Skip to content

LAG Hamm: DSGVO-Verstoß durch nicht notwendige Datenübermittlung innerhalb eines Konzerns - Unterlassungsanspruch und Schadensersatz in Höhe von 2.000 EURO

LAG Hamm
Urteil vom 14.12.2021
17 Sa 1185/20


Das LAG Hamm hat entschieden, dass einem Arbeitnehmer ein Unterlassungsanspruch und immaterieller Schadensersatz in Höhe von 2.000 EURO zusteht, wenn der Arbeitgeber durch Datenweitergabe innerhalb des Konzerns, die nicht für die Durchführungen des Arbeitsverhältnisses erforderlich ist, gegen die Vorgaben der DSGVO verstößt.

Aus den Entscheidungsgründen:

1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.

a) Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht - anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) - auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).

b) Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.

aa) Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 - Rn. 73 mwN).

bb) Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten - zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung - gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl. BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).

c) Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.

d) Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.

e) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.

aa) Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.

bb) Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.

(1) § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).

(2) Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.

(a) Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).

(b) Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.

(3) Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.

cc) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt.

aa) Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).

(1) Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 - Rn. 76).

(2) Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 - Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) - Rn. 31).

[...]

bb) Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.

(1) Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.

Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und - änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.

(2) Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.

(a) Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung dieses Vorgehens vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).

(b) Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.

[...]

dd) Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.

(1) Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.

(2) In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).

(a) Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.

Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 – Rn. 30 mwN.).

(b) Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).

f) Es besteht auch die erforderliche Wiederholungsgefahr.

aa) Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 - 1 AZR 179/11 - Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 - 1 AZR 257/13 - Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).

bb) Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).

2. Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

a) Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).
b) Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.

c) Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.

d) Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.

aa) Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis eines Verschuldens voraus (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 - 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.

bb) Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.

e) Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.

Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“ darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der - auch hier eingetretene - Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).

f) Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.

aa) Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).

bb) Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.

(1) Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.

(2) Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch - jedenfalls bis zur Löschung der Daten durch die AKG - geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.

(3) Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.

(4) Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.

(5) Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.

(6) Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.

g) Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.


Den Volltext der Entscheidung finden Sie hier:


LAG Hamm: Unzulässige Videoüberwachung durch Arbeitgeber führt zu Beweisverwertungsverbot - Persönlichkeitsrechtsverletzung durch den Verstoß gegen den Datenschutz

LAG Hamm
Urteil vom 12.06.2017
11 Sa 858/16


Das LAG Hamm hat entschieden, dass eine unzulässige Videoüberwachung durch den Arbeitgeber zu einem Beweisverwertungsverbot führt. Durch den Verstoß gegen die datenschutzrechtlichen Vorgaben liegt eine Persönlichkeitsrechtsverletzung vor, die das Beweisverwertungsverbot zur Folge hat.

Aus den Entscheidungsgründen:

"I. Auch wegen der restlichen Ersatzforderung von 976,20 € ist die Widerklage unbegründet [133,00 € + 331,20 € + 213,00 € + 56,00 € + 22,00 € (nicht 32,00 €) + 221,00 €]. Zwar beschränkt sich der Beklagte bei dieser Forderung nicht auf die unter I. behandelten Berechnungen und Schlussfolgerungen. Zu den Daten 17.12.2015, 13.01.2016 und 29.01.2016 hat der Beklagte bereits im Verfahren erster Instanz konkrete schädigende Handlungen der Klägerin behauptet, welche er im zweiten Rechtszug für den 17.12.2015 und den 29.01.2016 weiter konkretisiert hat. Zusätzlich hat der Beklagte im Berufungsverfahren weitere konkrete Vorfälle am 19.12.2015, 08.01.2016 und am 23.01.2016 behauptet. Die für die sechs Tage behaupteten Fehlbeträge summieren sich damit auf insgesamt 976,20 €. Der Beklagte hat jedoch keinen zulässigen Beweis für die Richtigkeit der von der Klägerin bestrittenen Behauptungen angetreten. Sowohl für die Beweisführung durch die eingereichten Videosequenzen wie auch für eine Zeugenvernehmung der Mitarbeiterin, welche die Videoaufzeichnungen ausgewertet hat, besteht ein Beweisverwertungsverbot aus Gründen des Daten- und Persönlichkeitsschutzes.

