Das LAG Hessen hat entschieden, dass ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO infolge eines Hackerangriffs ausscheidet, wenn der Betroffene den konkreten Datenabfluss nicht schlüssig darlegt und lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung behauptet. Nach Ansicht des Gerichts begründet ein Kontrollverlust nur dann einen entschädigungsfähigen immateriellen Schaden, wenn die Befürchtung eines Datenmissbrauchs unter Anwendung eines objektiven Maßstabs als begründet anzusehen ist.
Aus den Entscheidungsgründen: 1. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 140; EuGH 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32; ebenso BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Vorliegend fehlt es an allen drei Voraussetzungen.
Hinsichtlich der Darlegungs- und Beweislast gilt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH 11. April 2024 - C-741/21 - [juris] Rn. 35; EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 60 f.; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).
a. Es fehlt bereits an einem schlüssigen Vortrag des Klägers zu einem Verstoß gegen die Bestimmungen der DSGVO. Zwar sind unstreitig Daten des Klägers kopiert worden und im Darknet ist eine Liste von Dateinamen aufzufinden, die die von den Hackern kopierten Dateien bezeichnen. Es fehlt aber an dem von dem darlegungsverpflichteten Kläger zu erbringendem Vortrag, welche seiner Daten konkret von den Hackern kopiert worden sind. Über diese Kenntnis verfügt der Kläger, weil die Beklagte mit ihrem Auskunftsschreiben in der dem Schreiben beigefügten Anlage 2 die kopierten Daten konkret bezeichnet hat. Dieser Umstand ist von der Beklagten bereits im erstinstanzlichen Verfahren unbestritten vorgetragen worden und auch im Berufungsverfahren bis zuletzt unstreitig geblieben. Zwar hat der Kläger in der mündlichen Verhandlung vom 10. Februar 2026 auf Nachfrage des Vorsitzenden angegeben,nach seiner Erinnerung habe er die Anlage 2 zum Informationsschreiben der Beklagten über den Datenschutzvorfall nicht erhalten, dies stellt aber kein erhebliches Bestreiten dar. Einerseits belegt der Umstand, dass der Kläger im Rahmen der mündlichen Verhandlung auf seinem Mobiltelefon zwar eine Kopie des Auskunftsschreiben vorgefunden hat, nicht aber die Anlagen zu dem Schreiben, nicht, dass diese dem ursprünglichen Schreiben nicht beigefügt waren. Andererseits stellt sein Hinweis auf seine fehlende Erinnerung nicht die ausdrückliche Angabe dar, die Anlage seien nicht beigefügt gewesen. Im Übrigen wäre das erstmalige Bestreiten des Erhalts der Anlage 2 in der mündlichen Verhandlung vor dem Landesarbeitsgericht verspätet, da es zumindest nicht mit der Berufungsbegründung erfolgt ist, § 67 Abs. 4 ArbGG, und die Berücksichtigung zu einer Verzögerung des Berufungsverfahrens führen würde.
Soweit der Kläger mit seiner Berufungsbegründung die erstinstanzliche Behauptung hinsichtlich der konkret kopierten Daten wiederholt, fehlt es an einer Auseinandersetzung mit dem Vortrag der Beklagten, bei den laut Kläger angeblich kopierten Daten handele es sich nicht um die widerrechtlich kopierten Daten, sondern um Daten, die in Beschäftigungsverhältnissen von der Beklagten grundsätzlich gespeichert werden. Diese grundsätzlich erhobenen Daten seien im Auskunftsschreiben als Anlage 1 beigefügt gewesen, die widerrechtlich kopierten Daten des Klägers in Anlage 2. Hinzu kommt, dass die Beklagte hinsichtlich einzelner Daten, nämlich bezüglich der Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie hinsichtlich der privaten Zugangsdaten und der Handynummer des Klägers ausdrücklich vorgetragen hat, diese Daten seien nicht kopiert worden. Eine Auseinandersetzung des Klägers mit diesem Vorbringen fehlt ebenfalls.
Soweit der Kläger mit der Berufungsbegründung neben der erstinstanzlich behaupteten Verletzung von Art. 32 und 34 DSGVO erstmals und im Weg der Verwendung von Textbausteinen die Verletzung von Art. 6, 12 bis 14, 33 und 35 DSGVO rügt, fehlt es insgesamt an einem hinreichenden Vortrag zu einem Datenschutzverstoß.
b. Auch das Vorliegen eines immateriellen Schadens – einen materiellen Schaden behauptet der Kläger nicht schlüssig – kann nach Auffassung der Kammer vorliegend nicht anerkannt werden. Der Kläger beruft sich insoweit auf einen Kontrollverlust durch das Kopieren seiner Daten und auf seine Befürchtung einer missbräuchlichen Verwendung seiner Daten durch die Hackerorganisation.
aa. Zwar kann nach der Rechtsprechung des EuGH ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 144 ff.), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 65; EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 68; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31).
Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann (EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (BAG 25. Juli 2024 - 8 AZR 225/23 - Rn. 33; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 15; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen (BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).
bb. Zwar wird mit dem Kläger davon auszugehen sein, dass er wegen des widerrechtlichen Kopierens seiner nicht näher bezeichneten personenbezogenen Daten einen Kontrollverlust bezüglich ihrer erlitten hat, eine begründete Sorge bezüglich des Eintritts eines weitergehenden Schadens ist jedoch nicht erkennbar.
