gewandt, dass der Zeitraum von 08:40 Uhr bis 17:17 Uhr Arbeitszeit gewesen wäre, denn der Kläger hat sich sogar einer Mehrarbeit an diesem Tag berühmt und er hat auch die Vergütung für diesen Arbeitstag erhalten.
(2) Am 29.11.2017 hat der Kläger – während er mit seinem Vater diverse E-Mails bzgl. des beabsichtigten Autokaufs schrieb – zwischen 8:28 Uhr und 14:55 Uhr insgesamt 174 URLs im Zusammenhang mit Autorecherchen aufgerufen, was durchschnittlich alle zwei Minuten einen URL-Aufruf bedeutet. Zwischenzeitlich erfolgte die unstreitige E-Mail-Korrespondenz mit seinem Vater, wobei der Kläger die in den E-Mails genannten URLs aufgerufen hat. Ausgehend von drei Minuten Arbeitszeit für das Lesen einer E-Mail und deren Beantwortung (vgl. hierzu Landesarbeitsgericht Niedersachsen, Urteil vom 15. Mai 2010 – 12 Sa 875/09, Rn. 43, NZA-RR 2010, 505 ff. = MMR 2010, 639 ff.), ergibt sich bei isolierter Betrachtung der insgesamt 13 E-Mails bereits ein Zeitaufwand von 39 Minuten. Nach Überzeugung der Berufungskammer hat jedoch der Kläger auch an diesem Tag keine Arbeitsleistung erbracht. Dies ergibt sich daraus, dass der Kläger zwischen 8:28 Uhr und 14:55 Uhr insgesamt 174 URLs im Zusammenhang mit seiner Autorecherche aufrief und mit seinem Vater regen E-Mail-Korrespondenz betreffend die Autorecherche führte. Insoweit genügt das pauschale Bestreiten des Klägers zu den konkreten Vorhaltungen der Beklagten nicht, sondern hat gemäß § 138 Abs. 3 ZPO die Geständnisfiktion zur Folge. Dies folgt daraus, dass der Kläger selbst am 29.11.2017 um 09:47 Uhr an seinen Vater schrieb, dass bei ihm langsam aber stetig der Gedanke, sein Auto zu wechseln, reift. In der gesamten E-Mail-Korrespondenz zwischen ihm und seinem Vater, die sich über den gesamten Arbeitstag zog, ging es ausschließlich um die Anschaffung eines neuen Privatwagens. Zudem ergibt sich aus den E-Mails, dass der Kläger sich u.a. die von seinem Vater vorgeschlagenen Autos auch auf dem Firmenrechner der Beklagten während seiner Arbeitszeit ansah. Dies ergibt sich beispielsweise daraus, dass er in der E-Mail von 10:50 Uhr seinem Vater schrieb, dass beide Autos zu seinen Anforderungen passen. Hätte sich der Kläger die von seinem Vater vorgeschlagenen Kfz nicht angesehen, wäre ihm eine entsprechende Beurteilung nicht möglich gewesen. Dasselbe ergibt sich aus den E-Mails von 15:39 Uhr und von 15:57 Uhr, wo der Vater dem Kläger eine Kfz-Konfiguration samt Rabatt übersendet, auf die der Kläger antwortet. Auch hat der Kläger an diesem Tag Arbeitszeit darauf verbracht, selbst Kfz im Internet zu recherchieren. Dies zeigt sich unter anderem an seiner E-Mail an seinen Vater von 13.17 Uhr in der er schreibt: „Was hältst Du denn von dem Wagen"? Der E-Mail war ein Link auf ein bestimmtes Auto beigefügt. Des Weiteren schrieb der Kläger in dieser E-Mail, dass es ihm sehr gut gefällt, dass die Türen sich nach hinten öffnen, da er vor der Tür nicht so viel Platz hat. Eine Genehmigung für die Internetrecherche durch die Beklagte gab es nicht. Einen dienstlichen Zweck, wonach der Besuch u.a. der Internetseite Mobile.de zu Recherchezwecken für die Beklagte erfolgt sei, ist eine nicht näher dargelegt Behauptung des Klägers, die die Berufungskammer als reine Schutzbehauptung bewertet. Der Kläger hat nicht dargelegt, welche programmiertechnischen Features dieser Homepage für die – nach den Behauptungen der Beklagten zu diesem Zeitpunkt noch nicht begonnene – Skylife-App relevant gewesen sein sollen. Soweit der Kläger mittlerweile eine halbe Stunde insgesamt (dh. am 28./29.11.2017 zusammen) für die Privatnutzung des Internets zugestanden hat, hat er allerdings nicht dargelegt, wann diese im Einzelnen gewesen sein soll. Auch hat er nicht dargelegt, ob und wann er dann an dem Tag seine Mittagspause genommen soll, so dass es unsubstantiiert ist, wenn der Kläger behauptet, er habe die gesamte Suche nach einem Auto innerhalb seiner Pausenzeit vorgenommen. Dies würde nämlich bedeuten, dass der Kläger von 08:28 Uhr (Beginn der Internetrecherche zu Kfz) bis einschließlich 16:04 Uhr (= Uhrzeit der letzten E-Mails des Vaters des Klägers an diesem Tag) Pause hat. Die Berufungskammer ist zudem – ebenso wie das Arbeitsgericht – zu der Überzeugung gelangt, dass der Kläger sich nicht nur minutenweise mit dem Thema der Autorecherche an diesem Tag auseinandergesetzt hat, sondern vielmehr den gesamten Arbeitstag hierauf verwendete. Bei einem durchschnittlichen Aufrufe einer neuen URL alle zwei Minuten und einem durchgehenden und nicht nur knappen E-Mail-Verkehr mit dem Vater, wobei alle E-Mails jeweils auf die vorherige E-Mail antworten oder zumindest damit im Zusammenhang stehen, bleibt für eine Arbeitsleistung an diesem Tag nichts übrig. Die Auswertung der Angaben auf einer URL, auf der Gebrauchtwagen abgebildet und bei denen es teilweise um die genaue Autokonfiguration (zB. Klimaanlage, Navigationssystem, Sitzheizung) und den Endpreis, ggfls. mit Rabatt, geht, nimmt erheblich Zeit in Anspruch, wobei die Kammer insofern durchschnittlich drei Minuten veranschlagt. Dies entspricht der Lebenserfahrung der Berufungskammer, da alle erkennenden Richter bereits selbst Autorecherche im Internet vorgenommen haben. Soweit der Kläger behauptet, dass er während der Dauer des Arbeitsverhältnisses ganz viele und umfangreiche Projekte und Tätigkeiten ausgeübt hat, hat der Kläger nicht konkret dargelegt, welche Arbeitsleistung er denn konkret am 29.11.2017 erbracht haben will. Er hat sich im Übrigen auch nicht dagegen gewandt, dass der Zeitraum von 08:28 Uhr bis 16:04 Uhr Arbeitszeit gewesen wäre, denn der Kläger hat sich sogar einer Mehrarbeit an diesem Tag berühmt und er hat auch die Vergütung für diesen Zeitraume erhalten.
