Zum Hauptinhalt springen

Verstoß: Unerlaubte Datenweiterleitung (Arbeitnehmerdaten)

  • Beschreibung
    Unrechtmäßige Weitergabe von Beschäftigtendaten (Stammdaten) durch Personalabteilung an Konzernmutter, die diese zu Controlling-Zwecken noch an einen Auftragsverarbeiter weitergab
  • Aktenzeichen
    LAG Hamm, Urteil vom 14.12.2021 – 17 Sa 1185/20
  • Kategorie(n)
    Arbeitnehmer
  • Betrag
    2000 €

Tenor

Die Berufung der Beklagten und die Anschlussberufung derKlägerin gegen das Urteil des Arbeitsgerichts Herne vom 15.07.2020 – 1 Ca 982/19 – werden zurückgewiesen.

Die Kosten des Berufungsverfahrens haben die Beklagte zu 47% und die Klägerin zu 53% zu tragen.

Die Revision wird zugelassen.  

Tatbestand

Die Parteien streiten über Unterlassungs- und Schadensersatzansprüche im Anwendungsbereich der DSGVO.

Die Klägerin ist seit dem 01.10.2018 bei der Beklagten auf der Grundlage des Arbeitsvertrags vom 29.06.2018 (Bl. 11 ff. GA) beschäftigt. Im Rubrum des Arbeitsvertrags sind der Name, das Geburtsdatum und die Privatadresse der Klägerin angegeben. Der Arbeitsvertrag enthält unter anderen folgenden Regelungen:

„§ 1

Beginn des Arbeitsverhältnisses und Tätigkeit

(5)              Dienstort ist das A Krankenhaus B, C straße 151, “0000 B. Die Parteien sind sich darüber einig, dass die Arbeitgeberin den Arbeitnehmer auch an anderen Orten innerhalb des Unternehmens einsetzen kann, soweit der Geschäftsbetrieb dies erfordert.

§ 2

Arbeitszeit und Entgelt

(2)              Es wird ein jährliches Bruttogehalt von € 80.500,00 (in Worten: achtigtausendfünfhundert Euro) vereinbart, welches in 12 gleichen Raten gezahlt wird. Das Gehalt wird jeweils am letzten Werktag des jeweiligen Kalendermonats fällig, in dem die Arbeit geleistet wird. Die Zahlung erfolgt bargeldlos auf das der Arbeitgeberin benannte Konto der Arbeitnehmerin.

(3)              Neben dem in Abs. 2 festgesetzten Bruttogehalt wird der Arbeitnehmerin eine jährliche Tantieme von bis zu € 4.500,00 (in Worten: viertausendfünfhundert Euro) brutto in Abhängigkeit von Erreichen der vereinbarten Ziele gezahlt. Über die jeweilige Höhe und die jeweiligen Zeile entscheidet die Geschäftsführung der Arbeitnehmerin, möglichst zu Beginn des Geschäftsjahres. Für das Geschäftsjahr 2018 findet die zwischen den Parteien geschlossene Zielvereinbarung Anwendung (die Höhe der Tantieme für das Jahr 2018 ist auf 1500,- Euro begrenzt). Die Tantieme gehört nicht zum gesamtversorgungsfähigen Entgelt. Die Tantieme wird nach Feststellung des Jahresabschlusses ausgezahlt.

§ 10

Betriebsvereinbarungen, Freiwilligkeitsvorbehalt, Datenspeicherung

(3)              Die Arbeitnehmerin ist darüber informiert, dass ihre personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses erhoben, gespeichert, verarbeitet und genutzt werden. Sie wird Änderungen der persönlichen Angaben (z. B. Heirat, Ehescheidung, Geburt eines Kindes, Wohnungswechsel) unverzüglich der Arbeitgeberin in Textform mitteilen.“

Die Beklagte betreibt das G Krankenhaus in B und die D Klinik in F. Mehrheitsgesellschafter der Beklagten ist die Deutsche Rentenversicherung Knappschaft-Bahn-See (fortan: DRV KBS). Neben der Beteiligung an der Beklagten unterhält die DRV KBS deutschlandweit Mehrheitsbeteiligungen an fünf weiteren Klinik-Gesellschaften, die jeweils in der Rechtsform einer GmbH geführt werden.