42
1. Ein Beweisverwertungsverbot oder ein Verbot, selbst unstreitigen Sachvortrag zu verwerten, kommt in Betracht, wenn dies aufgrund einer verfassungsrechtlich geschützten Position einer Prozesspartei zwingend geboten ist (BAG 20.10.2016 – 2 AZR 395/15 - ; BAG 22.09.2016 – 2 AZR 848/15 - ). Das Gericht hat insoweit zu prüfen, ob Daten und Erkenntnisse in Übereinstimmung mit datenschutzrechtlichen Vorschriften gewonnen worden sind und ob die Verwertung der gewonnenen Daten und Erkenntnisse mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist. Das allgemeine Persönlichkeitsrecht schützt nicht allein die Privat- und Intimsphäre, sondern in seiner speziellen Ausprägung als Recht am eigenen Bild auch die Befugnis eines Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise gegen ihn verwendet werden dürfen. Die Verwertung von personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 11.03.2008 – 1 BvR 2074/05 -). Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht einer Prozesspartei ein, überwiegt das Interesse an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Es muss sich gerade diese Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt erweisen (BAG 20.10.2016 - 2 AZR 395/15; BAG 22.09.2016 – 2 AZR 848/15 - ). Ein Beweisverwertungsverbot wegen eines ungerechtfertigten Eingriffs in das Persönlichkeitsrecht umfasst dabei nicht nur das Beweismittel selbst, also in einem Fall wie hier eine In-Augenscheinnahme der Videoaufzeichnungen, sondern auch dessen mittelbare Verwertung wie etwa die Vernehmung eines Zeugen über den Inhalt des Bildmaterials (BAG 20.10.2016 - 2 AZR 395/15 - unter Hinweis auf BVerfG 31.07.2001 – 1 BvR 304/01 - ).

43
2. Der Schutzzweck der bei der Informationsgewinnung verletzten Norm kann einer Beweisverwertung und auch einer gerichtlichen Verwertung unstreitigen Sachvortrags entgegenstehen. Allerdings ordnen die Bestimmungen des BDSG für sich genommen nicht an, dass unter ihrer Missachtung gewonnene Erkenntnisse oder Beweismittel bei der Feststellung des Tatbestands im arbeitsgerichtlichen Verfahren vom Gericht nicht berücksichtigt werden dürften (BAG 22.09.2016 – 2 AZR 848/15 -; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 105). Die Annahme eines Sachvortrags- oder Beweisverwertungsverbots setzt weiter voraus, dass es dem Schutzzweck etwa des allgemeinen Persönlichkeitsrechts zuwiderliefe, den inhaltlichen Gehalt des fraglichen Beweismittels zur Grundlage der gerichtlichen Entscheidung zu machen (BAG aaO; Eylert aaO 105, 106). Der Schutzzweck des BDSG gebietet es nicht, dem Arbeitgeber aus generalpräventiven Gründen eine prozessuale Verwertung datenschutzrechtswidrig erlangter Informationen generell zu verwehren. Ein Verbot kommt nur in Betracht, wenn mit der Verwertung ein Eingriff in das allgemeine Persönlichkeitsrecht der anderen Prozesspartei einhergeht. Ein solcher Eingriff scheidet aus, wenn die Unzulässigkeit allein aus der (Dritt-)Betroffenheit anderer Beschäftigter resultiert (BAG 20.10.2016 – 2 AZR 395/15 - ). Unschädlich ist es dabei nach Auffassung des Bundesarbeitsgerichts, wenn der Arbeitgeber seinen Dokumentationspflichten gemäß § 32 Abs. 1 Satz 2 BDSG, die grundsätzlich vor der Datenerhebung zu erfüllen sind, nur unvollständig nachgekommen ist (BAG 20.10.2016 - 2 AZR 395/15 - ).