(3) Am 01.03.2018 hat der Kläger zwischen 10:24 Uhr und 17:40 Uhr 205 Webseiten zu privaten Zwecken aufgerufen, ua. Facebook, Spiegel-Online, Kunde S D , Videos auf Youtube, Bild.de, Express.de, dh. im Schnitt alle zwei Minuten eine neue URL. Die Beklagte hat in der Anlage B 8 zum Schriftsatz vom 03.07.2018 (Bl. 122-125 d.A.) die einzelnen URL-Aufrufe und die Uhrzeiten dargelegt. Dem ist der Kläger nicht erheblich entgegen getreten. Er hat sich zu den einzelnen Seiten-Aufrufen nicht näher eingelassen, weil er es aus seiner Erinnerung heraus nicht mehr könnte. Dies ist mit § 138 ZPO nicht zu vereinbaren, denn die Beklagte kann nicht mehr tun, als die unerlaubten URL-Aufrufe aufzuzeigen. Soweit der Kläger behauptet, er habe URLs zu privaten Zwecken nur während der Pausenzeiten aufgerufen, ist dies offensichtlich unzutreffend, denn der Kläger hat nicht den ganzen Arbeitstag von 10:24 bis 17:40 Uhr Mittagspause gemacht, zumal der Kläger nicht dargelegt hat, ob und wann er dann an dem Tag seine Mittagspause genommen soll. Insgesamt steht damit zur Überzeugung der Berufungskammer fest, dass der Kläger damit auch den gesamten 01.03.2018 nicht gearbeitet hat, denn bei der durchschnittlichen Zeitspanne der einzelnen URL-Aufrufe kann dazwischen keine sinnvolle Arbeitsleistung des Klägers liegen. Soweit der Kläger behauptet, dass er während der Dauer des Arbeitsverhältnisses ganz viele und umfangreiche Projekte und Tätigkeiten ausgeübt hat, hat der Kläger nicht konkret dargelegt, welche Arbeitsleistung er denn konkret am 01.03.2018 erbracht haben will. Er hat sich im Übrigen auch nicht dagegen gewandt, dass der Zeitraum von 10:24 Uhr bis 17:40 Uhr Arbeitszeit gewesen wäre, denn der Kläger hat auch die Vergütung für diesen Zeitraum erhalten.
(4) Ferner hat der Kläger in der Zeit vom 21.11.2017 bis zum 27.02.2018 über den Internet-Browser insgesamt 500 Aufrufe der Outlook Web App bzgl. einer E-Mail-
Adresse aufgerufen, die bei seinem vormaligen Arbeitgeber (Firma S D ) gehostet wird. Bzgl. der Daten (Tag, Uhrzeit) der einzelnen Aufrufe wird auf Bl. 258-264 d.A. Bezug genommen. Auch hier ist der Kläger dem Sachvortrag der Beklagten nicht erheblich entgegen getreten. Er hat sich mit den einzelnen Zeitangaben der Beklagten nicht näher auseinandergesetzt. Der Sachvortrag der Beklagten gilt insofern gemäß den obigen Ausführungen gemäß § 138 Abs. 3 ZPO als zugestanden. Eine dienstliche Veranlassung ist nicht zu erkennen. Der Kläger hat in diesem Zusammenhang lediglich eine Konkurrenztätigkeit bei seinem früheren Arbeitgeber bestritten, nicht aber insofern die nicht-dienstliche und damit private Nutzung des Internets während der Arbeitszeit. Die Kammer geht insofern bezogen auf den Login-Vorgang und den E-Mail-Check von durchschnittlich einer Minute aus und damit von insgesamt 500 Minuten (was mehr als ein ganzen Arbeitstag á acht Stunden ausmacht) an Zeit aus, die der Kläger in dem Zeitraum nicht gearbeitet hat und damit die Beklagte geschädigt hat.
(5) Ferner hat der Kläger im Zeitraum vom 06.11.2017 bis zum 28.02.2018 an 32 unterschiedlichen Tagen während der Arbeitszeit über 80 Änderungen an der Webseite der Mutter (https://www.m .de/) vorgenommen und dafür insgesamt rund 9 Stunden aufgewandt. Hinzu kommen noch rund 35 E-Mails an die Mutter bzgl. der Änderungen. Bzgl. der einzelnen Zeiträume der Änderungen und der E-Mails wird auf Bl. 412-418 d.A. Bezug genommen. Auch hier ist der Kläger dem Sachvortrag der Beklagten nicht erheblich entgegen getreten. Er hat sich mit den einzelnen Zeitangaben der Beklagten nicht näher auseinandergesetzt. Der Sachvortrag der Beklagten gilt insofern gemäß den obigen Ausführungen gemäß § 138 Abs. 3 ZPO als zugestanden Eine dienstliche Veranlassung ist nicht zu erkennen. Der Kläger hat in diesem Zusammenhang lediglich eine Konkurrenztätigkeit bestritten, nicht aber insofern die nicht-dienstliche und damit private Nutzung. Auch dem von der Beklagten geschätzten Zeitumfang der Privatnutzung ist der Kläger nicht entgegen getreten und für die Berufungskammer erscheint dieser plausibel.
