Gegenstand
Datenverarbeitung im Arbeitsverhältnis
Leitsatz
I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:
1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift - wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten - einschließlich besonderer Kategorien personenbezogener Daten - von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO - einzuhalten sind?
2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift - wie § 26 Abs. 4 BDSG - dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?
3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?
4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt?
5.Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.
Tenor
I. Der [X.] wird gemäß Art. 267 A[X.]V um Vorabentscheidung über die Fragen ersucht:
1. Ist eine nach Art. 88 Abs. 1 der Verordnung ([X.]) 2016/679 ([X.]; im Folgenden [X.]) erlassene nationale Rechtsvorschrift - wie etwa § 26 Abs. 4 [X.], im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten - einschließlich besonderer Kategorien personenbezogener Daten - von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von [X.] unter Beachtung von Art. 88 Abs. 2 [X.] zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der [X.] - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 [X.] - einzuhalten sind?
2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 [X.] erlassene nationale Rechtsvorschrift - wie § 26 Abs. 4 BDSG - dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 [X.] ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?
3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?
4. Ist Art. 82 Abs. 1 [X.] dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der [X.] verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt?
5. Hat Art. 82 Abs. 1 [X.] spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 [X.] zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 [X.] auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
[X.] Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der [X.] über das Vorabentscheidungsersuchen ausgesetzt.
Gründe
[X.]as Vorabentscheidungsersuchen betrifft die Auslegung von Art. 88 Abs. 1 und Art. 82 Abs. 1 [X.].
[X.]as Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Kläger und seiner Arbeitgeberin, einem Unternehmen der Zahnmedizintechnik (im [X.] Beklagte). [X.]ie [X.]en streiten darüber, ob die Beklagte verpflichtet ist, dem Kläger wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis immateriellen Schadenersatz nach Art. 82 [X.] zu zahlen. Insofern macht der Kläger zuletzt noch ausschließlich geltend, die Beklagte habe entgegen den Vorgaben der [X.] im [X.]raum vom 25. Mai 2018 (erster Tag der Geltung der [X.]) bis zum Ende des ersten Quartals 2019 im cloudbasierten [X.] „[X.]“ (im [X.] [X.]) unrechtmäßig [X.]aten des [X.] verarbeitet.
A. [X.]as Ausgangsverfahren
[X.]er Kläger steht seit 1984 im Arbeitsverhältnis mit der [X.] beziehungsweise (im [X.] bzw.) ihrer Rechtsvorgängerin. Zuletzt wurde er als Organisationsprogrammierer beschäftigt. [X.]er Kläger ist der Vorsitzende des bei der [X.] nach dem [X.] (im [X.] [X.]) gebildeten Betriebsrats.
[X.]ie Beklagte gehörte ab ungefähr dem [X.] zum [X.] mit Hauptsitz der [X.] (Konzernmutter, im [X.]) in [X.] Zuletzt war die Beklagte nicht mehr im [X.]. Nachdem sie zwischenzeitlich zu einem anderen [X.] gehörte, ist sie seit dem 1. Januar 2022 Teil eines [X.] Konzerns.
[X.]ie Beklagte verarbeitet personenbezogene [X.]aten ihrer Beschäftigten - insbesondere, aber nicht ausschließlich - zu Abrechnungszwecken mittels [X.]-Software (im [X.] [X.]). Hierzu wurden zwischen der [X.] und dem bei ihr gebildeten Betriebsrat mehrere Betriebsvereinbarungen abgeschlossen. Gegenstand von Betriebsvereinbarungen im Sinne des (im [X.] iSd.) [X.] können Regelungen betrieblicher und betriebsverfassungsrechtlicher Fragen sowie formeller und materieller Arbeitsbedingungen durch die Betriebsparteien, das heißt (im [X.] dh.) durch Arbeitgeber und Betriebsrat sein. In [X.] speichert die Beklagte unter anderem (im [X.] ua.) Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, das Alter, den Familienstand, die Sozialversicherungsnummer sowie die [X.] (im [X.] Steuer-I[X.]) ihrer Beschäftigten.
[X.] gab es im [X.] Planungen, konzernweit [X.] als einheitliches [X.] einzuführen. Zwischen dem 24. April und dem 18. Mai 2017 lud die Beklagte personenbezogene [X.]aten des [X.] aus [X.] auf eine Sharepoint-Seite der [X.] mit [X.] in [X.] zur Befüllung der Software [X.]. Neben Informationen wie dem Namen, Vornamen, dienstlicher Telefonnummer und dienstlicher E-Mail-Adresse gehörten zu den übermittelten [X.]aten ua. auch Gehaltsinformationen (Jahres- und Monatsgehalt, der Umfang leistungsabhängiger Vergütung), die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-I[X.] des [X.].
Unter dem 3. Juli 2017 unterzeichneten die Beklagte und der bei ihr gebildete Betriebsrat eine „[X.]uldungs-Betriebsvereinbarung über die Einführung von [X.]“ inklusive Anlagen (im [X.] [X.] [X.]uldung). [X.]arin heißt es auszugsweise:
|
|
„§ 2 Vorläufiger Betrieb |
|
[X.]iese Vereinbarung regelt den vorläufigen Betrieb des Cloudbasierten [X.]s [X.]. |
|
|
[X.]ieses ist in Anlagen 1 bis 2 abschließend dokumentiert. |
|
|
[X.]er [X.] stimmt der vorläufigen Inbetriebnahme des vorstehend beschriebenen Systems für die [X.] während der [X.]auer dieser Betriebsvereinbarung bis zum Abschluss einer dieses System abschließend regelnden Betriebsvereinbarung, längstens aber bis zum 31. August 2017 zu. |
|
|
Vor Einführung des Systems als Produktivsystem muss eine Betriebsvereinbarung abgeschlossen werden, die die Einführung und die Anwendung von [X.] spezifisch regelt, welche diese Vereinbarung ersetzt. |
|
|
Vor Abschluss der zu erstellenden Betriebsvereinbarung dürfen Reporte jeglicher Art nur zu Testzwecken erstellt werden. |
|
|
Während des Testzeitraumes darf [X.] nicht für HR Standardprozesse wie Leistungsbewertung, Einstellungen, Kündigungen, Entlohnung etc. verwendet werden. |
|
|
§ 3 Aus- und Verwertungsverbot |
|
|
Während der in dieser Betriebsvereinbarung geregelten vorläufigen Nutzung wird mit dem vorstehend beschriebenen System eine Leistungs- und/oder Verhaltenskontrolle einzelner Beschäftigter nicht durchgeführt. |
|
|
[X.]ie - auch mittelbare - Verwendung von [X.]aten, die aufgrund des Betriebs des Systems anfallen, zu arbeitsrechtlichen Zwecken und insbesondere die Verwendung dieser [X.]aten im arbeitsgerichtlichen Urteilsverfahren ist unzulässig, sofern nicht der Betriebsrat dem zuvor zugestimmt hat.“ |
Vereinbart war in der [X.] [X.]uldung weiter, dass jede Seite die Einigungsstelle anrufen konnte, soweit die [X.]en nicht bis zum 31. August 2017 eine neue Betriebsvereinbarung zu [X.] als Produktivsystem abschließen sollten. [X.]ie Einigungsstelle nach § 76 [X.] ist eine zur Beilegung von Meinungsverschiedenheiten gebildete Stelle, bestehend aus einer gleichen Anzahl von Beisitzern, die vom Arbeitgeber und vom Betriebsrat bestellt werden, und einem unparteiischen Vorsitzenden, auf dessen Person sich beide Seiten einigen müssen.