Zunächst ist festzuhalten, dass die personenbezogenen Daten des Klägers im Internet oder im Darknet nicht eingestellt sind und auch zu keinem Zeitpunkt für einen Abruf dort zur Verfügung standen. Alleine ist im Darknet eine Liste mit Dateinamen eingestellt worden. Die einzelnen mit dem Dateinamen bezeichneten Dateien sind nicht einzusehen. Der Inhalt der Dateien ist, mit Ausnahme der Hackerorganisation selbst, Dritten nicht zugänglich. Hinzu kommt, dass die Beklagte unbestritten vorgetragen hat, dass es sich bei den kopierten Daten um eine riesige Menge nicht nur personenbezogener Daten handele, die unstrukturiert für unbefugte Dritte nicht nutzbar seien und von unbefugten Dritten auch nicht ohne massiven finanziellen Aufwand strukturiert werden könnten. Auch das Hochladen der Daten insgesamt dürfte für die Hackerorganisation aufgrund der Datenmenge einen ganz erheblichen Kostenfaktor darstellen. Bereits vor dem Hintergrund dieser Kosten und des erheblichen Aufwands, die Daten des Klägers strukturiert zusammenzufassen und darzustellen, erscheint es der Kammer ausgeschlossen, dass personenbezogene Daten des Klägers öffentlich gemacht werden.
Aber selbst, wenn die Kammer davon ausgehen wollte, dass die personenbezogenen Daten des Klägers zukünftig noch eingestellt werden könnten, wären begründete Befürchtungen eines Datenmissbrauchs nicht anzuerkennen. Entscheidend ist in diesem Zusammenhang, dass die Daten veraltet sind und ihr Wert für Dritte, die die Daten in schädigender Weise nutzen wollten, gegen Null tendiert. Zunächst ist nämlich darauf hinzuweisen, dass die Daten nicht dem Stand des Zeitpunkts des Kopierens entsprechen, sondern allenfalls dem Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis mit der A am 30. November 2020. Anhaltspunkte dafür, dass die vormalige Arbeitgeberin nach dem Ausscheiden des Klägers seine Daten noch gepflegt hat, sind nicht gegeben. Hinzu kommt, dass auch im Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis seine Daten, die knapp zwei Jahre später kopiert worden sind, nicht vollständig aktuell waren. Im Rahmen der Erörterungen im Verhandlungstermin vor der Kammer hat sich beispielsweise herausgestellt, dass die Festnetznummer des Klägers, die kopiert worden ist, nicht der im Jahr 2020 verwendeten Festnetznummer des Klägers entsprach. Die kopierte Nummer entstammte vielmehr der Zeit der Begründung des Arbeitsverhältnisses. Sie war also im Jahr 2006 aktuell gewesen, nicht mehr jedoch in den Jahren 2020 oder 2022. Gleiches gilt bzgl. des kopierten Wohnorts des Klägers. Auch hier wurde eine Wohnortangabe kopiert, die im Kalenderjahr 2020 nicht mehr aktuell war.
Begründete Befürchtungen eines Missbrauchs der personenbezogenen Daten des Klägers bezüglich seiner Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie seiner privaten Zugangsdaten und seiner Mobiltelefonnummer scheiden schon deshalb aus, weil die Beklagte diesbezüglich im Ergebnis unbestritten angegeben hat, diese Daten seien nicht kopiert worden.
Vor diesem Hintergrund greift auch das Vorbringen des Klägers zu einem materiellen Schadensersatz nicht durch. Seine erstmals mit Schriftsatz vom 03. Februar 2023 (Blatt 131 der Akte) aufgestellte und von der Beklagten bestrittene Behauptung "Mein Microsoft-Account wurde gehackt und es kam zu Abbuchungen für nicht bestelle Spiele-Abos auf der Microsoft Plattform (Wert ca. 200-300 EUR)" erläutert ungeachtet des Fehlens jeglicher hinreichender Substantiierung und ungeachtet von § 67 ArbGG nicht, wie dieser Schaden entstanden sein soll, wenn private Zugangsdaten und Bankdaten nicht von den Hackern kopiert worden sind.
c. Soweit der Kläger mit der Berufungsbegründung eine Verletzung der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO rügt, fehlt es auch an einem schlüssigen Vortrag des Klägers zu einer Kausalität zwischen dem behaupteten Datenschutzverstoß und dem hier geltend gemachten Schaden. Hierauf hat das Arbeitsgericht bezüglich Art. 34 DSGVO bereits zutreffend hingewiesen.
2. Der auf den Ersatz etwaiger zukünftiger Schäden gerichtete Feststellungsantrag des Klägers ist bereits unzulässig.
Die Zulässigkeit eines Feststellungsantrags setzt, soweit er sich auf künftig erwachsende Schäden bezieht, eine nicht entfernt liegende, vom Kläger darzulegende (vgl. BGH 5. Oktober 2021 - VI ZR 136/20 - Rn. 28) Möglichkeit eines Schadens voraus, d.h. aufgrund des festgestellten Sachverhalts muss der Eintritt eines künftigen weiteren Schadens zumindest denkbar und möglich erscheinen (vgl. BAG 05. Juni 2025 - 8 AZR 117/24 - Rn. 29; BAG 29. März 2023 - 5 AZR 55/19 - Rn. 28; BGH 10. Januar 2023 - VI ZR 67/20 - Rn. 14 mwN). Eine gewisse Wahrscheinlichkeit eines Schadenseintritts muss bestehen (LAG Düsseldorf – 12 Sa 1007/23 - Rn. 162). Hiervon kann vorliegend, wie unter II.1.b.bb. gezeigt, nicht ausgegangen werden.
Unabhängig von der fehlenden Zulässigkeit des Feststellungsantrags stünde diesem auch entgegen, dass der Kläger mit seinem Antrag im Gegensatz zum Verfahren erster Instanz nunmehr ein Kopieren der Daten am 01. August 2022 behauptet, wofür sich in der Akte keine Anhaltspunkte finden lassen. Diese Widersprüchlichkeit des Vortrags erster und zweiter Instanz konnte auch im Verhandlungstermin trotz Nachfragen von dem Kläger nicht aufgeklärt werden. Eine Berichtigung des Antrags unterblieb.
Das LAG Hessen hat entscheiden, dass ein Auskunftsanspruch aus Art. 15 DSGVO erfüllt ist, wenn die Auskunftserteilung nach dem erklärten Willen des Auskunftsschuldners vollständig sein soll. Auf die tatsächliche Vollständigkeit oder Richtigkeit kommt es nicht an.