Die DRV KBS ist zudem Alleingesellschafterin der A Kliniken GmbH (fortan: AKG). Ausweislich des Handelsregisters (Bl. 290 GA) und Gesellschaftsvertrags (Bl. 185ff. GA) ist Unternehmensgegenstand der AKG die Übernahme und Gewährleistung der Geschäftsführung von Krankenhausträgergesellschaften und im Krankenhausbereich tätigen Dienstleistungsgesellschaften, an denen die DRV KBS mehrheitlich beteiligt ist. Die AKG übernimmt Aufgaben der Organisation, des Managements und des Personalcontrollings im Klinikverbund.

Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten oder anderer Verbundkliniken. Die Beklagte verfügt über eine eigene Personalabteilung.

Für IT-Fragen ist im Konzernverbund die M Kliniken Service GmbH (fortan: MKSG) zuständig.

Zwischen der Beklagten und der AKG wurde im Jahre 2016 ein Managementvertrag geschlossen (Bl. 148 ff. GA), der auszugsweise lautet:

„Präambel

Die Auftraggeberin ist Trägerin mehrerer Krankenhäuser bzw. eines Krankenhauses mit mehreren Betriebsstellen (im Folgenden „Krankenhaus“ genannt)

Zweck dieses Vertrages ist die Sicherstellung der Geschäftsführung der Auftraggeberin durch die Auftragnehmerin. Auf der Grundlage und nach Maßgabe des nachfolgenden Vertrages übernimmt die Auftragnehmerin die Geschäftsführung der Auftraggeberin im Sinne einer Geschäftsbesorgung und unterstützt diese durch konzeptionelle Weiterentwicklung und die Umsetzung von Synergieeffekten im Verbund der durch Managementverträge von der Auftragnehmerin geführten Gesellschaften.

§ 1

Vertragsgegenstand

(1)              Neben der Unterstützung der Auftraggeberin durch konzeptionelle Weiterentwicklung und die Umsetzung von Synergieeffekten im Verbund der von der Auftragnehmerin durch Managementverträge geführten Gesellschaften stellt die Auftragnehmerin zur Erfüllung ihrer Verpflichtung die Geschäftsführung der Auftraggeberin sicher.

Zur Erfüllung dieser Verpflichtung stellt die Auftragnehmerin einen oder mehrere Geschäftsführer (im Folgenden „der Geschäftsführer“ genannt) an, die von der Auftraggeberin zu Geschäftsführern der Auftraggeberin bestellt werden und auf der Grundlage des Dienstvertrages mit der Auftragnehmerin die Geschäfte der Auftraggeberin führen.

              …

§ 4

Dienst- und Arbeitsverhältnisse

(3)              Die Arbeits- und Dienstverträge zwischen der Auftraggeberin und den bei ihr beschäftigten Arbeitnehmern werden durch diesen Vertrag nicht berührt. Neuabschlüsse und Änderungen von Arbeits- und Dienstverträgen mit Arbeitnehmern der Auftraggeberin erfolgen durch die Auftragnehmerin im Namen und für Rechnung der Auftraggeberin.“

Die Geschäftsordnung für die Geschäftsführung der AKG vom 03.05.2018 (Bl. 197 ff. GA, fortan: GO-AKG) lautet auszugsweise:

              „§ 7 Kompetenzregelungen

              ……

  (2) Vor Abgabe rechtsgeschäftlicher Erklärungen für eine geführte Gesellschaft in den folgenden Angelegenheiten ist die Zustimmung des Hauptgeschäftsführers einzuholen (…)

