Das Landesarbeitsgericht Baden-Württemberg hat sich mit Urteil vom 25. Februar 2020 (Az. 17 Sa 37/20) u.a. zu Betriebsvereinbarungen als Erlaubnistatbestand für nicht erforderliche Verarbeitungen personenbezogener Daten geäußert und die ausgeprägten Gestaltungsmöglichkeiten der Betriebsparteien im Bereich des Datenschutzrechts verdeutlicht.
Sachverhalt
Gegenstand des Urteils war ein Streit zwischen einem Beschäftigten und dessen Arbeitgeber über die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten (Beschäftigtendaten). Der Arbeitgeber hatte zuvor mit den Planungen zur Einführung eines cloudbasierten Personalinformationsmanagementsystems (PIMS) begonnen. Zu Erprobungszwecken wurden in diesem Zusammenhang nicht nur fiktive Testdaten an die US-amerikanische Konzernmutter übermittelt und in das cloudbasierte PIMS eingespeist, sondern auch personenbezogene Echtdaten. Zwar gab es zwischen Betriebsrat und Arbeitgeber eine Betriebsvereinbarung über die Einführung des PIMS, in der in einem Katalog festgelegt worden war, welche Beschäftigtendaten in das cloudbasierte System übertragen werden dürfen. Der Arbeitgeber übermittelte jedoch über die Festlegungen hinaus noch weitere Beschäftigtendaten an die Konzernmutter, die diese Daten im PIMS verarbeitete. Diese Verarbeitung dieser weiteren personenbezogenen Daten war nach Ansicht des Beschäftigten rechtswidrig, weil sie nicht durch die Betriebsvereinbarung gedeckt war. Der Beschäftigte forderte in diesem Zusammenhang immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen einer rechtswidrigen Verarbeitung seiner Daten.
Entscheidung des Gerichts
Das Gericht stellt zunächst fest, dass die Verarbeitung der personenbezogenen Daten des Beschäftigten, die nicht zu den Katalogdaten der Betriebsvereinbarung gehören, weder auf § 26 Abs. 4 BDSG i.V.m. der Betriebsvereinbarung noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden kann.
Die Zulässigkeit der Verarbeitung von Echtdaten zu Testzwecken auf Grundlage des § 26 Abs. 1 S. 1 BDSG bzw. des Art. 6 Abs. 1 S. 1 lit. f DSGVO scheitert nach Ansicht des Gerichts jeweils an der fehlenden Erforderlichkeit der Verarbeitung.
Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Hier fehlt es nach Ansicht des Gerichts an der Erforderlichkeit der Verarbeitung i.S.d. § 26 Abs. 1 S. 1 BDSG, da der Arbeitgeber zur Durchführung der Arbeitsverhältnisse nicht darauf angewiesen gewesen sei, bereits vor Einführung des PIMS echte Beschäftigtendaten in der Cloud zu Testzwecken zu verarbeiten bzw. durch die Konzernmutter verarbeiten zu lassen.
Auch Art. 6 Abs. 1 S. 1 lit. f DSGVO (sog. berechtigtes Interesse) ist nach Ansicht des Gerichts keine geeignete Rechtsgrundlage. Im Zusammenhang mit diesem Erlaubnistatbestand betont das Gericht die notwendige Prüfung, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen die Erhebung erfolgte, vernünftigerweise damit rechnen musste, dass möglicherweise eine Verarbeitung für einen bestimmten Zweck erfolgen wird. Hier mussten die Beschäftigten nach Auffassung des Gerichts mit einer Verarbeitung ihrer personenbezogenen Daten zu bloßen Testzwecken – angesichts der parallel stattfindenden Datenverarbeitung im Live-System – nicht rechnen. Selbst wenn man das anders beurteilte, fehlt es dem Gericht zufolge jedenfalls an der Erforderlichkeit der Verarbeitung. Diese Verarbeitung zu Testzwecken diene gerade nicht der Personalverwaltung/Abrechnung etc., sondern allein der Erprobung, die auch mit Verwendung von Daten fiktiver Beschäftigter („Max Mustermann“) möglich sei. Hätte die Beklagte eine Vielzahl von fiktiven Beschäftigten mit entsprechenden fiktiven personenbezogenen Daten in ihrem System angelegt, so das Gericht, wäre in gleicher Weise ein Testlauf möglich gewesen.
Allerdings betont das Gericht in diesem Zusammenhang, dass eine Betriebsvereinbarung mit Rücksicht auf § 26 Abs. 4 BDSG durchaus nicht erforderliche und damit ansonsten unzulässige Datenverarbeitung rechtfertigen kann, sofern die von den Betriebsparteien normierten Voraussetzungen vorliegen und die Betriebsparteien die Bestimmung des Art. 88 Abs. 2 DSGVO beachtet haben, d.h., dass die Betriebsvereinbarung angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person vorsieht, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder der Überwachungssysteme am Arbeitsplatz.
Eine Verarbeitung von personenbezogenen Daten in einem nicht zur Personalverwaltung produktiv genutzten „Zweitsystem“ kommt somit auf der Grundlage einer Betriebsvereinbarung nach § 26 Abs. 4 BDSG durchaus in Betracht, auch wenn sie nicht erforderlich ist. Vorliegend scheiterte es daran, dass die von den Betriebsparteien geschlossene Vereinbarung nicht den vom Arbeitgeber durchgeführten Umfang der Datenverarbeitung abdeckte.
Das Gericht hat dem Beschäftigten im Ergebnis jedoch keinen Schadensersatz zugesprochen. Die diesbezügliche Begründung hat allerdings mit der Frage, ob ein Unternehmen echte Beschäftigtendaten für Testzwecke verwenden darf, zu tun und soll hier deshalb nicht weiter ausgeführt werden.
Folgen für die Praxis
Die Auffassung des Gerichts ist in Bezug auf die Möglichkeiten zur Erprobung von Software mit Echtdaten sehr restriktiv: Unternehmen ohne Betriebsrat verblieben danach überhaupt nur äußerst begrenzte Möglichkeiten für Softwaretests, bei denen auch echte Beschäftigtendaten verwendet werden – es wird aber Konstellationen geben, bei denen eine Verarbeitung von Echtdaten entgegen der Meinung des Gerichts sehr wohl erforderlich ist. Eine gründliche Vorbereitung und Dokumentation sowie eine gute Begründung der Erforderlichkeit der Verarbeitung von Beschäftigtendaten ist in diesen Fällen daher essentiell.
Das Urteil macht zudem deutlich, dass mit Hilfe von Betriebsvereinbarungen auch solche Verarbeitungen legitimiert werden können, die allein auf Grundlage des § 26 Abs. 1 S. 1 BDSG bzw. des Art. 6 Abs. 1 S. 1 lit. f DSGVO nicht zulässig wären. Die Betriebsparteien haben also wesentliche Gestaltungsmöglichkeiten auf dem Gebiet des Datenschutzrechts, wobei sie die zwingenden Vorgaben des Art. 88 Abs. 2 DSGVO beachten müssen.