Aus den Entscheidungsgründen: 1. Erfüllt i.S.d. § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen (vgl. BGH 15. Juni 2021 - VI ZR 576/19 - Rn. 19, NJW 2021, 2726). Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (vgl. BGH 15. Juni 2021 - VI ZR 576/19 - Rn. 19, NJW 2021, 2726; OLG Köln 10. August 2023 - 15 U 184/22 - Juris). Eine Zwangsmittelfestsetzung erfolgt m.a.W. auch dann, wenn die erteilte Auskunft nicht ernst gemeint, von vornherein unglaubhaft oder unvollständig ist (BeckOK-ZPO/Stürner 55. Edition § 888 Rn. 6; vgl. auch Müko-BGB/Krüger 9. Aufl. § 259 Rn. 24).
2. Nach diesen Grundsätzen ist die Auskunftsverpflichtung erfüllt worden. Nach dem erklärten Willen der Schuldnerin sind alle Aspekte des Auskunftsbegehrens „abgearbeitet“ worden. Sie hat damit eine „Vollständigkeitserklärung“ abgegeben. Die Auskünfte sind nicht offenkundig widersprüchlich oder lückenhaft.
Mit Schreiben vom 19. August 2024 hat die Schuldnerin Auskunft darüber erteilt, welche personenbezogenen Daten, insbesondere Name, Adresse, Telefonnummer, Familienstand bei ihr gespeichert sind. Ferner hat sie sich zu den Verarbeitungszwecken und zu den Datenkategorien geäußert (Adressdaten, Kontaktdaten, Vertragsdaten usw.). Zu den Empfängern der Daten über den Gläubiger hat sie sich dahingehend geäußert, dass die Adressdaten an die A - dem Lohnabrechnungsbüro - sowie an den Mutterkonzern B weitergeleitet worden seien. Über die Speicherdauer hat sich die Arbeitgeberin - zunächst - dahingehend erklärt, dass die Daten für max. drei Jahre gespeichert würden. Eine automatisierte Entscheidungsfindung finde nicht statt. Ergänzend hat sie sich durch den Schriftsatz des Prozessbevollmächtigten vom 22. Oktober 2024 geäußert. Darin hat sie sich erklärt, dass die persönlichen Daten des Gläubigers bei der Muttergesellschaft zwischenzeitlich vollständig gelöscht seien, auch sei das SAP Konto des Gläubigers mit sämtlichen Daten inzwischen gelöscht. In diesem Schriftsatz hat sie ferner klargestellt, dass die Daten nach Beendigung des Dienstverhältnisses zur Erfüllung gesetzlicher Aufbewahrungspflichten nach §§ 257 HGB, 147 AO für sechs Jahre gespeichert würden.
Soweit der Gläubiger bemängelt, die Schuldnerin habe widersprüchliche Angaben im Hinblick auf die Speicherdauer gemacht, ist davon auszugehen, dass die Speicherdauer, wie zuletzt angegeben, sechs Jahre beträgt. Wie bereits das Arbeitsgericht mit Recht angenommen hat, ist der Vortrag der Schuldnerin insoweit korrigiert worden.
Ohne Erfolg verweist der Gläubiger darauf, die Schuldnerin scheine mindestens noch die Staatsangehörigkeit und das Geschlecht des Gläubigers verarbeitet zu haben. Da der Gläubiger stets als „Mann“ aufgetreten ist, liegt es auf der Hand, dass die Schuldnerin Daten über den Gläubiger auch als „Mann“ verarbeitet hat. Selbst wenn die Auskunft teilweise unvollständig sein sollte, wäre trotzdem zunächst von Erfüllung auszugehen. Denn es handelt sich um eine Auskunftserteilung, die jedenfalls nicht offensichtlich unvollständig und nicht ernst gemeint sei. Die Verhängung eines Zwangsgeldes nach § 888 ZPO dient nicht dazu, einen materiell-rechtlichen Streit über die Vollständigkeit einer Auskunftsverpflichtung auszutragen.
In Bezug auf die unter Ziff. 1 lit. g des Tenors vorgesehene Auskunft über geeigneter Garantien gemäß Art. 46 DS-GVO, sofern personenbezogene Daten über den Kläger an ein Drittland übermittelt worden sind, hat die Arbeitgeberin mit Schriftsatz vom 14. Januar 2025 mitgeteilt, dass keine entsprechenden Garantien ergriffen worden seien. Auch damit ist die Auskunft erfüllt. Ob dies einen datenschutzrechtlicher Verstoß darstellt oder ob die Übermittlung nach Art. 49 DS-GVO erfolgte und es deshalb keiner weiteren Garantien bedurfte, ist eine materiell-rechtliche Frage, die erneut im Zwangsvollstreckungsverfahren nicht zu entscheiden ist.
Das LAG Hessen hat entschieden, dass die Weiterleitung personenbezogener Beschäftigtendaten durch ein Betriebsratsmitglied über dessen privaten E-Mail-Account den Ausschluss aus dem Betriebsrat rechtfertigt.
Aus den Entscheidungsgründen: 2. Die Beschwerden des Betriebsratsvorsitzenden und des Betriebsrats sind nicht begründet. Das Arbeitsgericht hat dem Antrag des Arbeitgebers nach § 23 Abs. 1 BetrVG zu Recht stattgegeben. Die Beschwerdekammer schließt sich der zutreffenden Begründung an und nimmt auf diese Bezug. Das Vorbringen der Beteiligten im Beschwerdeverfahren führt zu keiner abweichenden Beurteilung.
Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO vorzunehmen hat (ErfK/Kania, 25. Aufl. § 79a Rn. 3; Fitting, BetrVG, 32. Auf., § 79a Rn 50). Der Betriebsrat hat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (BAG 09.05.2023 -1 ABR 14/22- Rn. 57). Je nach Schwere kann ein Verstoß gegen datenschutzrechtliche Pflichten einen Ausschlussgrund gemäß § 23 Abs. 1 BetrVG begründen (GK-BetrVG/Franzen, 12. Aufl., § 79a Rn. 12; Fitting, BetrVG, § 79a Rn. 53).