(6) Schließlich hat der Kläger im Zeitraum vom 02.11.2017 bis zum 01.03.2018 insgesamt 559 Mal sein E-Mail-Konto ( .w @ .de) seiner privaten Firma (P ) von seinem Laptop aufgerufen, wobei der Kläger insofern 90 E-Mails bearbeitet hat, wobei diese Aufrufe zu allen Uhrzeiten des Arbeitstages stattfanden. Auch hier ist der Kläger dem Sachvortrag der Beklagten nicht erheblich entgegen getreten. Der Sachvortrag der Beklagten gilt insofern gemäß den obigen Ausführungen gemäß § 138 Abs. 3 ZPO als zugestanden Eine dienstliche Veranlassung ist nicht zu erkennen. Ausgehend von geschätzten drei Minuten für das Lesen und Beantworten einer E-Mail (vgl. hierzu Landesarbeitsgericht Niedersachsen, Urteil vom 15. Mai 2010 – 12 Sa 875/09, Rn. 43, NZA-RR 2010, 505 ff. = MMR 2010, 639 ff.) ist insofern von weiteren 270 Minuten und damit weiteren 4,5 Stunden auszugehen, an denen der Kläger nicht gearbeitet hat.
(7) Damit hat der Kläger im Ergebnis an drei Tagen (28.11.2017, 29.11.2017 und 01.03.2018) sowie im Zwischenzeitraum über kumuliert mehrere Stunden und damit an mehr als fünf kompletten Arbeitstagen, was wiederum mindestens einer Arbeitswoche entspricht, aufgrund von als exzessiv zu bewertenden privaten Tätigkeiten im Internet während der Arbeitszeit seine Hauptleistungspflicht verletzt.
(8) Soweit der Kläger den genannten URL-Aufrufen, die an den einzelnen Tagen bzw. in den genannten Zeiträumen erfolgt ist, generell entgegen hält, dass aus Erfahrung der gesuchten Seiten im Nachhinein die Webseite erneut besucht wurde um zu schauen, wie ein entsprechendes Feature programmiertechnisch umgesetzt wurde, ist dies für die Berufungskammer nicht nachvollziehbar. Entsprechendes gilt für seine Einlassung, wonach verschiedene Features für die App gewünscht gewesen seien, die auf diesen Seiten teilweise vorzufinden waren. Der Kläger hat damit keinen dienstlichen Bezug hinreichend substantiiert dargelegt. Er hätte dafür vielmehr darlegen müssen, mit welcher konkreten Tätigkeit er im Zeitpunkt des jeweiligen URL-Aufrufs betraut war und welches Feature von welcher URL er für seine Arbeit benötigt hätte, damit die Beklagte sich ihrerseits im Rahmen von § 138 ZPO darauf hätte einlassen können.
(9) Soweit der Kläger der Beklagten die Manipulation der Log-Dateien der Internet-Browser durch Veränderung der Zeitangaben vorwirft, ist dies als eine Behauptung ins Blaue hinein zu bewerten. Dieser Vorwurf ist durch nichts belegt. Selbst wenn es generell relativ einfach wäre, die Browserchronik zu verändern, bedeutet dies nicht, dass die Beklagte dies getan hätte. Dies gilt umso mehr, als der Kläger dem Geschäftsführer der Beklagten ohnehin attestiert, ein Quereinsteiger in die IT zu sein und damit über keine IT-Kenntnisse zu verfügen. Soweit der Kläger einzelne URL-Aufrufe benannt hat, die nicht von ihm stammen können, weil sich aus den GPS-Standortdaten seines Mobiltelefons abweichende Ortsangaben ergeben sollen, ist darauf hinzuweisen, dass es um die Auswertung eines Laptops, dh. eines transportablen Computers geht. Der Kläger hat nicht dargelegt, dass er den Laptop nicht dabei gehabt hätte. Außerdem ist auch nicht zu erkennen, dass die Standortdaten des Mobiltelefons des Klägers zwingend richtig sind. Und selbst wenn einzelne URL-Aufrufe nicht vom Kläger stammen sollten, bedeutete dies nicht, dass die restlichen Angaben bzgl. der URL-Aufrufe unzutreffend wären. Der Kläger kann jedenfalls mit dem nicht belegten Manipulationsvorwurf seine sekundäre Darlegungs- und Beweislast nicht wiederum auf die Beklagte verlagern.
(10) Letztlich schließen auch etwaige geleistete Überstunden des Klägers entgegen dessen Auffassung den dargelegten Arbeitszeitbetrug nicht aus. Der Kläger kann sich nicht darauf berufen, er habe nicht alle tatsächlich geleisteten Überstunden geltend gemacht, so dass er Privattätigkeiten während der Arbeitszeit nicht „einfach“ mit Überstunden „verrechnen kann“. Abgesehen davon, dass schon nicht zu erkennen ist, ob diese behaupteten Überstunden überhaupt geleistet und von der Beklagten angeordnet oder zumindest geduldet wurden oder sonst wie zur Erbringungen der Arbeitsleistung erforderlich waren, ist der vorsätzliche Verstoß eines Arbeitnehmers gegen seine Verpflichtung zur Ableistung der geschuldeten Arbeitszeit nicht dadurch gerechtfertigt, dass die Arbeitsleistung ggfls. zu anderen Zeiten erbracht wurde (vgl. BAG, Urteil vom 13. Dezember 2018 – 2 AZR 370/18, Rn. 22, juris).