In der Anlage 2 zur [X.] [X.]uldung wurden die zur Befüllung der Software [X.] aus [X.] zu übermittelnden [X.]aten als „[X.]atensatz für [X.]uldungs-[X.]“ tabellarisch mit ihrer [X.] und [X.] Bezeichnung wie folgt aufgelistet: [X.] Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, [X.], Arbeitsort, Firma (K/[X.]ental), Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse.
[X.]ie Betriebsparteien verlängerten den [X.] und Nachwirkungszeitraum der [X.] [X.]uldung mehrfach, zuletzt bis zum 31. Januar 2019.
Am 24. Mai 2018 - dem Tag vor dem in Art. 99 Abs. 2 [X.] festgelegten Geltungszeitpunkt der [X.] - unterzeichneten die Beklagte bzw. deren Rechtsvorgängerin und die [X.] als Konzernmutter ein Vertragswerk zum [X.]atenschutz.
Seit April 2017 forderte der Kläger die Beklagte mehrfach auf - zunächst gestützt auf das B[X.]SG und nach dem 25. Mai 2018 gestützt auf die [X.] -, ihm über sämtliche über seine Person in [X.] gespeicherten [X.]aten Auskunft zu geben. In der folgenden [X.] erteilte die Beklagte nach und nach Auskünfte. Auch andere Beschäftigte machten Auskunftsverlangen geltend.
Unter dem 23. Januar 2019 einigten sich die Betriebsparteien im Rahmen eines Einigungsstellenverfahrens nach § 76 [X.] (Rn. 8) auf die „Rahmenbetriebsvereinbarung zum Betrieb von [X.]“ und auf die „Betriebsvereinbarung zur Einführung und Verwendung von [X.]“, welche der Kläger für den Betriebsrat und der Geschäftsführer der [X.] für diese unterzeichneten. Beide Betriebsvereinbarungen traten mit Unterzeichnung in Kraft.
Mit seiner am 22. Januar 2018 bei dem örtlichen Arbeitsgericht eingegangenen Klage verfolgte der Kläger zunächst sein Auskunftsverlangen weiter und beantragte daneben stufenweise die Abgabe einer eidesstattlichen Versicherung, die Löschung von [X.]aten und die Verurteilung der [X.] zur Zahlung von Schadenersatz. Nachdem der Kläger im Laufe des gerichtlichen Verfahrens nach und nach Auskünfte von der [X.] über die über seine Person in [X.] gespeicherten [X.]aten erhalten hatte, nahm er die zunächst mit seiner Klage verfolgten Anträge teilweise zurück. Vor dem [X.] ist in der Revisionsinstanz ausschließlich noch der Antrag auf immateriellen Schadenersatz nach Art. 82 [X.] wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis anhängig, dessen Größenordnung der Kläger zuletzt mit 3.000,00 Euro angegeben hat.
[X.]er Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 [X.] immaterieller Schadenersatz zu. [X.]er [X.] sei es nach der [X.] und den einschlägigen Bestimmungen des B[X.]SG nicht erlaubt gewesen, im [X.]raum vom 25. Mai 2018 bis zum Ende des ersten Quartals 2019 im cloudbasierten [X.] [X.] [X.]aten des [X.] zu verarbeiten. In diesem [X.]raum sei die im Arbeitsverhältnis der [X.]en erforderliche [X.]atenverarbeitung mit [X.] erfolgt, weshalb es für das Arbeitsverhältnis unter keinem Gesichtspunkt erforderlich gewesen sei, seine [X.]aten in demselben [X.]raum in ein weiteres System - [X.] - zu übertragen und dort zu verarbeiten. [X.]ie erfolgte [X.]atenverarbeitung sei auch nicht zu Testzwecken für den späteren Betrieb von [X.] als konzernweit einheitliches [X.] erforderlich gewesen. Vielmehr hätten für die Testphase sogenannte „[X.]ummy“-Versuchsdaten ausgereicht; es sei nicht notwendig gewesen, Echtdaten zu verwenden und diese in [X.] innerhalb des Konzerns zugänglich zu machen. Soweit das Gericht - entgegen seiner, des [X.] Auffassung - Echtdaten als erforderlich ansehe oder die [X.] [X.]uldung als Rechtsgrundlage für eine [X.]atenverarbeitung unter Verwendung von Echtdaten ausreiche, sei jedenfalls die in der Anlage 2 zur [X.] [X.]uldung enthaltene Erlaubnis zur [X.]atenverarbeitung überschritten worden. [X.]ie Beklagte habe nämlich über die in der [X.] [X.]uldung und deren Anlagen genannten [X.]atenkategorien hinausgehend auch weitere [X.]aten - wie seine privaten Kontaktdaten, Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-I[X.], seine Staatsangehörigkeit und seinen Familienstand übermittelt. Hierzu sei sie weder nach der [X.] [X.]uldung noch ansonsten berechtigt gewesen. Soweit der Kläger zunächst auch beanstandet hatte, es sei überdies nicht rechtmäßig gewesen, seine genannten personenbezogenen [X.]aten auf eine Sharepoint-Seite der Konzernmutter mit [X.] in [X.] zu übertragen und er insoweit Verstöße gegen Art. 28 und Art. 44 ff. [X.] behauptet hatte, hat er sich darauf im Revisionsverfahren ausdrücklich nicht mehr berufen. Im Hinblick auf die [X.]arlegungs- und Beweislast geht der Kläger davon aus, diese liege weitgehend bei der [X.]. Es sei ihre Sache vorzutragen und zu beweisen, dass ihr Vorgehen im Einzelnen mit der [X.] übereinstimme. [X.]ie Verstöße der [X.] gegen die [X.] seien auch kausal für den ihm entstandenen immateriellen Schaden. Bereits die in [X.] nicht erforderliche [X.]atenverarbeitung, jedenfalls aber der unrechtmäßige Abfluss seiner [X.]aten und deren Zugänglichkeit innerhalb des Konzerns, auch für unbefugte [X.]ritte, führe zu einem immateriellen Schaden. Es bestehe zudem die Gefahr der missbräuchlichen Nutzung seiner [X.]aten durch [X.]ritte, die ihn als Betroffenen in eine Situation der Unsicherheit versetze. Er könne als Arbeitnehmer nicht wissen, ob und gegebenenfalls (im [X.] ggf.) auf welche Weise und zu welchen Zwecken seine von der [X.] innerhalb des Konzerns übermittelten [X.]aten von der [X.] und sogar von [X.]ritten benutzt würden bzw. bereits benutzt worden seien. So sei es angesichts der Möglichkeiten und Zwecke von [X.] denkbar, dass seine personenbezogenen [X.]aten zu einem Profiling, dh. zu einer Profilerstellung