Die vom Betriebsratsvorsitzenden per E-Mail an seine private Adresse weitergeleitete Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern (Anl. K6, Bl. 116 ff. erstinstanzliche Akte) enthielt „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO. Sie enthält Informationen, die sich auf identifizierbare natürliche Personen beziehen, insbesondere über deren Vergütung. Art. 4 Nr. 1 umfasst ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und ist daher grundsätzlich weit zu verstehen. Unter die Vorschrift fallen sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (zB Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (zB Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 4 Nr. 1 Rn. 8).
Die betreffenden Informationen beziehen sich auch auf bestimmte natürliche Personen, die namentlich genannt werden.
Diese Daten hat der Betriebsratsvorsitzende verarbeitet, Art. 4 Nr. 2 DSGVO. Hierbei handelt es sich um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Bei der Verarbeitung muss es sich um einen Vorgang oder eine Vorgangsreihe handeln, die „ausgeführt“ werden. Die Verbindung mit dem Verb „ausführen“ macht deutlich, dass es sich bei einem Vorgang in diesem Sinne um ein Geschehen handeln muss, das auf eine menschliche Handlung zurückgeht. (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14). Das Erheben (collection) und das Erfassen (recording) von personenbezogenen Daten bezeichnet einen Vorgang, durch den solche Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen. Erheben und Erfassen sind nicht scharf zu unterscheiden; das Erheben bezieht sich eher auf die gezielte Beschaffung einzelner Daten, während das Erfassen eher auf die kontinuierliche Aufzeichnung eines Datenstroms abstellt (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21, 22). Durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail Account hat der Betriebsratsvorsitzende diese sich gezielt beschafft und damit „erhoben“ im Sinne von Art. 4 Nr. 2 DSGVO. Dieses „erheben“ kann hier auch mit einer Speicherung verbunden gewesen sein, notwendig ist ein solcher Zusammenhang jedoch nicht.
Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.
Hierbei kann dahinstehen, ob § 26 Abs. 1 BDSG unionsrechtlich noch anwendbar ist. In seiner Entscheidung zu § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) hat der Europäische Gerichtshof entschieden, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass nationale Rechtsvorschriften zur Gewährung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die dort vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS GVO dar, die den Anforderungen dieser Verordnung genügt (EuGH 30.03.2023 C-34/21 Rn. 89). Bestimmungen wie § 23 Abs. 1 HDSIG, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken in Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in Art. 6 Abs. 1 Unterabsatz 1 Buchst. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifische Vorschrift im Sinne von Art. 88 Abs. 1 DS GVO hinzuzufügen, scheiden aus (EuGH, a.a.O., Rn. 81). Entsprechend hat der Europäische Gerichtshof zu § 26 Abs. 4 BDSG hinsichtlich der konzernweiten Weiterleitung personenbezogener Daten der Beschäftigten mittels der cloudbasierten Software „Workday“ entschieden (EuGH 19.12.2024 C-65/23). Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.
Im Falle der Anwendung von § 26 Abs. 1 S. 1 BDSG ergibt sich folgendes: Danach dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Für die Weiterleitung der personenbezogenen Daten sämtlicher Beschäftigter an den privaten E-Mail Account des Betriebsratsvorsitzenden bestand keine Erforderlichkeit, denn es wäre ihm möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten. Erforderlichenfalls hätte er sich mit der IT-Abteilung des Arbeitgebers ins Benehmen setzen können, um einen größeren Bildschirm oder einen Adapter für den Anschluss des Betriebsrats-Laptops an seinen privaten, größeren Bildschirm zu erhalten. Für die Verarbeitung der Daten im Sinne einer Weiterleitung derselben auf sein privates Endgerät per Email bestand daher keine Veranlassung.
Auch eine Einwilligung der Beschäftigten im Sinne von § 26 Abs. 2 BDSG zur Erhebung von deren persönlichen Daten auf dem privaten Endgerät des Betriebsratsvorsitzenden lag nicht vor.
Unter Zugrundelegung der unionsrechtlichen Unanwendbarkeit von § 26 Abs. 1 BDSG ergibt sich folgendes:
Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). „Auf rechtmäßige Weise“ iSv Art. 5 Abs. 1 lit. a bedeutet demnach, dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruht (Kühling/Buchner, DSGVO, Art. 5 Rn. 11). Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür. Schon gar nicht erfolgte die Verarbeitung der Daten in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. Transparenz ist eine Vorbedingung für informationelle Selbstbestimmung und verlangt die Information der betroffenen Person über (geplante) Verarbeitungen, sodass diese als autonomes Individuum darauf reagieren und insbesondere ihre Betroffenenrechte wahrnehmen kann (Kühling/Buchner, DSGVO, Art. 5 Rn. 18). Auch eine derartige Information der Beschäftigten ist nicht erfolgt. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.
Durch die Weiterleitung der personenbezogenen (Entgelt-) Daten sämtlicher Beschäftigter an seine private E-Mail-Adresse hat der Betriebsratsvorsitzende auch gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1c DSGVO verstoßen. Daraus ergibt sich insbesondere, dass die Daten auf das notwendige Maß zu beschränken sind. Dies wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und -wie ausgeführt- keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.
Die Verarbeitung der Daten verstieß auch gegen Art. 6 Abs. 1 DSGVO. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Eine derartige Einwilligung zur Weiterleitung der personenbezogenen Daten der Beschäftigten auf den privaten E-Mail Account des Betriebsratsvorsitzenden lag nicht vor.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Partei ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Dies war hier nicht der Fall.
c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Dies war hier nicht der Fall. Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.
d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Dies war hier nicht der Fall.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Dies war hier nicht der Fall (vergleiche die Anwendungsbeispiele bei Kühling/Buchner, DSGVO, Art. 6 Rn. 159ff). Insbesondere ist darauf hinzuweisen, dass die Betriebsratstätigkeit zwar ein Ehrenamt ist, aber nicht im „öffentlichen“ Interesse liegt. Im Übrigen erforderte hier die Betriebsratstätigkeit gerade nicht die Weiterleitung der Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden.
f) Die Verarbeitung ist zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Dies war hier nicht der Fall.