   …

  e.  Abschluss oder Änderungen von Arbeitsverträgen mit   AT-Inhalten oberhalb eines Brutto-Jahresgehaltes von 80.000,– €, maßgeblich ist der TV DRV KBS, sowie der Abschluss von Zielvereinbarungen mit Tantiemen bei Tarifangestellten oder AT-Angestellten mit einem Brutto-Jahreswert oberhalb von 5.000,00 €.“

§ 7 Abs. 2 Buchstabe e GO-AKG wurde bis zum Jahr 2019 nur in wenigen Ausnahmefällen angewendet. Zu Beginn des Jahres 2019 wurde das bei der AKG bestehende Referat „Verbundweites Personalmanagement“ mit Herrn G. besetzt. In einer Konferenz der Geschäftsführer der Verbundkliniken vom 09.01.2019 wurden diese gebeten, den in § 7 Abs. 2 Buchstabe e GO-AKG geregelten Zustimmungsvorbehalt zugunsten der AKG zukünftig zu beachten. Gleichzeitig wurde Herr G. beauftragt, eine Abfrage über den aktuellen Ist-Stand in Bezug auf die unter die Regelung fallenden Verträge und Zielvereinbarungen über die Personalleiter der Verbundkliniken durchzuführen. Ergänzend wird auf den Protokollauszug der Geschäftsführerkonferenz vom 09.01.2019 (Bl. 201 GA) Bezug genommen. In den Anwendungsbereich von § 7 Abs. 2 Buchstabe e GO-AKG fielen zu diesem Zeitpunkt 156 Mitarbeiter im gesamten Klinikverbund, davon 21 Mitarbeiter der Beklagten.

Mit E-Mail vom 10.01.2019 (Bl. 154 GA) wandte sich Herr G. an die Personalleiter der sechs Verbundkliniken, unter anderem auch an den Personalleiter der Beklagten E., und wies auf die Entscheidung in der Geschäftsführerkonferenz vom 09.01.2019 hin. Herr G. übersandte mit der E-Mail eine von ihm vorbereitete, aus zwei Tabellenblättern bestehende Übersicht und bat die Personalleiter, die Daten bis zum 22.01.2019 zu ergänzen und die Übersicht einschließlich der jeweiligen Verträge und Änderungsverträge der Beschäftigten an ihn zu senden. Das erste mit der E-Mail übermittelte Tabellenblatt (Bl. 155 GA) betraf Mitarbeiter mit AT-Verträgen mit einem Bruttojahresentgelt von mehr als 80.000,00 €. Abgefragt wurden in diesem Tabellenblatt das Krankenhaus, die Personalnummer, Name und Vorname, die betriebliche Organisationseinheit, die Dienstart, die Funktion, das Einstellungs-/Vertragsänderungsdatum, eine etwaige Befristung, das Jahresbruttoentgelt, die Zielprämie/Tantieme sowie die sonstigen gewährten Leistungen nach Bezeichnung und Höhe.

Mit E-Mail vom 22.01.2019 (Bl. 157 GA) teilte der Personalleiter der Beklagten E. Herrn G. mit, dass er die Angaben in den vorbereiteten Listen soweit eingetragen habe, wie es ihm aus datenschutzrechtlichen Gründen möglich sei. Zugleich wies er darauf hin, dass er zum jetzigen Zeitpunkt keine Angaben machen dürfe, aus denen abgeleitet werden könnte, um welche Person es sich jeweils handele. Aus dem gleichen Grund könne er auch die gewünschten Kopien der Arbeits- und Änderungsverträge nicht zur Verfügung stellen. Er bot an, an die Mitarbeiter heranzutreten und um ein schriftliches Einverständnis zu bitten, sofern dies von der AKG gewünscht sei.