44
3. Nach diesen Grundsätzen besteht für die Videosequenzen, die mit der sog. Kassenkamera aufgezeichnet worden sind, ein Beweisverwertungsverbot (Screenshot BB 3 und BB 5, Bl. 266, 268 GA). Dies betrifft sämtliche Behauptungen des Beklagten zu den sechs Tagen mit Ausnahme der Behauptung der Geldentwendung im Büroraum am 23.01.2016, welche nach den Angaben des Beklagten mit der sog. Bürokamera aufgezeichnet worden ist (Screenshot BB 6, Bl. 269 GA / dazu unter 4.).

45
a) Bei den Aufnahmen der sog. Kassenkamera handelt es sich um eine offene Videoüberwachung des Ladenlokals als eines öffentlich zugänglichen Raums zur Wahrnehmung des Hausrechts („zur Aufklärung Straftaten Dritter, z. B. von Diebstählen, Überfällen, nächtlichen Einbrüchen oder Trickbetrügereien“).

46
aa) Die grundsätzliche Zulässigkeit solcher Beobachtungen ist in § 6 b Abs. 1 Nr. 2, Nr. 3 BDSG geregelt. § 6 b Abs. 2 BDSG legt fest, dass der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen sind. Die Verarbeitung oder Nutzung der nach § 6 b Abs. 1 BDSG erhobenen Daten ist gemäß § 6 b Abs. 3 BDSG zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Nach § 6 b Abs. 5 BDSG sind die nach § 6 b Abs. 1 BDSG erhobenen Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Diese Vorschrift dient der Durchsetzung des Gebots der sparsamen Datenhaltung (NK-GA-Gola/Schulz, 1. Aufl. 2016, § 6 b BDSG Rn. 10). Bei der Vorgabe der unverzüglichen Löschung ist von einer Frist von ein bis zwei oder zumindest nur wenigen Arbeitstagen nach Wegfall der Erforderlichkeit auszugehen (Simitis-Scholz, BDSG, 8.Aufl. 2014, § 6 b BDSG Rn. 140, 141, 144 [„für kleine überschaubare Läden … Löschung noch am selben Abend“]; Däubler u.a.- Wedde, BDSG 5. Aufl. 2016, § 6 b BDSG Rn. 60).