Damit steht fest, dass der Betriebsratsvorsitzende mit der Weiterleitung der personenbezogenen (insbesondere Entgelt-) Daten an seinen privaten E-Mail Account gegen die ihm aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten verstoßen hat.
Die Pflichtverletzung war auch „grob“ im Sinne von § 23 Abs. 1 BetrVG. Der Betriebsratsvorsitzende hat eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung im Hinblick auf die Einhaltung des Datenschutzes bei Ausübung seines Betriebsratsamts begangen. Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte. Dass mit dem Umgang solcher Daten allergrößte Sensibilität verbunden sein muss, konnte der Betriebsratsvorsitzende ohne weiteres selbst erkennen. Hinzu kommt, dass ihm bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. Gleichwohl hat er erneut -diesmal in Bezug auf ihm in seiner Eigenschaft als Betriebsrat zugeleiteter, in höchstem Maße vertraulicher personenbezogener Unterlagen- zunächst erfolglos versucht, diese an seinen bisherigen (gmx-) Account weiterzuleiten und, als dies nicht funktionierte, an weitere private E-Mail-Adressen. Dies zeigt, dass er sich noch nicht einmal von den seitens des Arbeitgebers eingerichteten technischen Möglichkeiten zur Verhinderung eines Wiederholungsfalles abhalten ließ. Der Betriebsratsvorsitzende zeigte sich als unbelehrbar. Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen. Insbesondere entschuldigt ihn nicht, dass er dies getan habe, um die Daten zu Hause an seinem größeren Bildschirm besser bearbeiten zu können. Hierfür hätte es der Übertragung der Daten auf seinen privaten Rechner nicht bedurft. Er hätte vielmehr den Arbeitgeber um einen entsprechenden Adapter seines ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Laptops an seinen privaten Bildschirm bitten können. Im Übrigen hat der Betriebsratsvorsitzende für die Betriebsratstätigkeit nicht seine privaten Arbeitsmittel einzubringen, sondern die ihm vom Arbeitgeber nach § 40 Abs. 2 BetrVG zur Verfügung zu stellende Informations- und Kommunikationstechnik zu nutzen, wozu auch ein größerer Bildschirm gehören kann, soweit dieser zur Wahrnehmung der Betriebsratsaufgaben erforderlich ist. Ob dies hier der Fall war, bedarf keiner abschließenden Beurteilung durch die Kammer, da die Weiterleitung der personenbezogenen Daten an seinen persönlichen E-Mail Account aus den dargestellten Gründen keinesfalls zu rechtfertigen war. Es entlastet ihn auch nicht, dass sein privater PC passwortgeschützt und auch sonst durch ein System „Bitfender Total Security“ gesichert war. Wie die immer wieder vorkommenden Fälle sog. Hackings zeigen, lässt sich eine absolute Datensicherheit nicht erreichen. Gerade deshalb sind die Vorschriften der DSGVO unbedingt zu beachten und vermeidbare Risiken auszuschließen. Auch die behauptete Eilbedürftigkeit der Angelegenheit (Vorbereitung einer Betriebsvereinbarung) entschuldigt den begangenen Datenschutzverstoß nicht.
LAG Baden-Württemberg
Urteil vom 27.7.2023 3 Sa 33/22
Das LAG Baden-Württemberg hat entschieden, dass ein ehemaliger Arbeitnehmer einen Anspruch auf Schadensersatz gegen seinen ehemaligen Arbeitgeber in Höhe von 10.000 EURO aus Art. 82 DSGVO wegen der unautorisierten Verwendung von Video- und Fotoaufnahmen hat..
Aus den Entscheidungsgründen: Auf die Berufung des Klägers waren diesem wegen der unautorisierten Verwendung ihn betreffenden Bildmaterials in Video- und Fotoaufnahmen nicht nur 3.000,00 EUR, sondern 10.000,00 EUR als Schadensersatz zuzusprechen.
1. Wegen der Verpflichtung der Beklagten dem Grunde nach zur Zahlung von Schadensersatz wegen Verstoßes gegen Art. 17 Abs. 3 Satz 1 i.V.m. Art. 82 Abs. 1 DSGVO bzw. zur Zahlung einer Geldentschädigung wegen Verletzung des Persönlichkeitsrechts des Klägers durch die Nutzung von Film- und Fotoaufnahmen, die den Kläger erkennbar über längeren Zeitraum zeigen, kann zunächst auf die Ausführungen des Arbeitsgerichts unter II. 2. lit. b der Entscheidungsgründe seines Urteils (Bl. 214 bis 217 d. ArbG-Akte) verwiesen werden. Die hiergegen gerichteten Einwände der Beklagten in ihrer Berufungsbegründung liegen neben der Sache.
Wenn die Beklagte ausführt, dass „zwischen den Parteien abgestimmt gewesen“ sei, dass die Beklagte das Schulungsvideo auch nach Ausscheiden des Klägers vollumfänglich mit dem Bild des Klägers weiter nutzen könne, so ist nicht ansatzweise ersichtlich, wer - bei der Beklagten handelt es sich um eine juristische Person - mit wem wann welche konkrete Regelung vereinbart haben soll. Der Kläger hat eine entsprechende Abrede bestritten.