Die AKG entschloss sich daraufhin zur Einholung eines rechtlichen Gutachtens bezüglich der Zulässigkeit des Transfers der personenbezogenen Daten an die AKG. Mit dem Gutachten wurde Herr Rechtsanwalt und Fachanwalt für Arbeitsrecht und Informationstechnologierecht Dr. I. beauftragt. Am 05.03.2019 legte Dr. I. eine rechtliche Stellungnahme vor. Diese kommt zu dem Ergebnis, dass eine Übermittlung der personenbezogenen Daten an die AKG auf Basis von Art. 6 Abs. 1 Buchstabe f DSGVO, ggf. auch nach § 26 BDSG, zulässig sei, wobei darauf hingewiesen wird, dass zu dieser Thematik noch keine behördlichen oder gerichtlichen Entscheidungen vorlägen. In dem Gutachten wird unter anderem ausgeführt, dass die Datenerhebung über das für die Zweckerreichung erforderliche Maß nicht hinausgehen dürfe. Beispielsweise habe eine anonymisierte Weitergabe der Arbeitsverträge der Beschäftigten Vorrang, wenn die Vorgaben der Geschäftsführer auch durch eine solche Übermittlung erreicht werden könnten. Das Gutachten weist zudem auf die nach der DSGVO bestehenden Informationspflichten des Verantwortlichen gegenüber den Betroffenen hin. Ergänzend wird auf die Kopie des Gutachtens (Bl. 158 ff. GA) Bezug genommen.

In der Geschäftsführerkonferenz vom 06.03.2019 wurde das Ergebnis des Gutachtens thematisiert und daraufhin an dem Vorhaben der Datenübermittlung festgehalten. Ergänzend wird auf das Protokoll der Geschäftsführerkonferenz vom 06.03.2019 (Bl. 173 GA) verwiesen.

Mit E-Mail vom 06.03.2019 (Bl. 174 GA) wandte sich Herr G. erneut an die Personalleiter der sechs Verbundkliniken, unter anderem auch an den Personalleiter der Beklagten E. Er wies darauf hin, dass die Zulässigkeit der Datenweitergabe zwischenzeitlich intern und ergänzend extern geprüft und bestätigt worden sei und bat erneut darum, die beigefügte Übersicht vollständig auszufüllen und sie ihm gemeinsam mit den dazugehörigen Vertragsunterlagen bis zum 15.03.2019 zukommen zu lassen. 49

Mit E-Mail vom 15.03.2019, 9:30 Uhr (Bl. 26 GA) informierte der Personalleiter der Beklagten E. die Klägerin über den vorstehenden Sachverhalt und teilte ihr mit, dass auch ihre Daten im Laufe des Tages an die AKG geschickt würden.

Mit E-Mail vom 15.03.2019, 16:01 Uhr (Bl. 175 GA), übermittelte der Personalleiter der Beklagten E. Herrn G. die angeforderten Daten, darunter auch diejenigen der Klägerin.

Die Klägerin befand sich am 15.03.2019 im Urlaub. Nachdem sie am darauffolgenden Montag, den 18.03.2019, die E-Mail des Personalleiters der Beklagten E. gelesen hatte, suchte sie ihn noch am selben Tag auf und teilte ihm mit, dass sie mit einer Weitergabe ihrer Daten nicht einverstanden sei.

Mit anwaltlichem Schreiben vom 08.04.2019 (Bl. 27f. GA) wurde die Beklagte unter Fristsetzung bis zum 23.04.2019 aufgefordert, Auskunft darüber zu erteilen, welche Daten der Klägerin in welchem Umfang an Dritte weitergegeben worden seien. Darüber hinaus wurde die Beklagte zur Auskunft nach Art. 15 Abs. 1 DSGVO aufgefordert.