und/oder -nutzung verwendet würden. [X.]a er als Beschäftigter keinen Einblick in solche internen Umstände der [X.]atenverarbeitung bei der [X.] habe und demnach dazu nicht substantiiert vortragen könne, müsse auch aus diesem Grunde der Arbeitgeber, also die Beklagte, weitgehend die [X.]arlegungs- und Beweislast tragen. Im Übrigen müsse schon allein die Möglichkeit des Missbrauchs der [X.]aten zur Begründung eines immateriellen Schadens ausreichen. [X.]ass die [X.]atenübermittlung zur Befüllung von [X.] bereits vor dem in Art. 99 Abs. 2 [X.] festgelegten Geltungszeitpunkt der [X.] erfolgt sei, sei unerheblich, da es sich bei den genannten Umständen um einen [X.]auertatbestand handele. Insofern sei auch zu berücksichtigen, dass es entgegen den Vorgaben der [X.] und des B[X.]SG kein Löschkonzept für die in [X.] zu (angeblichen) Testzwecken verarbeiteten [X.]aten gegeben habe. Infolge der Verstöße gegen die [X.] und das B[X.]SG und der damit verbundenen [X.] sei sein Persönlichkeitsrecht in schwerwiegender Art und Weise verletzt worden. Er müsse einen wirksamen Schadenersatz erhalten, wofür auch der Erwägungsgrund 146 der [X.] spreche. Erschwerend komme hinzu, dass die Beklagte bzw. ihre Rechtsvorgängerin die Verstöße vorsätzlich, unter bewusster Umgehung von datenschutz- und betriebsverfassungsrechtlichen Vorgaben begangen habe.
[X.]ie Beklagte hat die Auffassung vertreten, nicht gegen datenschutzrechtliche Bestimmungen verstoßen zu haben. [X.]ie Rechtmäßigkeit der [X.]atenverarbeitung ergebe sich aus Art. 6 Abs. 1 [X.], § 26 Abs. 1 B[X.]SG bzw. § 26 Abs. 4 B[X.]SG in Verbindung mit der [X.] [X.]uldung. [X.]em Kläger stehe kein Schadenersatzanspruch nach Art. 82 [X.] zu. Er habe weder den haftungsbegründenden noch den haftungsausfüllenden Tatbestand dargetan. [X.]er Kläger, den die [X.]arlegungs- und Beweislast treffe, habe weder einen immateriellen Schaden hinreichend dargetan noch die Kausalität bezogen auf etwaige Verstöße der [X.]. Soweit der Kläger Anhaltspunkte für einen konkreten Verstoß vortrage, treffe sie, die Beklagte, allenfalls eine sekundäre Behauptungslast. Für einen Schaden reiche nicht schon jede empfundene Unannehmlichkeit oder jeder Bagatellverstoß ohne ernsthafte Beeinträchtigung aus. Statt eines Schadens trage der Kläger lediglich vor, er sehe sich in der Gefahr, einen Schaden zu erleiden. [X.]ies sei kein ersatzfähiger Schaden im Sinne von (im [X.] iSv.) Art. 82 [X.]. [X.]afür sei vielmehr eine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts, die nicht auf andere Weise ausgeglichen werde, Voraussetzung. Eine solche lege der Kläger nicht dar.
B. Rechtlicher Rahmen
[X.]ie [X.] lautet auszugsweise:
|
|
„Artikel 2 |
||
|
Sachlicher Anwendungsbereich |
|||
|
(1) |
[X.]iese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener [X.]aten sowie für die nichtautomatisierte Verarbeitung personenbezogener [X.]aten, die in einem [X.]ateisystem gespeichert sind oder gespeichert werden sollen. |
||
|
… |
|||
|
… |
|||
|
Artikel 4 |
|||
|
Begriffsbestimmungen |
|||
|
Im Sinne dieser Verordnung bezeichnet der Ausdruck: |
|||
|
1. |
‚personenbezogene [X.]aten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im [X.] ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder [X.] Identität dieser natürlichen Person sind, identifiziert werden kann; |
||
|
2. |
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen [X.]aten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; |
||
|
… |
|||
|
7. |
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen [X.]aten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das [X.]srecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem [X.]srecht oder dem Recht der Mitgliedstaaten vorgesehen werden; |
||
|
… |
|||
|
Artikel 5 |
|||
|
Grundsätze für die Verarbeitung personenbezogener [X.]aten |
|||
|
(1) |
Personenbezogene [X.]aten müssen |
||
|
a) |
auf rechtmäßige Weise, nach [X.] und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach [X.] und Glauben, Transparenz‘); |
||
|
b) |
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘); |
||
|
c) |
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚[X.]atenminimierung‘); |
||
|
d) |
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene [X.]aten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘); |
||
|
e) |
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene [X.]aten dürfen länger gespeichert werden, soweit die personenbezogenen [X.]aten vorbehaltlich der [X.]urchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘); |
||
|
f) |
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen [X.]aten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘); |
||
|
(2) |
[X.]er Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘). |
||
|
Artikel 6 |
|||
|
Rechtmäßigkeit der Verarbeitung |
|||
|
(1) |
[X.]ie Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden [X.]ngungen erfüllt ist: |
||
|
a) |
[X.]ie betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen [X.]aten für einen oder mehrere bestimmte Zwecke gegeben; |
||
|
b) |
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur [X.]urchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; |
||
|
c) |
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; |
||
|
d) |
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; |
||
|
e) |
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; |
||
|
f) |
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines [X.]ritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener [X.]aten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. |