47
bb) Die von dem Beklagten ab dem 15.02.2016 begonnene Auswertung des mit der Kassenkamera im Dreimonatszeitraum November 2015 bis Januar 2016 aufgezeichneten Arbeitsverhaltens der Klägerin im Kassenbereich verstößt gegen § 6 b Abs. 5 BDSG. Die Vorhaltung der Videoaufzeichnungen zum Kassierverhalten der Klägerin im Dreimonatszeitraum November 2015 bis Januar 2016 noch am 15.02.2016 verstößt gegen die Pflicht zur unverzüglichen Löschung. Der Beklagte wäre verpflichtet gewesen, die letzten Aufzeichnungen aus Januar 2016 in den ersten Tagen des Februar 2016, auf jeden Fall deutlich vor dem 15.02.2016 zu löschen. Die weiter zurückliegenden Aufzeichnungen hätten bereits zu entsprechend früheren Zeitpunkten gelöscht sein müssen. Aus diesem datenschutzrechtlichen Verstoß des Beklagten resultiert nach Abwägung der wechselseitigen Interessen ein Beweisverwertungsverbot. Zu berücksichtigen ist, dass der Beklagte ein Interesse hat, Schadensersatzforderungen für rechtswidriges Verhalten realisieren zu können, welches in seinem Ladenlokal zu seinem Nachteil geschieht. Diesem Interesse hat der Gesetzgeber mit den Regeln in § 6 b BDSG einerseits Rechnung getragen, zugleich hat er dort dem Interesse aber auch aus Gründen des Datenschutzes der überwachten Personen Grenzen gesetzt, der Gesetzgeber erwartet von der verantwortlichen Stelle eine alsbaldige Prüfung des Videomaterials zur Bedarfsklärung (Simitis-Scholz, BDSG, 8. Auf. 2014, § 6 b BDSG Rn. 140). Auf der Seite der Klägerin ist zu berücksichtigen, dass das Vorgehen des Beklagten sie in gravierender Weise in ihrem Recht auf informationelle Selbstbestimmung beschränkt. Die Kassenkamera hat jeden einzelnen Kassiervorgang der Klägerin aufgenommen. Durch die nicht durchgeführten Löschungen verfügte der Beklagte am 15.02.2016 über eine lückenlose Dokumentation jeglichen Kassenverhaltens der Klägerin während etlicher Arbeitswochen weit rückwirkend in den Dreimonatszeitraum November 2015 bis Januar 2016 hinein. Intensiviert ist die Beeinträchtigung dadurch, dass auch das Verhalten der Klägerin an anderen Stellen des Ladenlokals – durch zwei weitere unterschiedliche Kameraeinstelllungen in das Ladenlokal hinein - und außerdem noch ihr Verhalten bei Aufenthalten im nicht öffentlich zugänglichen Büroraum und insbesondere auch an dem dort befindlichen Sitzplatz (Screenshot BB 2, BB 6, Bl. 265, 269 GA) durchgängig aufgezeichnet worden ist. Eine Videobeobachtung des Arbeitnehmers in seinem Arbeitsbereich während der gesamten Dauer seiner Arbeitszeit stellt einen intensiven Eingriff in das Persönlichkeitsrecht dar (BAG 20.10.2016 – 2 AZR 395/15 – Rn. 30; Eylert, Kündigung nach heimlicher Arbeitnehmerüberwachung, NZA-Beilage 2015, 100, 104). Hier tritt hinzu, dass die lückenlose Dokumentation des Arbeitsverhaltens von dem Beklagten weit über eine Wochen- und sogar weit über eine Monatsspanne hinaus gespeichert gehalten worden ist. Angesichts dessen überwiegen die Interessen der Klägerin gegen eine Verwertung der Videoaufzeichnungen zur Beweisführung. Es besteht ein Beweisverwertungsverbot. Dem Antrag des Beklagten, die Videosequenzen zum Zwecke des Beweises in der mündlichen Verhandlung auszuwerten, war nicht zu entsprechen. Das Beweisverwertungsverbot steht aus den oben ausgeführten Gründen auch einer Vernehmung der Zeugin G entgegen, welche die Videoaufzeichnungen im Betrieb des Beklagten ausgewertet hat.

48
b) Ein anderes Ergebnis folgt nicht aus § 32 Abs. 1 Satz 2 BDSG. Nach dieser Bestimmung kann der Arbeitgeber zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten – ggf. auch heimlich – erheben, wenn dies zur Aufdeckung von Straftaten dient und die Datenerhebung nicht unverhältnismäßig ist. Es ist anerkannt, dass diese Vorschrift auch bei Überwachungen in öffentlich zugänglichen Räumen zur Rechtfertigung von – auch heimlichen - Videoüberwachungen herangezogen werden kann (BAG 22.09.2016 – 2 AZR 848/15 -; ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 2). Ein Vorgehen nach § 32 Abs. 1 Satz 2 BDSG setzt voraus, dass der Arbeitgeber Straftaten aufdecken möchte. Voraussetzung für eine Erhebung nach § 32 Abs. 1 Satz 2 BDSG ist darüber hinaus, dass tatsächliche Anhaltspunkte für begangene Straftaten existieren. Der konkrete Tatverdacht muss aktenkundig gemacht werden, d.h. es müssen Schaden, Verdächtigenkreis und die Indizien, warum gerade die überwachte Person oder eine abgrenzbare überwachte Personengruppe verdächtig ist, schriftlich oder elektronisch dokumentiert werden. Allein das Vorliegen eines konkreten Tatverdachts genügt jedoch nicht, um eine flächendeckende Überwachung durchzuführen (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 31, 32). Vor Durchführung einer Überwachung nach § 32 Abs. 1 Satz 2 BDSG müssen außerdem weniger einschneidende Mittel zur Aufklärung ausgeschöpft sein (BAG 20.10.2016 – 2 AZR 395/15 -). Diese Voraussetzungen waren hier im Zeitpunkt der Überwachungsmaßnahmen in den drei Monaten November 2015 bis Januar 2016 nicht erfüllt. Erst im Nachhinein ist bei dem Beklagten ein Verdacht entstanden, nämlich nachdem er rückwirkend den Dreimonatszeitraum November 2015 bis Januar 2016 betriebswirtschaftlich ausgewertet hatte. Darin unterscheidet sich der hier gegebene Sachverhalt von dem des Urteils des Bundesarbeitsgerichts vom 20.10.2016 (2 AZR 395/15). Dort waren Inventurdifferenzen vor der Einrichtung der Videoüberwachung festgestellt worden. Die zum Beweis angebotenen Videokonsequenzen sind nicht durch die Regelung des § 32 Abs. 1 Satz 2 BDSG gerechtfertigt.