Auch wenn der Kläger im Zeitpunkt des Anfertigens des Bildmaterials hiermit und mit der Verwertung des Bildmaterials zu Werbezwecken für die Beklagte einverstanden war, so bedeutet dies nicht, dass dieses Einverständnis über den Zeitpunkt seines Ausscheidens bei der Beklagten hinaus fortbestand, zumal der Kläger in unmittelbarem zeitlichen Anschluss in vergleichbarer Position bei einem Wettbewerber tätig wurde. Vielmehr hätte die Beklagte sämtliche Bildnisse des Klägers von sich aus spätestens im Zeitpunkt des Ausscheidens des Klägers aus ihren Werbemedien entfernen müssen (vgl. ArbG Neuruppin 14. Dezember 2021 - 2 Ca 554/21 - ZD 2022, 396). Dies hat die Beklagte jedoch nicht getan, sondern in der Folgezeit ein das Persönlichkeitsrecht des Klägers in erheblichem Maße beeinträchtigendes Verhalten an den Tag gelegt.
a) Im Ansatz zu Recht gibt die Beklagte an, dass nicht jedwede Verletzung des allgemeinen Persönlichkeitsrechts, also auch nicht jede Verletzung des Rechts am eigenen Bild, einen Anspruch des Betroffenen auf eine Geldentschädigung gegen den Urheber auslöst (BGH 12. Dezember 1995 - VI ZR 223/94 - NJW 1996, 984). Erforderlich ist vielmehr eine Bewertung aufgrund der gesamten Umstände des Einzelfalles. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Bei Verletzungen des Rechts am eigenen Bild sind im Regelfall geringere Anforderungen an die Zusprechung einer Geldentschädigung zu stellen, da die Rechtsverletzung, anders als bei das Persönlichkeitsrecht beeinträchtigenden Äußerungen, regelmäßig nicht mehr rückgängig gemacht werden kann (BGH 17. Dezember 2013 - VI ZR 211/12 - BGHZ 199, 237). Bei dieser Entschädigung steht regelmäßig der Gesichtspunkt der Genugtuung des Opfers im Vordergrund. Außerdem soll sie der Prävention dienen.
Im vorliegenden Fall liegt eine erhebliche Beeinträchtigung des Persönlichkeitsrechts des Klägers vor. Auch wenn dieser zunächst mit der Anfertigung von Bildnissen einverstanden war und diese möglicherweise aktiv befördert hat, war für die Beklagte ohne Weiteres ersichtlich, dass dies jedenfalls ab dem Zeitpunkt des Ausscheidens des Klägers und seines Wechsels zu einem Konkurrenzunternehmen nicht mehr der Fall war. Die Beklagte hat dennoch weder von sich aus und zunächst auch nicht auf mehrmaliges Drängen des Klägers die Foto- und Videoaufnahmen mit dem Kläger aus ihren Werbemedien entfernt, sondern dies erst im Februar 2020 und somit über 9 Monate nach seinem Ausscheiden vollständig getan.
b) Nicht ausreichend berücksichtigt hat das Arbeitsgericht bei der Festsetzung der Höhe der Geldentschädigung, dass die Beklagte den Kläger über den Bestand des Arbeitsverhältnisses hinaus zur Verfolgung eigener kommerzieller Interessen eingesetzt hat. Dies bedeutet zwar nicht, dass eine „Gewinnabschöpfung“ vorzunehmen ist, wohl aber, dass die Erzielung von Gewinnen aus der Rechtsverletzung als Bemessungsfaktor in die Entscheidung über die Höhe der Geldentschädigung mit einzubeziehen ist. In solchen Fällen muss von der Höhe der Geldentschädigung ein echter Hemmungseffekt ausgehen; als weiterer Bemessungsfaktor kann die Intensität der Persönlichkeitsrechtsverletzung berücksichtigt werden (BGH 5. Dezember 1995 - VI ZR 332/94 - NJW 1996, 984).
Die Beklagte hat die Angaben des Klägers nicht substanziiert bestritten, wonach sie im Zeitraum vom 1. Mai 2019 bis 21. Februar 2020 viertägige Lehrgänge zum Erlernen von Foliertechniken angeboten habe, die zum Preis von 1.999,00 EUR von ca. 6 Personen je Lehrgang besucht worden seien. Dabei habe die Beklagte etwa 7.000,00 EUR Gewinn je Lehrgang vereinnahmt. Wie die Erörterungen in den mündlichen Verhandlungen vor der Berufungskammer ergeben haben, kann allerdings nicht davon ausgegangen werden, dass die Teilnehmer des Lehrgangs aufgrund des den Kläger zeigenden Werbematerials speziell wegen der Person des Klägers bei der Beklagten gebucht haben. Die Beklagte hat nicht mit dem Namen des Klägers geworben, der auch selbst nicht behauptet hat, in der Branche bekannt gewesen zu sein, weshalb Teilnehmer gezielt Schulungen mit ihm besucht haben könnten. Andererseits hat die Beklagte selbst vorgetragen, dass der Kläger seine jetzige Position bei Mitbewerbern auch deshalb bekleide, weil er durch die entsprechenden Schulungen und Veröffentlichungen bekannt geworden sei. Somit hat die Beklagte einen gewissen Werbeeffekt ausgenutzt, was bei der Bemessung des Entschädigungsbetrags zu berücksichtigen ist ebenso wie der Umstand, dass sie vermeiden wollte, das mit viel Aufwand und Kosten angefertigte Schulungsvideo nicht mehr unverändert verwerten zu können.
c) Unter Abwägung dieser Umstände hält die Kammer einen Entschädigungsbetrag von 10.000,00 EUR für angemessen. Auch unter dem Gesichtspunkt der Prävention nicht anspruchserhöhend wirkt sich die anwaltliche Vertretung der Beklagten spätestens seit Anfang Februar 2020 aus (vgl. BAG 5. Mai 2022 - 2 AZR 263/21 - NZA 2022, 1191).
Das LAG Hessen hat in diesem Fall entschieden, dass Arbeitnehmer einen Anspruch gegen seinen Arbeitgeber auf Zahlung von 1.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen unberechtigter Observation durch einen Detektiv hat.
Aus den Entscheidungsgründen:
Der Kläger kann von der Beklagten Zahlung von 1.500€ nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit 4. Dezember 2019 verlangen.
Nach Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Verantwortlicher ist gemäß Art. 4 Nr. 7 EU-DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei einer Aktiengesellschaft ist dies der Vorstand (Schild, BeckOK Datenschutzrecht, Wolff/Brink, DSGVO Art. 4 Rn. 89).
Anspruchsberechtigt ist der Kläger als natürliche Person.