||
|
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. |
|||
|
… |
|||
|
… |
|||
|
Artikel 82 |
|||
|
Haftung und Recht auf Schadenersatz |
|||
|
(1) |
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. |
||
|
(2) |
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter … |
||
|
(3) |
[X.]er Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. |
||
|
… |
|||
|
… |
|||
|
Artikel 88 |
|||
|
[X.]atenverarbeitung im Beschäftigungskontext |
|||
|
(1) |
[X.]ie Mitgliedstaaten können durch Rechtsvorschriften oder durch [X.] spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch [X.] festgelegten Pflichten, des Managements, der Planung und der [X.], der Gleichheit und [X.]iversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. |
||
|
(2) |
[X.]iese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener [X.]aten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.“ |
||
[X.]as B[X.]SG lautet auszugsweise:
|
|
„§ 26 [X.]atenverarbeitung für Zwecke des Beschäftigungsverhältnisses |
|
|
(1) |
Personenbezogene [X.]aten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen [X.]urchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder [X.]ienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene [X.]aten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. |
|
|
(2) |
Erfolgt die Verarbeitung personenbezogener [X.]aten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. … |
|
|
… |
||
|
(4) |
[X.]ie Verarbeitung personenbezogener [X.]aten, einschließlich besonderer Kategorien personenbezogener [X.]aten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von [X.] zulässig. [X.]abei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung ([X.]) 2016/679 zu beachten.“ |
|
C. Zu den Vorlagefragen
1. Vorbemerkungen
[X.]ie Beklagte verarbeitet (Art. 4 Nr. 2 [X.]) als Verantwortliche (Art. 4 Nr. 7 [X.]) personenbezogene [X.]aten (Art. 4 Nr. 1 [X.]) des [X.] im Beschäftigungsverhältnis. Eine solche Verarbeitung fällt in den sachlichen Anwendungsbereich der [X.], wie er in ihrem Art. 2 Abs. 1 definiert ist.
Im Hinblick auf die im Ausgangsverfahren streitgegenständliche [X.]atenverarbeitung im [X.]raum vom 25. Mai 2018 bis zum Ende des ersten Quartals 2019 geht der [X.] davon aus, dass es nichts an der diesbezüglichen „Verantwortlichkeit“ der [X.] iSv. Art. 4 Nr. 7 [X.] ändert, dass die Handlung des Hochladens bzw. des Übertragens der streitgegenständlichen personenbezogenen [X.]aten des [X.] aus [X.] zur Befüllung der Software [X.] auf eine Sharepoint-Seite der Konzernmutter vor der am 25. Mai 2018 beginnenden Geltung der [X.], nämlich im [X.]raum vom 24. April bis zum 18. Mai 2017 erfolgte. Auch danach war und ist die Beklagte weiterhin Verantwortliche iSv. Art. 4 Nr. 7 [X.]. Hierfür ist es nämlich nicht erforderlich, dass der Verantwortliche allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen [X.]aten entscheidet, dies kann nach Art. 4 Nr. 7 [X.] auch gemeinsam mit anderen erfolgen. An der Verantwortlichkeit der [X.] iSv. Art. 4 Nr. 7 [X.] würde sich nach Auffassung des [X.]s auch dann nichts ändern, wenn diese sich im fortgesetzten Verfahren darauf berufen sollte, im Konzern nicht, oder nur bedingt mitentscheidungsbefugt über den Fortgang der Nutzung von [X.]aten in [X.] gewesen zu sein. [X.]ie Beklagte hat sich nämlich ab dem [X.]punkt der Geltung der [X.] nicht um eine Rückübertragung oder Löschung der [X.]aten des [X.] in [X.] bemüht, eine solche hat auch nicht stattgefunden. Vielmehr hat die Beklagte - im Gegenteil - durch die mehrfache Verlängerung des [X.] und Nachwirkungszeitraums der [X.] [X.]uldung, zuletzt bis zum 31. Januar 2019, zu erkennen gegeben, dass sie fortgesetzt aktiv als Verantwortliche iSv. Art. 4 Nr. 7 [X.] gehandelt hat, um den vorläufigen Betrieb von [X.] - ua. mit den streitgegenständlichen personenbezogenen [X.]aten des [X.] - durch den Abschluss weiterer Betriebsvereinbarungen sicherzustellen.
Soweit der [X.] diesen und den folgenden Ausführungen eine bestimmte Auslegung der Bestimmungen der [X.] zugrunde legt, wird der [X.] (im [X.] Gerichtshof), sofern diese Auslegung unzutreffend sein sollte, über die Beantwortung der Vorlagefragen hinaus um einen entsprechenden Hinweis gebeten. Insoweit sind auch fallbezogene Hinweise zur [X.]atenübertragung und -verarbeitung innerhalb eines Konzerns von Bedeutung.
2. Zur ersten Frage
Mit seiner ersten Vorlagefrage möchte der [X.] wissen, ob eine nach Art. 88 Abs. 1 der [X.] erlassene nationale Rechtsvorschrift - wie etwa § 26 Abs. 4 B[X.]SG -, in der bestimmt ist, dass die Verarbeitung personenbezogener [X.]aten - einschließlich besonderer Kategorien personenbezogener [X.]aten - von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von [X.] unter Beachtung von Art. 88 Abs. 2 [X.] zulässig ist, dahin (unionsrechtskonform) auszulegen ist, dass stets auch die sonstigen Vorgaben der [X.] - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 [X.] - einzuhalten sind. [X.]amit untrennbar verbunden ist die Frage, was unter „spezifischeren Vorschriften“ iSv. Art. 88 Abs. 1 [X.] zu verstehen ist.
Eine Antwort des Gerichtshofs auf diese Fragen ist zur Entscheidung im Ausgangsverfahren erforderlich, damit der [X.] die Rechtmäßigkeit der durch die Kollektivvereinbarung [X.] [X.]uldung vorgesehenen und erfolgten [X.]atenverarbeitung beurteilen kann. [X.]ies betrifft konkret die in der Anlage 2 zur [X.] [X.]uldung genannten [X.]atensätze ([X.] Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, [X.], Arbeitsort, Firma [K/[X.]ental], Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse).