49
c) Die fraglichen Videoaufzeichnungen kann der Beklagte nicht nach § 32 Abs. 1 Satz 1 BDSG rechtfertigen. Danach ist eine Erhebung personenbezogener Daten für Zwecke des Beschäftigtenverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist. Insoweit ist anerkannt, dass § 32 Abs. 1 Satz 1 BDSG eine permanente Überwachung des Arbeitsverhaltens des Arbeitnehmers wegen des zu beachtenden Verhältnismäßigkeitsgebotes nicht zulässt (ErfK-Franzen, 17. Aufl. 2017, § 6 b BDSG Rn. 18).

50
d) Schließlich kann sich der Beklagte zur Rechtfertigung seines Vorgehens nicht auf die Rechtsprechung des Bundesarbeitsgerichts zur Verwertbarkeit sog. Zufallsfunde stützen. Für eine Videoüberwachung zur Aufdeckung von Straftaten gemäß § 32 Abs. 1 Satz 2 BDSG ist ein durch konkrete Tatsachen belegter „einfacher“ Verdacht ausreichend, der über vage Anhaltspunkte und bloße Mutmaßungen hinausreichen muss; ein „dringender“ Tatverdacht im Sinne eines hohen Grades an Wahrscheinlichkeit für die Begehung von Straftaten ist nach dem Gesetzeswortlaut nicht erforderlich (BAG 20.10.2016 – 2 AZR 395/15 -). Fällt bei einer zulässigen Videoüberwachung nach § 32 Abs. 1 Satz 2 BDSG gegen andere Verdächtige ein sog. Zufallsfund an, indem eine bislang nicht verdächtigte Person mit strafbarem Verhalten auffällt, so kann die Verwertung des Zufallsfundes nach § 32 Abs. 1 Satz 1 BDSG zulässig sein, auch wenn die Videoüberwachung im Hinblick auf die jetzt betroffene Person bislang anlasslos war (BAG 22.09.2016 – 2 AZR 848/15 - ). Hier ist die Klägerin jedoch nicht im Rahmen einer zulässigen Überwachung „zufällig“ aufgefallen sondern erst und nur im Rahmen einer gegen § 6 b Abs. 5 BDSG verstoßenden und nicht nach § 32 Abs. 1 Satz 1 oder Satz 2 gerechtfertigten Auswertung von Videoaufzeichnungen in einem öffentlich zugänglichen Ladenlokal (s.o.).

51
4. Ein Beweisverwertungsverbot besteht auch, soweit der Beklagte die Wegnahme von 200,00 € durch die Klägerin im Büroraum am 23.01.2016 mit Videosequenzen der sogenannten Bürokamera beweisen will (Screenshot BB2, BB 6, Bl. 265, 269 GA).