dd) Soweit die vorliegenden Sachverhalte der Beklagten, gesetzlich vertreten durch ihren Geschäftsführer K , bei Ausspruch der streitgegenständlichen Kündigung am 07.03.2018 noch nicht – vollständig – bekannt gewesen sein sollten, sondern erst durch den IT-Sachverständigen und dessen Gutachten vom 01.07.2018 bekannt wurden, hat dies vorliegend keine Auswirkungen auf die Wirksamkeit der Kündigung, da es durchweg um tatsächliche Umstände handelt, die bereits vor Ausspruch der Kündigung objektiv vorlagen. Wenn und soweit diese erst später bekannt gewordenen Umstände in den Kündigungsschutzprozess eingeführt werden, handelt sich insofern um ein sog. Nachschieben von Kündigungsgründen, das in nicht-mitbestimmten Betrieben – wie bei der Beklagten – nach der Rechtsprechung des BAG ohne weiteres zulässig ist. Dies gilt auch bei § 626 BGB, denn die Zweiwochenfrist des § 626 Abs. 2 BGB gilt nur für die Erklärung der Kündigung. Ist die Kündigung als solche rechtzeitig erklärt, schließt § 626 Abs. 2 Satz 1 BGB ein Nachschieben nachträglich bekannt gewordener Gründe nicht aus (BAG, Urteil vom 23. Mai 2013 – 2 AZR 102/12, Rn. 33, juris; siehe bereits BAG, Urteil vom 4. Juni 1997 – 2 AZR 362/96, zu II 3 b der Gründe, BAGE 86, 88). Für die Beurteilung, ob ein nachgeschobener Sachverhalt dem Arbeitgeber schon im Kündigungszeitpunkt bekannt war, kommt es auf den Wissensstand des Kündigungsberechtigten an, dh. vorliegend ausschließlich Herrn K . Zu fordern ist in sachlicher Hinsicht - wie im Rahmen von § 626 Abs. 2 BGB - eine positive, vollständige Kenntnis der für die Kündigung maßgebenden Tatsachen. In personeller Hinsicht kommt es hier - wie bei § 626 Abs. 2 BGB - auf die entsprechende Kenntnis in der Person des Kündigungsberechtigten an. Handelt es sich bei dem Arbeitgeber um eine juristische Person, ist grundsätzlich maßgeblich die Kenntnis des gesetzlich oder satzungsgemäß für die Kündigung zuständigen Organs (siehe BAG, Urteil vom 18. Juni 2015 – 2 AZR 256/14 –, Rn. 48, juris).
ee) Einer prozessualen Verwertung der Inhalte der E-Mails auf dem dienstlichen Laptop und der Einträge in den Log-Dateien der Internet-Browser steht auch kein sog. prozessuales Verwertungsverbot (vgl. GMP/Prütting, 9. Aufl. 2018, § 58 ArbGG Rn. 34 ff, wobei die jüngste Rechtsprechung des 2. Senats des BAG dies umfassender als sein „Sachvortrags- oder Beweisverwertungsverbot“ bezeichnet, vgl. BAG, Urteil vom 27 Juli .2017 – 2 AZR 681/16, Rn. 16, NZA 2017, 1327, 1328) entgegen. Auch wenn der Kläger als betroffener Arbeitnehmer sich vorliegend – vorsorglich – weder auf die Rechtswidrigkeit der Informations- und Beweismittelbeschaffung berufen noch deren prozessuale Verwertung gem. § 295 ZPO gerügt hat, um dadurch die Rechtswirkungen des § 138 Abs. 3 ZPO (siehe oben) zu verhindern (vgl. HWK/Lembke, 8. Aufl. 2018, Vorb. BDSG, Rn. 112; Pötters/Wybitul, NJW 2014, 2074 (2079); vgl. auch BAG, Urteil vom 16. Dezember 2010 – 2 AZR 485/08, Rn. 32 und 34, NZA 2011, 571, 574; Schreiber ZZP 122 (2009), 227, 241), müssen die erkennenden Gerichte aufgrund der verfassungsrechtlichen Determinierung von Amts wegen prüfen, ob ein prozessuales Verwertungsverbot eingreift, sobald sich aus dem Vorbringen des Prozessgegners und seiner Beweisantritte Anhaltspunkte für „Verwertbarkeitszweifel“ ergeben (Niemann, JbArbR Bd. 55 S. 41, 63 f.). Solche Zweifel werden vorliegend zugunsten des Klägers unterstellt, da er „massive Datenverstöße“ der Beklagten gerügt hat.
(1) Weder die ZPO noch das ArbGG enthalten – ausdrückliche – Regelungen zur prozessualen Unverwertbarkeit rechtswidrig erlangter Informationen oder Beweise. Vielmehr gebieten der Anspruch auf rechtliches Gehör gem. Art. 103 Abs. 1 GG und der Grundsatz der freien richterlichen Beweiswürdigung (§ 286 Abs. 1 Satz 1 ZPO iVm § 46 Abs. 2 Satz 1 ArbGG) durch die Tatsachengerichte grundsätzlich die Berücksichtigung des Sachvortrags der Parteien und der von ihnen angebotenen Beweismittel. Im arbeitsgerichtlichen Urteilsverfahren gelten wie im Zivilprozess die Dispositionsmaxime und der Verhandlungs- oder Beibringungsgrundsatz. Das Zivil- oder Arbeitsgericht darf nur die von den Parteien vorgebrachten Tatsachen verwerten. Umgekehrt ist es zugleich an den Vortrag der Parteien und einen ihm unterbreiteten, entscheidungserheblichen Sachverhalt gebunden. Der Tatsachenvortrag einer Partei kann nicht ohne gesetzliche Grundlagen unbeachtet und „unverwertet“ bleiben. Ordnungsgemäß in den Prozess eingeführten Sachvortrag muss das Gericht grundsätzlich berücksichtigen. Das Zivilprozessrecht kennt grundsätzlich kein Verbot der „Verwertung” von entscheidungserheblichem Sachvortrag. Dementsprechend bedarf es für die Annahme eines Beweisverwertungsverbots, das zugleich die Erhebung der angebotenen Beweise hindern soll, einer besonderen Legitimation und gesetzlichen Grundlage (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 20, NZA 2014, 143, 145). Dies gilt ebenso für ein etwaiges Sachvortragsverwertungsverbot (BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 21 mwN, NZA 2017, 112, 113; siehe auch Reitz NZA 2017, 273, 277). Prozessuale Verwertungsverbote stellen also die begründungsbedürftige Ausnahme dar (Zöller/Greger, 33. Aufl. 2020, § 286 ZPO Rn. 15 ff.).