Soweit die Beklagte im [X.]raum zwischen dem 24. April und dem 18. Mai 2017 über die in der Anlage 2 zur [X.] [X.]uldung genannten [X.]atensätze hinaus weitere personenbezogene [X.]aten des [X.] (Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-I[X.] des [X.]) zur Befüllung der Software [X.] auf eine Sharepoint-Seite der Konzernmutter übermittelt hat, geht der [X.] zwar davon aus, dass dies schon nicht von der [X.] [X.]uldung gedeckt war und deshalb nicht nach § 26 Abs. 4 B[X.]SG, sondern nach § 26 Abs. 1 B[X.]SG zu beurteilen ist. Auch dürfte eine solche überschießende [X.]atenverarbeitung im Ergebnis schon deshalb nicht erforderlich iSv. § 26 Abs. 1 B[X.]SG bzw. Art. 5, Art. 6 Abs. 1 [X.] gewesen sein, weil davon auszugehen ist, dass in der von der [X.] (mit)abgeschlossenen [X.] [X.]uldung bzw. in deren Anlage 2 sämtliche aus ihrer Sicht für die behaupteten Testzwecke erforderlichen [X.]atensätze abschließend aufgeführt sind. Allerdings reicht es aus Sicht des [X.]s für seine Entscheidung des Ausgangsverfahrens nicht aus, dass damit ein Teil der vom Kläger beanstandeten [X.]atenverarbeitung bereits ohne Vorabentscheidungsersuchen als nicht rechtmäßig zu beurteilen ist. Vielmehr ist es für eine Entscheidung im Ausgangsverfahren erforderlich, die beanstandete [X.]atenverarbeitung insgesamt beurteilen zu können, da damit Folgen im Hinblick auf den Umfang der Verletzung der Schutzvorschriften und die Höhe eines etwaigen Schadenersatzes verbunden sind bzw. sein können.
§ 26 Abs. 4 B[X.]SG, wonach die Verarbeitung personenbezogener [X.]aten, einschließlich besonderer Kategorien personenbezogener [X.]aten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von [X.] zulässig ist, wobei Art. 88 Abs. 2 [X.] zu beachten ist, könnte - nach seinem Wortlaut - dahin verstanden werden, dass außer den Vorgaben in Art. 88 Abs. 2 [X.] keine weiteren Vorgaben der [X.] zu beachten sind. In einem solchen Fall könnte eine [X.]atenverarbeitung im Arbeitsverhältnis, die eigentlich unrechtmäßig wäre, weil sie nicht den Vorgaben der Erforderlichkeit von § 26 Abs. 1 B[X.]SG, Art. 5, Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 und Abs. 2 [X.] entspricht und für die auch keine Einwilligung der betroffenen Person vorliegt, allein wegen des Umstands, dass sie in einer Kollektivvereinbarung - wie hier einer Betriebsvereinbarung - geregelt ist, zulässig sein bzw. gerechtfertigt werden. In einem Fall wie dem des Ausgangsverfahrens würde das bedeuten, dass allein wegen der Regelung der [X.]atenverarbeitung in einer Kollektivvereinbarung - anders als bei Regelung in einer allgemeinen Rechtsvorschrift wie etwa einem Gesetz - die Erforderlichkeit der [X.]atenverarbeitung nicht zu prüfen wäre.
[X.]er [X.] geht davon aus, dass das unter Rn. 25 dargestellte Verständnis von § 26 Abs. 4 B[X.]SG nicht mit der [X.] vereinbar wäre. Zwar ist nicht zu verkennen, dass die [X.]en einer Kollektivvereinbarung - hier einer Betriebsvereinbarung - eine größere Sachnähe besitzen und dass zu erwägen sein könnte, dass sie im Regelfall die gegenläufigen Interessen zu einem angemessenen Ausgleich gebracht haben. Allerdings ist in Art. 88 Abs. 1 [X.] bestimmt, dass die Mitgliedstaaten durch Rechtsvorschriften oder durch [X.] „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im [X.] vorsehen können. Hieraus lässt sich nach Auffassung des [X.]s gerade nicht ableiten, dass im Fall der Regelung durch eine Kollektivvereinbarung - wie vorliegend durch die [X.] [X.]uldung - die insbesondere in Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 [X.] enthaltenen Vorgaben der Erforderlichkeit ohne Bedeutung sein sollen. Von ihrer Einhaltung kann aus Sicht des [X.]s nicht durch Kollektivvereinbarung freigestellt werden. Vielmehr dürfte davon auszugehen sein, dass entsprechende „spezifischere Vorschriften“ iSv. Art. 88 Abs. 1 [X.] - sowohl als Rechtsvorschrift als auch als Kollektivvereinbarung - immer auch die Einhaltung der sonstigen Vorgaben der [X.] voraussetzen.
Etwas Anderes folgt nach Auffassung des [X.]s auch nicht aus der Bezugnahme in § 26 Abs. 4 B[X.]SG auf Art. 88 Abs. 2 [X.]. Art. 88 Abs. 2 [X.], wonach diese Vorschriften - gemeint sind Vorschriften iSv. Art. 88 Abs. 1 [X.] - geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener [X.]aten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz, stellt aus Sicht des [X.]s nicht von der Einhaltung der sonstigen Vorgaben der [X.] frei.
Im Ergebnis könnte deshalb einiges dafür sprechen, dass bei nationalen Rechtsvorschriften, die iSv. Art. 88 Abs. 1 [X.] erlassen wurden, stets auch die sonstigen Vorgaben der [X.] - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 [X.] - einzuhalten sind und dass Regelungen in einer Kollektivvereinbarung - wie der [X.] [X.]uldung - davon nicht ausgenommen sind.
[X.]ies würde im Ausgangsverfahren bedeuten, dass geprüft werden müsste, ob die Verarbeitung der [X.]aten des [X.] im vorläufigen Betrieb von [X.] zu „Testzwecken“ als „erforderlich“ iSv. § 26 Abs. 1 B[X.]SG, Art. 5, Art. 6 Abs. 1 [X.] angesehen werden kann. [X.]abei geht der [X.] davon aus, dass es nicht von vornherein ausgeschlossen ist, auch im Rahmen des vorläufigen Betriebs von [X.] zu „Testzwecken“ Echtdaten zu verarbeiten, sofern sogenannte „[X.]ummy“-Versuchsdaten nicht ausreichen, was allerdings im Einzelnen von der insoweit darlegungs- und beweisbelasteten [X.] noch substantiiert vorzutragen wäre. Im Übrigen würde sich die Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1 Buchstabe b [X.] bestimmen. Soweit der Gerichtshof insoweit - über die Beantwortung der Vorlagefragen hinaus - fallbezogene Hinweise zur Auslegung von Art. 6 Abs. 1 Buchstabe b [X.] - einschließlich der Verteilung der [X.]arlegungs- und Beweislast - geben sollte, wäre dies zu begrüßen.