52
Der Büroraum mit dem dort befindlichen Tresor ist kein öffentlich zugänglicher Raum im Sinne des § 6 b BDSG. Eine Videoüberwachung dieses Raums nach den Regeln des § 6 b BDSG kommt nicht in Betracht (vgl. Weth / Herberger / Wächter - Byers, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, B VI Rn. 46 = S. 354, 355). Die Zulässigkeit der Videoüberwachung an einem nicht öffentlich zugänglichen Arbeitsplatz richtet sich zuvörderst nach § 32 Abs. 1 Satz 1 und Satz 2 BDSG (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355; Grimm, Überwachung im Arbeitsverhältnis, jM 2016, 17, 25). Die Zulässigkeitsvoraussetzungen gemäß § 32 Abs. 1 Satz 2 BDSG und nach § 32 Abs. 1 Satz 1 BDSG für eine Überwachung des Büroraums sind aus den oben unter 3. ausgeführten Gründen nicht erfüllt; im Zeitpunkt der Videoaufzeichnung bestand kein konkreter Verdacht für eine - durch die Überwachung aufzudeckende – Straftat (§ 32 Abs. 1 Satz 2 BDSG), eine durchgängige Überwachung der Klägerin bei ihren Aufenthalten im Büroraum gemäß § 32 Abs. 1 Satz 1 BDSG stellt sich – ohne Vorliegen eines konkreten Verdachts - als unverhältnismäßig dar (anlasslose Überwachung). Ein Rückgriff auf die Regeln zur Datenerhebung und –speicherung für eigene Geschäftszwecke gemäß § 28 Abs. 1 Nr. 2 BDSG, wie er auch bei einer Videoüberwachung an Arbeitsplätzen zur Verhinderung von Straftaten betriebsfremder Dritter für zulässig gehalten wird (Weth / Herberger / Wächter - Byers, aaO, B VI Rn. 47, 48 = S. 355), führt zu keinem anderen Ergebnis. Auch eine solche Überwachung ist nur im Rahmen der Erforderlichkeit zulässig. Auch hier ist von der überwachenden Stelle eine zügige Auswertung und alsbaldige Löschung zu fordern (ErfK-Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 18: Löschung „innerhalb kürzester Zeit“; ArbG Frankfurt 27.01.2016 – 6 Ca 4195/15 – LAGE § 32 BDSG 2003 Nr. 1 Rn.55 „unverhältnismäßige Datenflut“; NK-GA-Gola/Schulz, 1. Aufl. 2016, § 32 BDSG Rn. 113 für § 32 Abs. 1 BDSG). Eine rückwirkende Auswertung einer lückenlosen Aufzeichnung nach Ablauf von mehr als zwei Wochen ist unverhältnismäßig und deshalb unzulässig. Auch hier führt die Interessenabwägung angesichts der Umfänglichkeit der Videoüberwachung am Arbeitsplatz einerseits und der langwährenden Speicherung des reichhaltigen Datenmaterials andererseits zum Beweisverwertungsverbot zum Schutz des Persönlichkeitsrechts der Klägerin."

Den Volltext der Entscheidung finden Sie hier:

LAG Hamm: Heimlicher Einsatz eines Keyloggers auf Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz rechtswidrig - Beweisverwertungsverbot

LAG Hamm
Urteil vom 17.06.2016
16 Sa 1711/15


Das LAG Hamm hat entschieden, dass der heimlicher Einsatz eines Keyloggers auf einem Dienst-PC zur Aufdeckung unzulässiger Internetnutzung am Arbeitsplatz unzulässig ist und zu einem Beweisverwertungsverbot führt.

Aus den Entscheidungsgründen:

"aa) Durch die heimliche Installation des sog. Keyloggers hat die Beklagte in massiver Weise in das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgte Recht des Klägers auf informationelle Selbstbestimmung, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, eingegriffen.