Ein das Gericht bindendes Beweisverwertungsverbot oder ein Verbot, selbst unstreitigen Sachvortrag zu verwerten, kommt deshalb nur dann in Betracht, wenn dies auf einer gesetzlichen Grundlage beruht, oder weil dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist („verfassungsrechtliches Verwertungsverbot“) (Schreiber ZZP 122 (2009), 227, 229; BAG, Urteil vom 16. Dezember 2010 – 2 AZR 485/08, Rn. 29, NZA 2011, 571 ff.). Das Gericht tritt den Verfahrensbeteiligten im Zivil- und Arbeitsgerichtsprozess in Ausübung staatlicher Hoheitsgewalt gegenüber. Es ist daher nach Art. 1 Abs. 3 GG bei der Urteilsfindung an die insoweit maßgeblichen Grundrechte gebunden und zu einer rechtsstaatlichen Verfahrensgestaltung (Art. 20 Abs. 3 GG), insbesondere zur fairen Handhabung des Prozess- und Beweisrechts bzw. einer rechtsstaatlichen Verfahrensgestaltung (BAG, Urteil vom 27. Juli 2017 – 2 AZR 681/16, Rn. 16, NZA 2017, 1327, 1328) verpflichtet (BVerfG, Beschluss vom 13. Februar 2007 – 1 BvR 421/05, Rn. 93 mwN, BVerfGE 117, 202ff. = NJW 2007, 753 ff.; BAG, Urteil vom 16. Dezember 2010 – 2 AZR 485/08, Rn. 31, NZA 2011, 571, 573). Dabei können sich auch aus materiellen Grundrechten wie dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG) Anforderungen an das gerichtliche Verfahren ergeben, wenn es um die Offenbarung und Verwertung von persönlichen Daten des Arbeitnehmers geht, die grundrechtlich vor der Kenntnis durch Dritte geschützt sind (BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 23, NZA 2017, 112, 113). Das Gericht hat deshalb zu prüfen, ob die Verwertung von persönlichen Daten und Erkenntnissen, die bspw. heimlich beschafft wurden, mit datenschutzrechtlichen Belangen (insbesondere Art. 88 DSGVO iVm. § 26 BDSG) oder mit dem allgemeinen Persönlichkeitsrecht des hiervon betroffenen Beweisgegners vereinbar sind (BAG, Urteil vom 21. Juni 2012 – 2 AZR 153/11, Rn. 28, NZA 2012, 1025, 1027); BGH, Urteil vom 15. Mai 2013 – XII ZB 107/08, Rn. 21, NJW 2013, 2668 ff.), selbst wenn die rechtswidrige Beschaffung nicht vom Gericht veranlasst wurde. Auch wenn keine spezielle Ausprägung des allgemeinen Persönlichkeitsrechts betroffen ist, greift die Verwertung von personenbezogenen Daten in das Grundrecht auf informationelle Selbstbestimmung ein, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden (BAG, Urteil vom 27. Juli 2017 – 2 AZR 681/16, Rn. 16, NZA 2017, 1327, 1328); BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 21, NZA 2014, 143, 145). Dem Schutz des Grundrechts eines jeden, selbst zu entscheiden, ob persönliche Lebenssachverhalte offenbart werden, dienen auch Art. 8 Abs. 1 EMRK sowie Art. 7 und 8 GRCh (BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 23, NZA 2017, 112, 113). Im Ergebnis bedeutet dies eine Prüfung dahingehend, dass eine rechtswidrige Sachverhalts- bzw. Beweismittelbeschaffung wegen der Bindung an die Grundrechte der Gerichte nicht noch um eine grundrechtswidrige prozessuale Verwertung ergänzt werden soll.
Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers ein (1. Stufe), das – jedenfalls außerhalb des unantastbaren Kernbereich privater Lebensführung – nicht schrankenlos gewährleistet wird, überwiegt bei einer Güterabwägung das Interesse des Arbeitgebers an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Umstände auf Seiten des Arbeitgebers hinzutreten (2. Stufe). Anderenfalls würde die (Grund )Rechtsverletzung, die der Arbeitgeber bei der Informationsbeschaffung begangen hat, durch das Gericht perpetuiert, weil mit der prozessualen Verwertung der Beweismittel durch Beweiserhebung ein – erneuter bzw. fortgesetzter – Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers einherginge (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 19, NZA 2014, 143, 145). Mitentscheidend für die Frage der Perpetuierung ist auch die Intensität des Eingriffs (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 26, NZA 2014, 143, 146); ErfK/Schmidt, 20. Aufl. 2020, Art. 2 GG, Rn. 96), wobei die Heimlichkeit typischerweise das Gewicht der Freiheitsbeeinträchtigung erhöht (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 31 mwN, NZA 2014, 143, 147). Das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, reicht für sich allein nicht aus (BVerfG, Beschluss vom 13. Februar 2007 – 1 BvR 421/05, Rn. 94, BVerfGE 117, 202ff. = NJW 2007, 753 ff.; BAG, Urteil vom 22. September 2016 – 2 AZR 848/15, Rn. 24, NZA 2017, 112, 114), denn damit liefe der Eingriff in das allgemeine Persönlichkeitsrecht weitgehend leer. Vielmehr müssen diese weiteren Umstände gerade die Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt und damit als schutzbedürftig erweisen (vgl. BAG, Urteil vom 21. Juni 2012 – 2 AZR 153/11, Rn. 29, NZA 2012, 1025, 1028). Sie können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage (vgl. § 227 BGB bzw. §§ 32, 34 StGB) befindet (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rn. 29 mwN, NZA 2014, 143, 146; Lunk, NZA 2009, 457, 461; Dzida/Grau, NZA 2010, 1201, 1202; siehe zum Ganzen ausführlich: Tiedemann, in: Kramer, IT-Arbeitsrecht, 2. Aufl. 2019, München, Teil B V, Rz. 540 ff.).
(2) Bei den in den Log-Dateien der Internet-Browser auf dem Laptop des Klägers erfolgenden Protokollierungen sowie bei denen im E-Mail-Programm gespeicherten E-Mails handelt es sich um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG aF / Art. 4 Nr. DSGVO. Soweit es die Browserchronik betrifft, weisen die Dateien aus, wann vom Nutzer welche URLs im Internet mit welchem Titel aufgerufen wurden. Darin liegen persönliche bzw. sachliche Verhältnisse des Nutzers des Rechners im Hinblick auf sein Verhalten. Im vorliegenden Fall ist aufgrund der dokumentierten Zuordnung des Laptops zum Kläger die Person des Nutzers bestimmbar im Sinne von § 3 Abs. 1 BDSG aF / Art. 4 Nr. DSGVO. Bei den E-Mails ergibt sich ohnehin aus der Empfänger- bzw. Absenderangabe.