3. Zur zweiten Frage
Sofern die Frage zu 1. bejaht wird, möchte der [X.] mit seiner zweiten Vorlagefrage wissen, ob eine nach Art. 88 Abs. 1 [X.] erlassene nationale Rechtsvorschrift - wie § 26 Abs. 4 B[X.]SG - dahin ausgelegt werden darf, dass den [X.]en einer Betriebsvereinbarung bei der Beurteilung der Erforderlichkeit der [X.]atenverarbeitung iSd. Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 [X.] ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist.
[X.]afür könnte nicht nur der in Rn. 26 dargestellte Gedanke der Sachnähe der Vertragspartner von [X.] sprechen. Auch die - ebenfalls unter Rn. 26 - aufgezeigte Erwägung, dass die Vertragspartner einer Betriebsvereinbarung im Regelfall zu einem angemessenen Interessenausgleich gekommen sind, könnte für die Anerkennung eines - wie auch immer ausgestalteten - Spielraums der Vertragspartner einer Betriebsvereinbarung bei der Beurteilung der Erforderlichkeit der [X.]atenverarbeitung sprechen. Jedoch bestehen aus Sicht des [X.]s erhebliche Bedenken gegen die Anerkennung eines solchen Spielraums.
Zwar unterscheidet sich nach der Rechtsprechung des Gerichtshofs das Wesen durch Tarifvertrag erlassener Maßnahmen vom Wesen einseitig im Gesetz- oder Verordnungsweg von den Mitgliedstaaten erlassener Maßnahmen dadurch, dass die Sozialpartner bei der Wahrnehmung ihres in Art. 28 der [X.] (im [X.] [X.]) anerkannten Grundrechts auf [X.] darauf geachtet haben, einen Ausgleich zwischen ihren jeweiligen Interessen festzulegen ([X.] 19. September 2018 - [X.]/17, [X.]:[X.] - [[X.]] Rn. 68; 8. September 2011 - [X.]/10 und [X.]/10, [X.]:C:2011:560 - [[X.] und Mai] Rn. 66 mwN). Es ist allerdings aus Sicht des [X.]s sehr zweifelhaft, ob diese Erwägungen des Gerichtshofs auch für eine Betriebsvereinbarung wie die des Ausgangsfalls gelten, da den Betriebsparteien nach § 74 Abs. 2 Satz 1 [X.] Maßnahmen des [X.] untersagt sind. Selbst wenn auch Betriebsvereinbarungen als Ausfluss des in Art. 28 der [X.] anerkannten Grundrechts auf [X.] angesehen werden könnten, würde daraus nach Auffassung des [X.]s kein Gestaltungsspielraum der Betriebspartner folgen, der gerichtlich nur eingeschränkt überprüfbar wäre. Aus der Rechtsprechung des Gerichtshofs ergibt sich nämlich, dass, soweit das in Art. 28 der [X.] proklamierte Recht auf [X.] Bestandteil des [X.]srechts ist, dieses im Rahmen der Anwendung des [X.]srechts im Einklang mit diesem ausgeübt werden muss ([X.] 19. September 2018 - [X.]/17, [X.]:[X.] - [[X.]] Rn. 69; 8. September 2011 - C-297/10 und C-298/10, [X.]:C:2011:560 - [[X.] und Mai] Rn. 67 mwN). [X.]eshalb müssen die Sozialpartner beim Erlass von Maßnahmen, die in den Anwendungsbereich von Bestimmungen des [X.]srechts fallen, das [X.]srecht beachten (vgl. zur Richtlinie 2000/78/[X.]: [X.] 19. September 2018 - [X.]/17, [X.]:[X.] - [[X.]] Rn. 70; 12. [X.]ezember 2013 - [X.]/12, [X.]:C:2013:823 - [[X.]] Rn. 27 mwN; 8. September 2011 - C-297/10 und C-298/10, [X.]:C:2011:560 - [[X.] und Mai] Rn. 68 mwN). Zudem ist nach der Rechtsprechung des Gerichtshofs das nationale Gericht, das im Rahmen seiner Zuständigkeit die [X.]srechtsnormen anzuwenden hat, gehalten, für die volle Wirksamkeit dieser Normen Sorge zu tragen, indem es erforderlichenfalls jede entgegenstehende Bestimmung des nationalen Rechts aus eigener Entscheidungsbefugnis unangewendet lässt, ohne dass es die vorherige Beseitigung dieser Bestimmung auf gesetzgeberischem Wege oder durch irgendein anderes verfassungsrechtliches Verfahren beantragen oder abwarten müsste (vgl. [X.] 20. März 2003 - [X.]/00, [X.]:[X.] - [[X.]] Rn. 73 mwN; 7. Februar 1991 - [X.]/89, [X.]:[X.] - [[X.]] Rn. 19 mwN). [X.]iese Erwägungen gelten nach der Rechtsprechung des Gerichtshofs auch für den Fall, dass sich die dem [X.]srecht entgegenstehende Bestimmung aus einem Tarifvertrag ergibt. Es wäre nämlich mit dem Wesen des [X.]srechts unvereinbar, wenn dem nationalen Gericht die uneingeschränkte Befugnis abgesprochen würde, unmittelbar bei der ihm obliegenden Anwendung des [X.]srechts Bestimmungen eines Tarifvertrags - oder ggf. einer Betriebsvereinbarung - außer Anwendung zu lassen, die die volle Wirksamkeit der unionsrechtlichen Vorschriften möglicherweise behindern (vgl. [X.] 20. März 2003 - [X.]/00, [X.]:[X.] - [[X.]] Rn. 74; 7. Februar 1991 - [X.]/89, [X.]:[X.] - [[X.]] Rn. 20). Nach Auffassung des [X.]s spricht einiges dafür, dass diese Rechtsprechung des Gerichtshofs, die zu Richtlinien wie der Richtlinie 2000/78/[X.] ergangen ist, auch im Hinblick auf die Vorgaben der [X.] Bedeutung hat.