Bei einem Keylogger („Tasten-Protokollierer“) handelt es sich um eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Durch die Protokollierung jeder Tastatureingabe werden auch hochsensible Daten – wie z. B. Benutzername und Passwörter für geschützte Bereiche, PINs pp. – erfasst und protokolliert. Wie massiv der Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung ist, wird vorliegend bereits daran deutlich, dass sich die Kammer zu Beginn der mündlichen Verhandlung zu dem Hinweis genötigt sah, der Kläger möge sich eine neue Kreditkarte besorgen, damit die Prozessbeteiligten bei einem etwaigen Missbrauch seiner Kreditkarte nicht in einen unberechtigten Verdacht geraten. Aufgrund der protokollierten Tastatureingaben und Vorlage der LOG-Dateien im Verfahren waren nämlich nicht nur der Beklagten als Arbeitgeberin, sondern allen Prozessbeteiligten sämtliche Informationen über die Kreditkarte des Klägers, wie Kreditkartennummer, dreistellige Prüfnummer, Gültigkeitsdauer pp. zugänglich. All diese Daten waren protokolliert und hätten ohne Weiteres Käufe im Internet zu Lasten der Kreditkarte des Klägers ermöglicht. Zusätzlich zur Protokollierung jeder Tastatureingabe hat der von der Beklagten heimlich installierte Keylogger auch regelmäßige „Sreenshots“ (Bildschirmfotos / Bildschirmkopien) erstellt.

bb) Der massive Eingriff in das Grundrecht des Klägers auf informationelle Selbstbestimmung führt vorliegend zu dem Ergebnis, dass die Verwertung der heimlich beschafften Daten und Erkenntnisse zu Beweiszwecken nicht zulässig ist.

(1) Greift die prozessuale Verwertung heimlich beschaffter, persönlicher Daten in das Recht auf informationelle Selbstbestimmung ein, ist im Einzelfall zu prüfen, ob die Verwertung dieser Daten mit dem Recht auf informationelle Selbstbestimmung vereinbar ist. Bei der erforderlichen Abwägung überwiegen das Interesse an einer materiell richtigen Entscheidung und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Aspekte hinzutreten. Diese können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Das Interesse, sich ein Beweismittel zu sichern, reicht demgegenüber für sich allein nicht aus. Vielmehr müssen die besonderen Umstände gerade die in Frage stehende Art der Informationsbeschaffung und Beweiserhebung als gerechtfertigt ausweisen (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11 -; Bundesarbeitsgericht, Urteil vom 20. Juni 2013 – 2 AZR 546/12 -; Bundesgerichtshof, Beschluss vom 15. Mai 2013 – XII ZB 107/08 -).

(2) Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) konkretisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Sie regeln, in welchem Umfang im Anwendungsbereich des Gesetzes Eingriffe in diese Rechtsposition zulässig sind. Liegt keine Einwilligung des Betroffenen vor, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten. Dieser Grundsatz des § 4 Absatz 1 BDSG prägt das deutsche Datenschutzrecht (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11).

Nach § 32 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Nach Absatz 1 Satz 2 dieser Vorschrift dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zu deren Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Die Regelung des § 32 BDSG baut nach der Gesetzesbegründung auf den von der Rechtsprechung entwickelten allgemeinen Grundsätzen auf. So waren Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers nach der Rechtsprechung des Bundesarbeitsgerichts schon bislang nur zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft waren, die angedachte Maßnahme damit praktisch das einzig verbleibende Mittel darstellte und die Maßnahme insgesamt nicht unverhältnismäßig war (Bundesarbeitsgericht, Urteil vom 21. November 2013 – 2 AZR 797/11; Franzen in: Erfurter Kommentar zum Arbeitsrecht, 15. Auflage 2015, § 32 BDSGRn. 31, 32).

(3) Bei Anwendung dieser Grundsätze kommt die Kammer zum Ergebnis, dass das von der Beklagten durch die heimliche Installation des Keyloggers gewonnene Material im vorliegenden Verfahren nicht als Beweismittel verwertbar ist. Die Erhebung, Speicherung und Auswertung der Computernutzung durch den Kläger mit Hilfe des Keyloggers ist weder durch die Vorschriften des Bundesdatenschutzgesetzes noch nach den von der Rechtsprechung entwickelten, allgemeinen Grundsätzen gedeckt."