Mit E-Mail vom 15.04.2019 (Bl. 29 GA) teilte Herr G. der Klägerin mit, dass die AKG personenbezogene Daten von ihr erhebe und verarbeite, dies zweckgebunden, ausschließlich zur Umsetzung verbundinterner Richtlinien. Der E-Mail war ein mit „Information gemäß Art. 14 Abs. 1 und 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten“ überschriebenes Dokument beigefügt (Bl. 30f. GA). Mit einem an die Prozessbevollmächtigten der Klägerin gerichteten Schreiben vom 16.04.2019 (Bl. 32f. GA) bestätigte die AKG, dass personenbezogene Daten der Klägerin von der AKG verarbeitet würden. Zudem erteilte die AKG Auskünfte nach Art. 15 Abs. 1 DSGVO.

Bereits am 21.02.2019 schlossen die Beklagte und der bei ihr bestehende Betriebsrat eine „Betriebsvereinbarung über die Einführung der Software XXX Modul HR der Firma LNT“ (fortan: BV LNT). Zweck der eingesetzten Software ist es gemäß § 4 BV LNT, die bei der Beklagten vorhandenen Informationen über die einzelnen Beschäftigten in eine zentrale Datenbank zu überführen und diese für Controlling- und Benchmark-Zwecke unter anderem der AKG zur Verfügung zu stellen. Gemäß der Anlage 1 der BV LNT werden die für die Software genutzten Daten der Beschäftigten pseudonymisiert. Ergänzend wird auf die Kopie der BV LNT (Bl. 528ff. GA) Bezug genommen.

Am 18.12.2019 wurde mit der Klägerin über die Zielvereinbarung für das Jahr 2020 gesprochen. Mit Schreiben vom 16.01.2020 (Bl. 224 GA) wandte sich der Personalleiter der Beklagten E. an die Klägerin. Das Schreiben lautet:

„Sehr geehrte Frau H.,

ich habe von der Geschäftsführung einen Vorschlag zum Abschluss einer Zielvereinbarung für das Jahr 2020 erhalten. Diese Zielvereinbarung erhält folgende Anlage:

„Information und Einverständniserklärung zur Verarbeitung und Übermittlung von Beschäftigtendaten im Rahmen der Personalverwaltung insbesondere nach Art. 6 Abs. 1 DSGVO“.

Ich bitte Sie, die dem jetzigen Schreiben beigefügte Einverständniserklärung zu unterschreiben (Bl. 7) und um Rückgabe an die Personalabteilung. Die Zielvereinbarung für 2020 wird Ihnen dann anschließend zwecks Unterschrift zugeleitet. Es handelt sich hierbei um einen mit der A Kliniken GmbH abgestimmtes Verfahren.“

Am 12.06.2019 erhob die Klägerin vor dem Landgericht Bochum Klage gegen die AKG (Az.: I-2 O 186/19) und begehrte von dieser die Löschung der an sie übermittelten Daten sowie die Zahlung von immateriellem Schadensersatz nach Art. 82 Abs. 1 DSGVO. Durch Urteil vom 12.02.2020 (Bl. 317ff. GA) gab das Landgericht Bochum dem Löschungsantrag der Klägerin statt und verurteilte die AKG zur Zahlung von Schadensersatz in Höhe von 8000,00 €, dies als Gesamtschuldnerin gemeinsam mit der Beklagten. Durch Urteil des OLG Hamm vom 31.08.2021 (Az.: I-9 U 56/20) wurde der Ausspruch zum Schadensersatz dahingehend abgeändert, dass die AKG allein zur Zahlung von 4.000,00 € verurteilt wurde; im Übrigen wurden die Berufungen beider Parteien gegen das Urteil des Landgerichts Bochum zurückgewiesen (Bl. 504f. GA). Das Urteil des OLG Hamm ist rechtskräftig.