(3) Ferner kann zugunsten des Klägers unterstellt werden, dass die Protokollierung der Internetzugriffsdaten in der Browserchronik (Log-Dateien) ein Erheben und Verarbeiten (Speichern) personenbezogener Daten des Klägers gem. § 3 Abs. 3 und 4 BDSG aF durch die Beklagte als gem. § 3 Abs. 7 BDSG aF verantwortliche Stelle darstellt. Insofern ist davon auszugehen, dass die Speicherung nicht vom Kläger sondern von der Beklagten konfiguriert und eingestellt wurde. Da die vorliegend streitgegenständlichen Speichervorgänge vor dem Inkrafttreten der DSGVO und des BDSG nF am 25.05.2018 passierten, ist insofern noch das BDSG aF heranzuziehen. Da die Auswertung unmittelbar nach dem 07.03.2018 bis Anfang Juli 2018 durch die Beklagte – unter Einschaltung eines externen IT-Sachverständigen – erfolgte, liegt hierin ein Nutzen personenbezogener Daten im Sinne von § 3 Abs. 5 BDSG aF (bis 25.05.2018) bzw. eine Verarbeitung personenbezogener Daten iSv. Art. 4 Nr. 2 DSGVO (ab 25.05.2018). Dasselbe gilt bzgl. der empfangenen/gesendeten E-Mails.
(4) Mangels eines Betriebsrates liegt keine kollektive Regelung vor, die die og. Datenverarbeitung durch die Beklagte rechtfertigen könnte. Auch eine rechtswirksame Einwilligung des Klägers liegt nicht vor. Zwar hat der Kläger in § 2 Abs. 3 der Vereinbarung vom 23.11.2017 erklärt, dass er „sein Einverständnis“ erklärt, „dass der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten aus Zwecke der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüft und auswertet“. Diese Einwilligung ist rechtlich jedoch unwirksam, da sie unpräzise und zu weit gefasst ist. Der Kläger kann hieraus nicht entnehmen, welche Daten die Beklagte auswertet, und insbesondere auch nicht, dass die Beklagte ggfls. private E-Mails prüft. Insofern konnte der Kläger die potentielle Reichweite seiner Einwilligung nicht erkennen.
(5) Vorliegend gestattet jedoch § 32 Abs. 1 BDSG aF / § 26 Abs. 1 BDSG nF der Beklagten sowohl Erhebung und Verarbeitung (Speicherung) der bei Internetnutzung entstehenden Verlaufsdaten in der Browserchronik und der E-Mails, als auch deren spätere Nutzung (Auswertung), auch im vorliegenden Prozess. Hiernach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist.
Der Kläger, der als Softwareprogrammierer eingestellt wurde, weiß das Internet-Browser sog. Log-Dateien erstellen, denn der Kläger hat in diesem Verfahren darauf hingewiesen, dass es auch den sog. Inkognito-Modus gibt, bei dem derartige Speicherung unterbleibt und den er auch manchmal verwendet hat. Die Berufungskammer geht daher davon aus, dass insofern eine offene Speicherung von personenbezogenen Dateien auf dem dienstlichen Laptop des Klägers erfolgte. Hinzu kommt, dass der Kläger aus § 2 Abs. 3 der Vereinbarung vom 23.11.2017 entnehmen kann, dass die Beklagte eine Überprüfung und Auswertung vornimmt, was denklogisch deren vorherige Speicherung voraussetzt. Damit erhebt und verarbeitet (speichert) die Beklagte die bei der Internetnutzung durch Beschäftigte entstehenden Verlaufsdaten (URL-Aufrufe mit Webseite und Uhrzeit) in der Chronik des Internetbrowsers und speichert die E-Mails zu Zwecken der Missbrauchskontrolle. Diese Speicherung erfolgt damit zum Zwecke der Durchführung des Arbeitsverhältnisses nach § 32 Abs. 1 Satz 1 BDSG aF / § 26 Abs. 1 Satz 1 BDSG nF, um die Einhaltung des Verbots der privaten Nutzung des Internets und der E-Mails überprüfen zu können. Anhaltspunkte dafür, dass die Beklagte die Daten vorliegend gem. § 32 Abs. 1 Satz 2 BDSG aF / § 26 Abs. 1 Satz 2 BDSG nF zum Zwecke der Aufdeckung von Straftaten erhebt und verarbeitet, bestehen hingegen nicht.
Die bei Aufbau einer Internetverbindung zu einer bestimmten Webseite protokollierten Daten über den Zeitpunkt des Aufrufs, Adresse der aufgerufenen Webseite und deren Titel sowie die Speicherung der E-Mails sind geeignet, die missbräuchliche Nutzung des Internets durch Beschäftigte der Beklagten zu überprüfen. Die Beklagte hat ein legitimes Interesse, zu überprüfen, ob eine gegen arbeitsvertragliche Vereinbarungen verstoßende regelwidrige Internutzung erfolgt, was anhand der URLs der aufgerufenen Webseiten und der empfangenen und erhaltenen E-Mails festgestellt werden kann. Hierdurch kann auch auf einen ggf. fehlenden dienstlichen Bezug und damit einer privaten Nutzung des Internets geschlossen werden. Anhand des protokollierten Zeitpunktes des Aufrufs kann überprüft werden, ob der Aufruf während oder außerhalb der Arbeitszeit erfolgte. Dabei geht die Datenerhebung und -speicherung auch nicht über das Maß des Erforderlichen hinaus. Weitergehende Informationen über den Inhalt der Internetaktivität werden nicht gespeichert. Damit ist die genannte Speicherung geeignet und erforderlich, den Internetgebrauch auf regelwidrige Nutzung im Sinne von § 2 Abs. 3 der Vereinbarung vom 23.11.2017 oder auf exzessive, also über das Maß einer ggf. über das sozial-adäquate Maß hinaus gehende Nutzung hin zu überprüfen.
Auch die nach dem 07.03.2018 erfolgte Nutzung der Verlaufsdaten der Internet-Browser des Laptops des Klägers und der E-Mails sowie deren Auswertung ist durch § 32 Abs. 1 Satz 1 BDSG aF / § 26 Abs. 1 Satz 1 BDSG nF gerechtfertigt. Sie erfolgte im Rahmen der Zweckbestimmung und damit zur Missbrauchskontrolle im Rahmen der Durchführung des Arbeitsverhältnisses. Die Beklagte hatte das Arbeitsverhältnis zwar bereits gekündigt, jedoch hatte der Kläger Kündigungsschutzklage erhoben. Ob es tatsächlich zur Beendigung des Arbeitsverhältnisses gekommen war, war damit unsicher. Die Beklagte wollte durch den IT-Sachverständigen Zufall überprüfen lassen, ob und in welchem konkreten Ausmaß ein zeitlicher oder inhaltlicher Missbrauch der Nutzung des Internets durch den Kläger vorlag. Das konnte sie nur durch Einsicht in die bei den vom Laptop des Klägers ausgehenden Internetzugriffen entstandenen Verlaufsdaten und E-Mails tun.