Zu ersetzen sind sowohl materielle als auch immaterielle Schäden. Gerade bei immateriellen Schäden ist die Rechtsprechung des EuGH zu berücksichtigen, dass der geschuldete Schadensersatz „eine wirklich abschreckende Wirkung“ haben muss (EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183, 184). Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG aF entspricht, ist nicht mehr anwendbar. Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor (Kühling/Buchner – Ct, DS-GVO BDSG, 3. Auflage, Art. 82 DS-GVO Rn. 18a).
Ein immaterieller Schaden kann in einer unzulässigen Observierung durch eine Detektei bestehen (Kühling/Buchner – Ct, a.a.O., Rn. 18c; Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Auflage, Art. 82 DSGVO Rn. 16; BAG 19. Februar 2015 – 8 AZR 1007/13 – Rn. 23).
Der Verantwortliche haftet für jede „nicht dieser Verordnung entsprechende Verarbeitung“ (Art. 82 Abs. 2 S. 1 DSGVO), solange diese kausal für den Schaden ist. Der Begriff der Beteiligung ist weit zu verstehen, sodass insbesondere die letztlich schädigende Handlung nicht von dem in Anspruch genommenen Verantwortlichen ausgegangen sein muss (Kühling/Buchner – Ct, a.a.O., Rn.23).
Die Observation des Klägers einschließlich personenbezogener Datenerhebung war rechtswidrig. Ein berechtigtes Interesse der Beklagten nach § 26 Abs. 1 S. 2 BDSG, das in der Aufdeckung einer Straftat im Beschäftigungsverhältnis liegen kann, zur Erhebung personenbezogener Daten im Wege der Observation des Klägers lag nicht vor. Zwar stellt ein versuchter Prozessbetrug eine Straftat dar, die auch eine Detektivüberwachung rechtfertigen kann. Hierfür muss jedoch ein berechtigter Anlass vorliegen.
Der Kläger hatte in dem einstweiligen Verfügungsverfahren vor dem Arbeitsgericht Frankfurt am Main 12 Ga 69/19 vorgetragen und an Eides statt versichert, dass er montags bis mittwochs 7:30 Uhr in der Regel seine beiden Kinder betreuen müsse. Nach der mündlichen Verhandlung vor dem Arbeitsgericht am 27. Mai 2019 bemerkte der Prozessbevollmächtigte der Beklagten auf der Heimfahrt im ICE XXX in Richtung B, einen Mann, von dem er in diesem Moment keinen Zweifel hatte, dass es sich hierbei um den Kläger handelte. Der Prozessbevollmächtigte der Beklagten beauftragte daraufhin eine Detektei mit der Observation des Klägers, die sodann ab 11. Juni 2019 an insgesamt 6 Tagen erfolgte.
Für diese Maßnahme bestand kein berechtigter Anlass. Es wäre dem für die Beklagte handelnden Prozessbevollmächtigten ohne weiteres möglich gewesen, die Person, die er spontan für den Kläger hielt, anzusprechen und sich zu vergewissern, ob es sich tatsächlich um den Kläger handelte. Bei dieser Gelegenheit hätte er den Kläger (sofern es sich bei ihm um die betreffende Person gehandelt haben sollte) auch direkt ansprechen können, wie es sein kann, dass er sich an einem Tag, an dem er sich regelmäßig um seine Kinder kümmern muss, in einem Zug Richtung B befindet. Selbst wenn er nicht sofort hieran gedacht haben sollte, war es ihm immer noch möglich, bis zum ersten Halt des Zuges den Wagen abzulaufen, um die betreffende Person zu finden und anzusprechen. Soweit er im Prozess ausführte, seinen Aktenkoffer nicht auf seinem Platz zurücklassen zu wollen, ist zu berücksichtigen, dass er diesen ohne weiteres auf dem kurzen Gang durch den Waggon hätte mitnehmen können. Letztlich hat er auf eine vage Vermutung hin eine Detektei mit der Observation des Klägers beauftragt.
Die Observation verletzte den Kläger auch in seinem allgemeinen Persönlichkeitsrecht. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher.
Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 € (250 € je für jede der 6 Observationen) für angemessen. Dies ergibt sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.
Der Anspruch auf Verzinsung des zugesprochenen Geldbetrags ergibt sich aus §§ 286 Absatz 1, 288 Absatz 1 BGB.
Das LAG Hessen hat entschieden, dass die heimliche Aufnahme eines Personalgesprächs durch den Arbeitnehmer mit einem Smartphone eine fristlose Kündigung rechtfertigt.