Den Volltext der Entscheidung finden Sie hier:

LAG Hamm: (Dauer-)Praktikant erhält kein Arbeitsentgelt für achtmonatige Tätigkeit im Einzelhandel - Praktikantenverhältnis ist kein Arbeitsverhältnis

LAG Hamm
Urteil vom 17.10.2014
1 Sa 664/14


Die Pressemitteilung des LAG Hamm:

"Landesarbeitsgericht Hamm: Praktikantin fordert Arbeitsentgelt für achtmonatige Tätigkeit im Einzelhandel - Klage abgewiesen

Wegen des Sachverhalts wird Bezug genommen auf die Pressemittteilung Nr. 21.

Die 1. Kammer hat auf die Berufung des Beklagten das Urteil des Arbeitsgerichts Bochum abgeändert und die Klage abgewiesen.

Nach Auffassung der Kammer steht der Klägerin kein Anspruch auf Zahlung von Arbeitsentgelt zu, da zwischen den Parteien kein Arbeitsverhältnis begründet worden sei. Zwar habe die Klägerin jedenfalls teilweise reguläre Arbeitstätigkeiten verrichtet. Dies sei allerdings im Rahmen eines sozialversicherungsrechtlich geprägten Praktikantenverhältnisses geschehen. Die Klägerin habe als Teilnehmerin einer berufsvorbereitenden Maßnahme der Bundesagentur für Arbeit das Praktikum absolviert und in dieser Zeit Leistungen der Arbeitsagentur erhalten.

Die Revision ist nicht zugelassen worden."



LAG Hamm: Fristlose Kündigung wegen Filesharing durch Arbeitnehmer am Arbeitsplatz unwirksam, wenn auch Dritte Zugriff auf Computer hatten

LAG Hamm
Urteil vom 06.12.2013
13 Sa 596/13


Das LAG Hamm hat entschieden, dass eine fristlose Kündigung wegen Filesharings durch Arbeitnehmer am Arbeitsplatz als unwirksam ist, wenn unklar ist, wer Zugriff auf den verwendeten Computer hatte.

Aus den Entscheidungsgründen:

"Der Kläger kann vom beklagten Land die Feststellung verlangen, dass das zwischen den Parteien begründete Arbeitsverhältnis arbeitgeberseits nicht durch die außerordentlichen Kündigungen vom 19.11. und 03.12.2012 aufgelöst worden ist.

Beide Kündigungen sind nämlich, losgelöst von allen anderen Einwendungen des Klägers, in jedem Fall deshalb unwirksam, weil in seiner Person die Voraussetzungen des § 626 Abs. 1 BGB nicht erfüllt sind, also kein wichtiger Grund für die sofortige Beendigung des im Kündigungszeitpunkt über 18 Jahre zum beklagten Land bestandenen Arbeitsverhältnisses gegeben ist.
[...]
Nach alledem steht entgegen der Ansicht des beklagten Landes weder zur Überzeugung des Gerichts fest noch ergibt sich ein dringender Tatverdacht, dass nur der Kläger und kein anderer Mitarbeiter der Kreispolizeibehörde auf dem Desktoprechner P2 zugreifen konnte und deshalb für die illegalen Downloads verantwortlich ist. In dem Zusammenhang soll nicht unerwähnt bleiben, dass das beklagte Land sich selbst weiterer Erkenntnisquellen begeben hat, als es nach den ergebnislos gebliebenen Gesprächen mit allen 16 Mitarbeitern der damaligen Abteilung VL 3 einige Zeit zuwartete und so im Zeitraum vom 02. bis 04.03.2010 Löschungen ermöglichte, bevor dann endlich die Aufbewahrung der Geräte in einem verschlossenen Raum erfolgte. In dieser Konstellation ist es auch ohne Weiteres nachvollziehbar, wenn der Kläger als Informationstechniker darauf hinweist, er wäre bei von ihm selbst getätigten illegalen Downloads in der verbliebenen Zeit nach dem 01.03.2010 unschwer in der Lage gewesen, die Rechner neu zu installieren, statt nur einen für einen Laien typischen bloßen Schredder zu verwenden, der noch Datenspuren hinterlassen habe."