Dass die Beklagte die ausgewerteten personenbezogenen Daten im Kündigungsschutzprozess auch als Beweismittel nutzen wollte, diente zudem der Beendigung des Beschäftigungsverhältnisses iSv. § 32 Abs. 1 Satz 1 BDSG aF bzw. § 26 Abs. 1 Satz 1 BDSG nF. Unter diese Anwendungsalternative fallen die Speicherung und Verwendung von personenbezogenen Daten durch den Arbeitgeber, die er zur Erfüllung der ihm obliegenden Darlegungs- und Beweislast im Kündigungsschutzprozess benötigt.
Die Auswertung war zu den genannten Zwecken auch erforderlich. Das konkrete Ausmaß eines Missbrauchs des dienstlichen Internetzugangs ließ sich nur durch eine Auswertung der Log-Dateien und der empfangenen/gesendeten E-Mails feststellen. Der Kläger hat sich auf andere Möglichkeiten nicht berufen und solche sind auch nicht zu erkennen.
Dass der Kläger durch die Beklagte bei der Auswertung nicht hinzugezogen wurde, ist dabei unerheblich. Bei der Feststellung der Erforderlichkeit der zu Zwecken des § 32 Abs. 1 Satz 1 BDSG aF / § 26 Abs. 1 Satz 1 BDSG vorgenommenen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten kommt es im Einzelfall zwar darauf an, ob die in Anwesenheit des Beschäftigten erfolgende Datenerhebung, -verarbeitung oder -nutzung gegenüber der in Abwesenheit erfolgenden als milderes Mittel anzusehen und daher die in Abwesenheit des Beschäftigten oder gar heimlich durchgeführte Datenergebung, -verarbeitung oder -nutzung als nicht erforderlich angesehen werden kann. Die Heimlichkeit einer in Grundrechte eingreifenden Maßnahme erhöht typischerweise das Gewicht der Freiheitsbeeinträchtigung (BAG, Urteil vom 20. Juni 2013 – 2 AZR 546/12, Rz. 33, juris). Eine in Anwesenheit des Klägers durchgeführte Auswertung der Log-Dateien der Internet-Browser sowie der empfangenen/gesendeten E-Mails ist unter Berücksichtigung ihrer Zwecke und der besonderen Umstände des vorliegenden Falles jedoch kein gegenüber der ohne seine Hinzuziehung erfolgenden Auswertung milderes Mittel. Die Art und Weise der Auswertung wäre auch bei Anwesenheit des Klägers keine andere gewesen. Es handelt sich dabei – soweit es die Log-Dateien betrifft – um das Auslesen von automatisiert generierten Einträgen zu Tag, Uhrzeit und URLs bestimmter mittels des Browsers aufgerufener Internetseiten. Der Kläger hätte die Auswertung der einzelnen aufgerufenen Internetseiten nicht durch die freiwillige Bekanntgabe der täglichen Zeiten privater Internetnutzung abwenden können, denn nach eigenem Vortrag hat er dazu keine genauen Erinnerungen. Durch ungefähre Angaben zu dem Umfang täglicher Privatnutzung an einzelnen Tagen hätte er die Einsichtnahme der Beklagten in die privaten Nutzungsdaten nicht abwenden können. Es war der Zweck der Auswertung, einen möglichen Missbrauch des dienstlichen Internetzugangs durch exzessive oder regelwidrige private Nutzung zu überprüfen. Diese Feststellungen mussten so erfolgen, dass dem Kläger die Stellungnahme zu einzelnen Internetaufrufen möglich war. Dasselbe gilt bzgl. der empfangenen/gesendeten E-Mails. Die entsprechenden Angaben hinsichtlich des Umfangs der privaten Internetnutzung mussten so konkret sein, dass sie substantiiert in einem arbeitsgerichtlichen Verfahren dargelegt werden konnten und dem Kläger die Möglichkeit zu konkreter und ggf. ihn entlastender Stellungnahme eröffneten.
Soweit der Kläger bei Anwesenheit während der Auswertung zu bestimmten Einträgen in die Log-Dateien hätte Stellung nehmen und ggf. bestreiten können, diese besucht zu haben oder gar konkrete Angaben dazu hätte machen können, ob er zum fraglichen Zeitpunkt überhaupt am Arbeitsplatz war oder sich zumindest in der behaupteten Mittagspause befunden hat, wird in sein Persönlichkeitsrecht nicht in stärkerem Maße eingegriffen als im Falle der ihm nunmehr möglichen Stellungnahme im Kündigungsschutzprozess. Durch seine Stellungnahme zu Auswertungsergebnissen hätte der Kläger die Beklagte von der bereits ausgesprochenen Kündigung auch nicht mehr abhalten können, soweit die bereits ausgesprochene Kündigung auf die Auswertungsergebnisse gestützt wird, konnte er sich nunmehr im Prozess dazu äußern.
Auch ist vorliegend nicht zu erkennen, dass die offene bzw. dem Kläger bekannte Speicherung der og. personenbezogenen Daten als präventive Maßnahme einen wie auch immer gearteten psychischen Anpassungsdruck erzeugt hätte, so dass er bei objektiver Betrachtung in seiner Freiheit, sein Handeln aus eigener Selbstbestimmung zu planen und zu gestalten, wesentlich gehemmt gewesen wäre (vgl. BAG, Urteil vom 27 Juli .2017 – 2 AZR 681/16, Rn. 31, NZA 2017, 1327, 1330 f. = ZD 2018, 41 ff.), so dass die vorliegend stichprobenartig kontrollierte Auswertung der Verlaufsdaten der Internet-Browser einer prozessualen Verwertbarkeit nicht entgegen steht, damit der Arbeitgeber die Nichteinhaltung eines von ihm aufgestellten kompletten Verbots der Privatnutzung von IT-Einrichtungen prozessual darlegen kann.