4. Zur dritten Frage
Sofern die Frage zu 2. allerdings bejaht werden sollte und den [X.]en einer Kollektivvereinbarung - hier den [X.]en einer Betriebsvereinbarung - bei der Beurteilung der Erforderlichkeit der [X.]atenverarbeitung iSv. etwa Art. 5, Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 und Abs. 2 [X.] ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist, möchte der [X.] mit seiner dritten Vorlagefrage wissen, worauf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden darf. [X.]iese Frage betrifft die ggf. aus Sicht des Gerichtshofs unverzichtbaren Beurteilungskriterien.
5. Zur vierten Frage
Mit seiner vierten Vorlagefrage möchte der [X.] wissen, ob Art. 82 Abs. 1 [X.] dahin auszulegen ist, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen [X.]aten entgegen den Vorgaben der [X.] verarbeitet wurden oder ob der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraussetzt, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt.
Insoweit geht der [X.] in Kenntnis des Vorabentscheidungsersuchens des Obersten Gerichtshofs ([X.]) - [X.]/21 - und unter Bezugnahme auf sein eigenes Vorabentscheidungsersuchen - [X.]/21 - ([X.] 26. August 2021 - 8 [X.] (A) -) davon aus, dass Art. 82 Abs. 1 [X.] ein Recht auf Schadenersatz nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der [X.] bei der Verarbeitung „ihrer“ personenbezogenen [X.]aten (vgl. 2. Erwägungsgrund der [X.]) in ihren (subjektiven) Rechten verletzt worden, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die [X.] geworden sind. Ferner geht der [X.] davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 [X.] über eine solche Verletzung der [X.] hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des [X.]s keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ (vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs ([X.]) - [X.]/21 -) dartun. Nach Auffassung des [X.]s führt demnach bereits der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der [X.] bei der Verarbeitung „ihrer“ personenbezogenen [X.]aten (vgl. 2. Erwägungsgrund der [X.]) in ihren (subjektiven) Rechten verletzt wurde, zu einem auszugleichenden immateriellen Schaden (vgl. bereits das Vorabentscheidungsersuchen - [X.]/21 - des [X.]s, [X.] 26. August 2021 - 8 [X.] (A) - Rn. 33). Insbesondere kann nach Auffassung des [X.]s nicht den einzelnen mitgliedstaatlichen Gerichten die Prüfung überlassen bleiben, ob ein - nach den unterschiedlichen innerstaatlichen Regeln - ausgleichsfähiger immaterieller Schaden eingetreten ist.
Soweit der Gerichtshof allerdings der Auffassung sein sollte, dass der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der [X.] bei der Verarbeitung „ihrer“ personenbezogenen [X.]aten (vgl. 2. Erwägungsgrund der [X.]) in ihren (subjektiven) Rechten verletzt wurde, nicht ausreicht, sondern dass zusätzlich erforderlich ist, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden - ggf. von einigem Gewicht - darzulegen hat, ist es für die Entscheidung des [X.]s im Ausgangsverfahren erforderlich zu erfahren, welche Kriterien dafür maßgebend sind.
[X.]er Kläger des Ausgangsverfahrens vertritt insoweit die Auffassung, dass die aus seiner Sicht nicht erforderliche [X.]atenverarbeitung in [X.], jedenfalls aber der unrechtmäßige Abfluss seiner [X.]aten und deren Zugänglichkeit innerhalb des Konzerns - auch für unbefugte [X.]ritte - zu einem immateriellen Schaden geführt haben. Es habe zudem die Gefahr der missbräuchlichen Nutzung seiner [X.]aten durch [X.]ritte bestanden, wodurch er als Betroffener in eine Situation der Unsicherheit versetzt worden sei. So sei es angesichts der Möglichkeiten und Zwecke von [X.] denkbar, dass seine personenbezogenen [X.]aten zu einem Profiling, dh. zu einer Profilerstellung und/oder -nutzung verwendet würden bzw. verwendet worden seien. [X.]a er als Arbeitnehmer nicht habe wissen können, ob und ggf. auf welche Weise und zu welchen Zwecken seine von der [X.] innerhalb des Konzerns übermittelten [X.]aten von der [X.] und/oder von [X.]ritten benutzt würden bzw. bereits benutzt worden seien, könne im Hinblick auf derartige Umstände die [X.]arlegungs- und Beweislast nicht ihn, sondern müsse die Beklagte treffen. Im Übrigen reiche bereits allein die Möglichkeit des Missbrauchs seiner [X.]aten zur Begründung eines immateriellen Schadens aus, weil er bereits hierdurch entgegen den Vorgaben des [X.] der [X.] die Kontrolle über seine personenbezogenen [X.]aten verloren habe. [X.]arüber hinaus sei zu berücksichtigen, dass die Beklagte entgegen den Vorgaben der [X.] und des B[X.]SG kein Löschkonzept für die in [X.] verarbeiteten [X.]aten vorhalte. [X.]urch die Verstöße gegen die [X.] und das B[X.]SG sowie durch die damit verbundenen [X.] sei sein Persönlichkeitsrecht in schwerwiegender Art und Weise verletzt worden. Er müsse einen wirksamen Schadenersatz erhalten, wofür auch der Erwägungsgrund 146 der [X.] spreche. Erschwerend komme hinzu, dass die Verstöße der [X.] vorsätzlich, unter bewusster Umgehung von datenschutz- und betriebsverfassungsrechtlichen Vorgaben begangen worden seien.
Soweit der Gerichtshof der Auffassung sein sollte, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darzulegen hat, ist es für die Entscheidung im Ausgangsverfahren insbesondere erforderlich zu wissen, welche Kriterien nach Art. 82 Abs. 1 [X.] für das Vorliegen eines Schadens, die Kausalität und für die [X.]arlegungs- und Beweislast maßgebend sind. So könnte sich im weiteren Verfahren die Frage stellen, ob bereits in dem Umstand, dass die personenbezogenen [X.]aten des [X.] entgegen den Vorgaben der [X.] für eine Profilerstellung und/oder -nutzung iSv. Art. 4 Nr. 4 [X.] verwendet wurden, ein (weiterer) Schaden von einigem Gewicht läge oder ob ein solcher (weiterer Schaden) nur dann angenommen werden könnte, wenn ein solches Profil eine negative Wirkung für den Kläger hätte, indem er beispielsweise in einem Bewerbungsverfahren „wegen“ des Profils erfolglos geblieben wäre. [X.]amit im Zusammenhang steht die Frage, wer - angesichts der tatsächlichen Schwierigkeiten der Beschäftigten, substantiiert einen (weiteren) Schaden darzulegen - für welche Umstände die [X.]arlegungs- und Beweislast hat und wie dieser [X.]arlegungs- und Beweislast im Einzelnen genügt werden kann.