Mit ihrer am 24.05.2019 beim Arbeitsgericht eingegangen Klage verlangt die Klägerin von der Beklagten, es zu unterlassen, ihre personenbezogen Daten an die AKG weiterzugeben. Darüber hinaus begehrt sie die Zahlung von Schadensersatz für den ihr entstandenen immateriellen Schaden. Sie hat die Auffassung vertreten, dass die Übermittlung der Daten an die AKG nicht rechtmäßig gewesen sei. Für die Durchführung des Arbeitsverhältnisses mit der Klägerin sei die Übermittlung nicht erforderlich gewesen. Es bestehe auch kein berechtigtes Interesse der Beklagten an der Weiterleitung der Daten. Die Ermächtigungsgrundlage in der GO-AKG sei nicht einschlägig, weil es hier nicht um eine Änderung oder den Abschluss eines Vertrags gegangen sei; vielmehr solle eine Datensammlung betrieben werden, um ein anlassloses Informationsbedürfnis auf Seiten der AKG zu befriedigen.

In ihrer konkreten Ausgestaltung sei die Übermittlung der Daten auch nicht erforderlich gewesen. Der Zweck einer Schaffung homogener Vergütungsstrukturen innerhalb des Konzerns könne auch erreicht werden, wenn die Daten anonymisiert bzw. ohne Bezug zu einer konkreten Person übermittelt würden. Hierzu bedürfe es nicht der Angabe des Namens, der Personalnummer, der Übermittlung der Arbeitsverträge und der Nennung des Krankenhauses, in dem der jeweilige Mitarbeiter beschäftigt ist. Es sei auch nicht verständlich, weshalb der AKG nicht lediglich bestimmte Bandbreiten der Vergütung in aggregierter Form hätten mitgeteilt werden können.

Die Datensammlung betreffe einen besonders vertraulichen Bereich. Die Entlohnungsbedingungen seien ein wesentlicher Ausdruck der persönlichen Lebensstellung eines Arbeitnehmers und der damit verbundenen Möglichkeiten, am sozialen Leben teilzunehmen. Arbeitnehmer hätten ein berechtigtes Interesse daran, über ihre Gehaltssituation nur aus eigener Veranlassung oder mit dem von ihnen ausgewählten Vertragspartnern zu sprechen, nicht aber zum Objekt einer Beurteilung durch Dritte zu werden. Dies gelte in besonderer Weise im AT-Bereich, weil die Gehaltshöhe hier durch Dritte nicht annähernd abgeschätzt werden könne. Bei konzernweiten Vergleichen von Stellen und Gehaltsdaten neigten zudem viele Arbeitgeber dazu, dass besonders teure Mitarbeiter in ihrer Vergütung beschränkt oder im Extremfall sogar aus dem Arbeitsverhältnis heraus gedrängt würden. Es sei auch zu berücksichtigen, dass die Klägerin aufgrund der fehlenden Unterrichtung durch die Beklagte nicht in der Lage gewesen sei, ihr Widerspruchsrecht nach Art. 21 DSGVO auszuüben.

Soweit die Beklagte vortrage, dass ausschließlich Herr G. Zugriff auf die übermittelten Daten habe, werde dies mit Nichtwissen bestritten. Zudem habe Herr G. die Aufgabe, für den Geschäftsführerlenkungskreis die entsprechenden Daten zusammen zu stellen und vorzutragen. Es seien hier Daten, die bei der Beklagten vorhanden und abrufbar sind, durch Übermittlung an eine andere Gesellschaft schlicht und ergreifend verdoppelt worden, was im Widerspruch zum Grundsatz der Datensparsamkeit stehe. Das von der Beklagten eingeholte Gutachten habe die Datenweitergabe auch nicht ohne weiteres legitimiert.