(6) Da die Regelungen des § 32 Abs. 1 BDSG aF / § 26 BDSG nF vorliegend von der Beklagten eingehalten wurden und die Regelungen des BDSG das allgemeine Persönlichkeitsrecht des Klägers (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG) schützen, können diese datenschutzrechtlichen Bestimmungen einer prozessualen Verwertung der personenbezogenen Daten (vgl. Dzida/Grau, NZA 2010, 1201, 1204); Grimm/Schiefer, RdA 2009, 329, 342); Heinemann, MDR 2001, 137, 141 f.) von dem dienstlichen Laptop des Klägers nicht entgegen gehalten werden.
c) Im Rahmen der vorzunehmenden Interessenabwägung (2. Stufe) überwiegt – gemessen an den og. Leitlinien aus der Rechtsprechung des Bundesarbeitsgerichts – das Interesse der Beklagten an der sofortigen Beendigung des Arbeitsverhältnisses das Interesse des Klägers an dessen Fortsetzung mindestens bis zum Ablauf der ordentlichen Kündigungsfrist.
Das BayobLG hat entschieden, dass die Staatsanwaltschaft gespeicherte personenbezogene Daten nach Einstellung gemäß § 170 Abs. 2 StPO nicht löschen, solange die Verjährungsfrist noch läuft.
Aus den Entscheidungsgründen:
"Der Antrag auf gerichtliche Entscheidung ist nach § 23 Abs. 1 und 2 EGGVG statthaft und auch im Übrigen zulässig, ein Vorschaltverfahren (§ 21 StVollstrO) ist entbehrlich. In der Sache hat der Antrag keinen Erfolg.
Der Antragsteller hat weder Anspruch auf Berichtigung, noch auf Löschung der durch die Staatsanwaltschaft Coburg gespeicherten Daten (§ 500 Abs. 1, Abs. 2 Nr. 1 StPO i.V.m. §§ 75 Abs. 1, Abs. 2 BDSG, 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO).
1. Das Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 ist am 26.11.2019 in Kraft getreten (BGBl. I 2019, S. 1774 ff.). § 500 Abs. 1 StPO erklärt hinsichtlich der Verarbeitung personenbezogener Daten Teil 3 des Bundesdatenschutzgesetzes für entsprechend anwendbar. Insoweit handelt es sich um eine eigenständige Normierung ohne Verweis auf die Datenschutzgrundverordnung (DSGVO); auch das Bayerische Datenschutzgesetz (BayDSG) ist damit grundsätzlich nicht anwendbar.
Der Antragsteller hat danach gemäß § 500 Abs. 1 StPO i.V.m. § 75 Abs. 1 BDSG einen Berichtigungsanspruch, wenn gespeicherte personenbezogene Daten unrichtig oder unvollständig sind. Er hat nach § 500 Abs. 1 StPO i.V.m. § 75 Abs. 2 BDSG, § 500 Abs. 2 Nr. 1 StPO i.V.m. § 489 Abs. 1 Nr. 1, Abs. 2 Satz 3 StPO (als ergänzende Sonderregelungen) einen Löschungsanspruch hinsichtlich gespeicherter personenbezogener Daten, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Einstellung, die die Wiederaufnahme (wie bei § 170 Abs. 2 StPO) nicht hindert, mit Eintritt der Verjährung.
2. Es besteht kein Berichtigungsanspruch, da die gespeicherten Daten nicht unrichtig und nicht unvollständig sind:
a) Der Tatvorwurf ist zu Recht gespeichert. Der Gegenstand eines Ermittlungsverfahrens muss zweifelsfrei erfasst sein, insbesondere auch um den Eintritt der Verjährung konkret bestimmen zu können, der - wie vorgehend dargestellt - maßgeblich ist für den Zeitpunkt der Löschung. Der Senat erachtet es deshalb nicht für zielführend, gespeicherte Datensätze mit Phantasieparagraphen (§ 999 StGB) zu verfälschen. Das Interesse der Strafverfolgungsbehörden an der Speicherung der Daten geht dem Interesse des Beschuldigten an der Vermeidung einer Stigmatisierung vor.
Der Senat folgt nicht dem Beschluss des Oberlandesgerichts Frankfurt vom 20.07.2010 (Az.: 3 VAs 19/10). Von einer Speicherung des urpsrünglichen Deliktsvorwurfes wurde dort nur wegen der „Besonderheiten“ des Falles abgesehen; welche „Besonderheiten“ dies sein sollen, ist jedoch nicht ersichtlich. Vorliegender Fall weist dagegen von vorneherein keine Besonderheiten auf. Das Ermittlungsverfahren wurde eingestellt, weil - wie in vielen Ermittlungsverfahren - kein konkreter Tatnachweis geführt werden konnte, und nicht etwa wegen erwiesener Unschuld, was eine andere Beurteilung rechtfertigen könnte.
b) Gespeichert ist, dass das Verfahren am 26.11.2018 eingestellt wurde, da Tatbestand, Rechtswidrigkeit oder Schuld nicht nachweisbar sind. Es ist nicht erforderlich, dass die Vorschrift des § 170 Abs. 2 StPO auch noch ausdrücklich genannt wird, da die gewählte Formulierung eindeutig ergibt, dass eine Sachbehandlung nach § 170 Abs. 2 StPO erfolgt ist.
2. Es besteht auch kein Löschungsanspruch:
Wie oben ausgeführt, ist eine Löschung erst dann vorzunehmen, wenn das Ermittlungsverfahren erledigt ist, d.h. bei einer Verfahrenseinstellung nach § 170 Abs. 2 StPO mit Eintritt der Verjährung. Totschlag verjährt nach § 78 Abs. 3 Nr. 1 StGB in dreißig Jahren. Während des Laufs der Verjährungsfrist ist die Datenspeicherung zur Aufgabenerfüllung der Staatsanwaltschaft erforderlich, weil während dieses Zeitraums neue Beweismittel auftauchen könnten, die Anlass zur Wiederaufnahme der Ermittlungen geben. Eine Einstellung nach § 170 Abs, 2 StPO steht einer solchen Wiederaufnahme der Ermittlungen nicht entgegen."