6. Zur fünften Frage
Mit seiner fünften Vorlagefrage, die der vierten Vorlagefrage im Vorabentscheidungsersuchen - [X.]/21 - des [X.]s ([X.] 26. August 2021 - 8 [X.] (A) - Rn. 35 ff.) entspricht, möchte der [X.] wissen, ob Art. 82 Abs. 1 [X.] neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und ob der [X.] dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 [X.] zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.
Nach dem 146. Erwägungsgrund der [X.] sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. [X.]abei geht der [X.] davon aus, dass bei der Bemessung des immateriellen Schadenersatzes durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der [X.] hergeleiteten Rechte gewährleistet werden soll. [X.]eshalb könnte es darauf ankommen, dass - wie in anderen Bereichen des [X.]srechts - die Höhe eines immateriellen Schadenersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die [X.] entspricht, wobei vermutlich eine wirklich abschreckende Wirkung - ggf. mit spezial- bzw. generalpräventivem Charakter - zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre (vgl. zu anderen Bereichen des [X.]srechts etwa: [X.] 15. April 2021 - [X.]/19, [X.]:[X.] - [Braathens Regional Aviation] Rn. 38; 25. April 2013 - C-81/12, [X.]:C:2013:275 - [[X.]] Rn. 63).
Neben dem damit ua. angesprochenen Grundsatz der Effektivität könnte bei der Höhe eines immateriellen Schadenersatzes zudem der Grundsatz der Äquivalenz zu berücksichtigen sein. [X.]abei geht der [X.] zwar davon aus, dass Art. 82 [X.] keine Verweisung auf das Recht der Mitgliedstaaten der [X.] enthält und in der gesamten [X.] eine autonome und einheitliche Auslegung erfahren muss. Gleichwohl könnten angesichts womöglich in der Praxis unterschiedlich hoher Entschädigungsbeträge in den Mitgliedstaaten in vergleichbaren Fällen bei der Höhe eines immateriellen Schadenersatzes Gesichtspunkte der Äquivalenz zu berücksichtigen sein (vgl. insoweit auch zur Befugnis der Mitgliedstaaten, entsprechende Kriterien zur Staatshaftung für Schäden, die Einzelnen durch Verstöße gegen das [X.]srecht verursacht werden, zu bestimmen: ua. [X.] 5. März 1996 - [X.]/93 und [X.]/93, [X.]:[X.] - [Brasserie du pêcheur und Factortame] Rn. 67; 19. November 1991 - [X.]/90 und [X.], [X.]:[X.] - [[X.] ua.] Rn. 42 f.).
7. Zur sechsten Frage
Mit seiner sechsten Vorlagefrage, die der fünften Vorlagefrage im Vorabentscheidungsersuchen - [X.]/21 - des [X.]s ([X.] 26. August 2021 - 8 [X.] (A) - Rn. 38 ff.) entspricht, möchte der [X.] wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 [X.] auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.
[X.]iese Frage stellt sich für den [X.] insbesondere vor dem Hintergrund des [X.] Zivilrechts, in dem es neben verschuldensunabhängigen [X.] auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 [X.] ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die [X.] etwas Weiteres hinzutreten, nämlich die subjektive [X.] wegen Vorsatz oder Fahrlässigkeit. [X.]er [X.] nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 [X.] verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht (vgl. zu anderen Bereichen des [X.]srechts etwa: [X.] 22. April 1997 - [X.]/95, [X.]:C:1997:208 - [[X.]raehmpaehl] Rn. 17; 8. November 1990 - [X.]/88, [X.]:C:1990:383 - [[X.]] Rn. 22). Wie unter Rn. 35 ausgeführt, geht der [X.] davon aus, dass bereits die Verletzung der [X.] als solche für einen Anspruch nach Art. 82 Abs. 1 [X.] ausreicht.
Schließlich ist der [X.] der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 [X.] nichts Abweichendes ergibt. [X.]ie darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des [X.]s nicht das Verschulden im Sinne eines „[X.]“. Art. 82 Abs. 3 [X.] betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (iSv.: „beteiligt“ oder „nicht beteiligt“) - etwa in von außen schwer durchschaubaren [X.]atenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten - bzw. die Frage nach der Urheberschaft iSd. Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines [X.]ritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte ([X.]äubler in [X.]äubler/[X.]/[X.]/Sommer [X.]-[X.] und B[X.]SG 2. Aufl. [X.] Art. 82 Rn. 24 mwN).
|
|
Schlewing |
|
Winter |
|
Pulz |
|
|
|
|
Leitz |
|
Felderhoff |
Meta
22.09.2022
EuGH-Vorlage
Sachgebiet: AZR
vorgehend ArbG Ulm, 14. November 2019, Az: 5 Ca 18/18, Urteil
Art 88 Abs 1 EUV 2016/679, Art 267 AEUV, Art 88 Abs 2 EUV 2016/679, Art 5 EUV 2016/679, Art 6 Abs 1 EUV 2016/679, Art 9 Abs 1 EUV 2016/679, Art 9 Abs 2 EUV 2016/679, § 26 Abs 4 BDSG 2018, Art 82 Abs 1 EUV 2016/679, Art 4 Nr 2 EUV 2016/679, Art 4 Nr 7 EUV 2016/679, Art 4 Nr 1 EUV 2016/679, § 26 Abs 1 BDSG 2018, Art 28 EUGrdRCh, § 74 Abs 2 S 1 BetrVG
Zitiervorschlag: Bundesarbeitsgericht, EuGH-Vorlage vom 22.09.2022, Az. 8 AZR 209/21 (A) (REWIS RS 2022, 8641)
Papierfundstellen: REWIS RS 2022, 8641
Auf Mobilgerät öffnen.
Die hier dargestellten Entscheidungen sind möglicherweise nicht rechtskräftig oder wurden bereits in höheren Instanzen abgeändert.
8 AZR 253/20 (A) (Bundesarbeitsgericht)
Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis
9 AZR 383/19 (A) (Bundesarbeitsgericht)
Datenschutzbeauftragter - Abberufung - Unionsrecht
Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen
(Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren gemäß § 29b AO)
2 AZR 225/20 (A) (Bundesarbeitsgericht)
Datenschutzbeauftragter - Kündigungsschutz - Unionsrecht
Wird zitiert von
Keine Referenz gefunden.
Zitiert
Keine Referenz gefunden.