Aus den Entscheidungsgründen:
"Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Frankfurt am Main vom 22. November 2016 - 18 Ca 4002/16 - ist statthaft (§§ 8 Abs. 2, 64 Abs. 1 und Abs. 2 lit. c ArbGG). Sie ist form- und fristgerecht eingelegt und ordnungsgemäß begründet worden (§ 66 Abs. 1 S. 1 ArbGG, § 64 Abs. 6 ArbGG i.V.m. § 517,519,520 ZPO) und damit insgesamt zulässig.In der Sache ist die Berufung des Klägers jedoch unbegründet. Das Arbeitsgericht hat die Klage zu Recht abgewiesen. Das Arbeitsgericht hat dabei zu Recht die Wirksamkeit der außerordentlichen und fristlosen Kündigung der Beklagten vom 07. Juni 2016 gemäß § 626 BGB festgestellt. Auf die Begründung des Arbeitsgerichts wird zunächst gem. § 69 Abs. 2 ArbGG verwiesen. Ausgehend von der Beendigung des Arbeitsverhältnisses hat das Arbeitsgericht dann auch die Klage im Übrigen abgewiesen. Ein Anspruch auf Entfernung bzw. auf Rücknahme von Abmahnungen besteht auf Grund der Beendigung des Arbeitsverhältnisses ebensowenig wie ein Weiterbeschäftigungsanspruch und wie ein Anspruch auf Erteilung eines Zwischenzeugnisses.Der heimliche Mitschnitt eines Personalgesprächs ist grundsätzlich geeignet, sowohl eine ordentliche verhaltensbedingte als auch eine außerordentliche Kündigung "an sich" zurechtfertigen. Dabei kommt es nicht entscheidend auf die strafrechtliche Würdigung an. Maßgebend ist die mit diesem Verhalten verbundene Verletzung der dem Arbeitnehmer nach § 241 Abs. 2 BGB obliegenden Pflicht zur Rücksichtnahme auf die berechtigten Interessen des Arbeitgebers. Das heimliche Mitschneiden des Gesprächs durch den Arbeitnehmer ist rechtswidrig, weil aus dem allgemeinen Persönlichkeitsrecht auch das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 2 GG gewährleistete Recht auf die Wahrung der Unbefangenheit des gesprochenen Wortes folgt. Das Grundrecht aus Art. 2 Abs. 1 GG schützt auch Rechtspositionen, die für die Entfaltung der Persönlichkeit notwendig sind. Dazu gehört in bestimmten Grenzen, ebenso wie das Recht am eigenen Bild, das Recht am gesprochenen Wort. Deshalb darf grundsätzlich jedermann selbst und allein bestimmen, wer sein Wort aufnehmen soll sowie ob und von wem seine auf einen Tonträger aufgenommene Stimme wieder abgespielt werden darf. Das Grundrecht umfasst die Befugnis des Menschen, selbst zu bestimmen, ob seine Worte einzig seinem Gesprächspartner, einem bestimmten Kreis oder der Öffentlichkeit zugänglich sein sollen (vgl. wie hier LAG Rheinland-Pfalz vom 03. Februar 2016 - 7 Sa 220/15 -).Da der Kläger das 40. Lebensjahr vollendet hat und mehr als 15 Jahre bei der Beklagten beschäftigt war, kann das Arbeitsverhältnis nur noch aus wichtigem Grund gekündigt werden (vgl. § 34 Abs. 2 TVöD). Anhaltspunkte dafür, dass der Kläger darüber hinaus Sonderkündigungsschutz nach § 15 Abs. 3 KSchG i.V.m. § 103 BetrVG hat bestehen nicht. Zwar war der Kläger Wahlbewerber für die in 2016 regelmäßig stattfindenden Betriebsratswahlen. Es ist jedoch davon auszugehen, dass Anfang Juni 2016 das Wahlergebnis der in der Zeit vom 01. März bis 31. Mai 2016 stattfindenden Betriebsratswahlen bereits bekanntgegeben war. Die Rechtmäßigkeit der Kündigung der Beklagten beurteilt sich daher nach § 626 BGB. Die für eine außerordentliche Kündigung an sich geeignete Pflichtverletzung des Klägers in der Form der heimlichen Aufnahme des Personalgesprächs vom 17. März 2016 ist nicht im Streit. Rechtfertigungsgründe für das Verhalten des Klägers sind nicht ersichtlich. Es kann im Weiteren den Kläger auch nicht exkulpieren, dass nach seiner Einlassung ihm nicht bekannt gewesen ist, dass die heimliche Aufnahme eines Personalgespräches verboten ist. Hier hätte der Kläger sich durch einen Anruf bei seinem Rechtsanwalt vorher kundig machen müssen. Weiter steht der Heimlichkeit des Mitschnitts des Personalgespräches nicht entgegen, dass nach Einlassung des Klägers sein Smartphone deutlich sichtbar in der Mitte des Tisches an dem die Gesprächsteilnehmer saßen lag. Die Heimlichkeit der Aufnahme hätte der Kläger nur dadurch vermeiden können, dass er die Gesprächsteilnehmer darauf hingewiesen hätte, dass er die Audio-Funktion des Smartphones aktiviert hat. Eine Rechtfertigung für das Verhalten des Klägers folgt auch nicht aus der unterstellten Rechtswidrigkeit seiner Suspendierung vor dem Personalgespräch am 17. März 2016. Auch wenn die Beklagte damit das Persönlichkeitsrecht des Klägers auf Beschäftigung und ihre Lohnzahlungspflicht verletzt haben sollte, so bestand doch zwischen diesen Pflichtwidrigkeiten der Beklagten und der heimlichen Aufzeichnung des Personalgespräches vom 17. März 2016 kein Zusammenhang, d.h. der Kläger musste nicht zum Mittel der heimlichen Aufzeichnung des Personalgespräches greifen, um die Beklagte zur Aufhebung der Suspendierung und Nachzahlung des Lohnes zu bewegen. Seine Rechte insoweit hat der Kläger im Übrigen mit anwaltlichen Schreiben vom 11. April 2016 verfolgt, wobei es ihm im Hinblick auf die Suspendierung vor allem um die Nachzahlung des Lohnes ging.Zu Recht ist das Arbeitsgericht im Weiteren auch im Rahmen der Interessenabwägung zu dem Ergebnis gekommen, dass trotz der langen Betriebszugehörigkeit des Klägers keine positive Prognose für das Arbeitsverhältnis gegeben werden kann. Das Arbeitsverhältnis ist nämlich nicht nur aufgrund der heimlichen Aufnahme des Personalgesprächs am 17. März 2016 bereits durch die E-Mail des Klägers unter anderem an den Vorstandsvorsitzenden vom 23. November 2015 schwer belastet. Diese Belastung wird nicht dadurch beseitigt, dass nach Ansicht des Klägers die Beklagte ihrerseits sich vertragswidrig verhalten hat, indem sie den Kläger unberechtigt suspendiert hat. Wie bereits im Rahmen der Erörterung möglicher Rechtfertigungsgründe für das Verhalten des Klägers ausgeführt besteht zwischen der gegebenenfalls unberechtigten Suspendierung des Klägers und den heimlichen Aufnahmen des Personalgesprächs durch ihn kein Zusammenhang. Der Kläger musste nicht im Wege einer Selbsthilfe heimlich Personalgespräche aufzeichnen um von der Beklagten seine Weiterbeschäftigung und die Nachzahlung des Lohnes zu verlangen."