Aufgrund der unrechtmäßigen Verarbeitung der personenbezogenen Daten der Klägerin sei die Beklagte verpflichtet, derartige Maßnahmen in Zukunft zu unterlassen. Darüber hinaus sei sie gemäß Art. 82 DSGVO verpflichtet, der Klägerin einen angemessenen Schadensersatz für den von ihr erlittenen immateriellen Schaden zu zahlen. Die Klägerin sei in ihrer persönlichen Ehre und Rechtsstellung als Arbeitnehmerin der Beklagten ernsthaft und nachhaltig verletzt worden, da sie hier vorsätzlich und bewusst zum Spiel bei der unlimitierten und unkontrollierten Datenvermehrung im Konzern gemacht worden sei. Die Beklagte habe trotz besserer Rechtseinschätzung und trotz bestehender Treuepflichten gegenüber der Klägerin davon Abstand genommen, sich dem Übermittlungsbegehren der Schwestergesellschaft zu entziehen. Die Schadensersatzzahlung müsse geeignet sein, den Schädiger zukünftig zu vertragstreuem Verhalten anzuhalten. Der Schadensersatz nach Art. 82 DSGVO müsse eine wirklich abschreckende Wirkung entfalten. Im diesem Zusammenhang sei zu berücksichtigen, dass die Beklagte Teil eines der mächtigsten Konzerne in Deutschland sei. Selbst wenn man nicht die DRV KBS als Konzernobergesellschaft, sondern die Beklagte allein für die Frage der Bemessung eines angemessenen Schadensersatzes betrachte, sei festzuhalten, dass ein Klinikum mit weit über 1000 Angestellten und einem Umsatz in Millionenhöhe nur schwer von einer Schadensersatzzahlung zu beeindrucken sei, die unterhalb der Fühlbarkeitsschwelle bei der Bilanzerstellung liegen würde. Die Beklagte habe allein für das Jahr 2018 im Unternehmensregister einen Umsatz von 177.733.582,57 € bei einem Überschuss von 3.225.934,27 € ausgewiesen. Angesichts der vorstehenden Erwägungen müsse der Schadensersatz mindestens 10.000,00 € betragen, weil er ansonsten für die Beklagte unmerklich sei.

Die Beklagte hafte für den Datenschutzverstoß allein und nicht als Gesamtschuldnerin gemeinsam mit der AKG. Die Beklagte und die AKG hätten jeweils einen eigenen, separaten Verstoß gegen datenschutzrechtliche Vorschriften begangen.

Die Klägerin hat zuletzt beantragt,

die Beklagte zu verurteilen,

  • 1. es zukünftig zu unterlassen, ohne ihre Einwilligung folgende Daten an die A Kliniken GmbH zu übermitteln:
     

– ihren Arbeitsvertrag (ganz oder teilweise)

– ihren Namen und Vornamen

– ihr Einstellungsdatum

– das mit ihr vereinbarte Jahresbruttogehalt

– die mit ihr vereinbarten Prämien und Tantiemen

– die ihr zustehenden bzw. vereinbarten sonstigen Leistungen (Wert und Höhe p. A.),

      es sei denn, in einer anonymisierten und pseudonomysierten Form;

  • 2. sowie an sie einen angemessenen Schadensersatz für ihren immateriellen Schaden zu leisten, dessen Höhe ausdrücklich in das Ermessen des erkennenden Gerichts gestellt wird, mindestens jedoch 10.000 € zu zahlen.
     

Die Beklagte hat beantragt,

die Klage abzuweisen.

Die Beklagte hat behauptet, im Klinikverbund herrsche ein hohes Datenschutzniveau. Die AKG sei peinlich genau darauf bedacht, nur die für ihre Tätigkeit tatsächlich erforderlichen personenbezogenen Daten über Mitarbeiter der Beklagten zu erheben. Die MKSG habe für die Sicherheit der übermittelten Daten gesorgt, indem sie die Berechtigungsverwaltung im Hinblick auf diese Daten so konfiguriert habe, dass ausschließlich Herr G. Zugriff auf die erhobenen Daten habe. Dies habe die MKSG in einem Schreiben vom 17.01.2019 (Bl. 65 GA) gegenüber der AKG bestätigt. Herr G. sei auch nicht verpflichtet, die Daten gegenüber anderen Personen offen zu legen. Es bestehe insbesondere keine Auskunftspflicht gegenüber den Geschäftsführern der Verbundkliniken.

Die Zulässigkeit der Datenübermittlung sei zunächst intern durch das Referat Compliance geprüft worden. Nachdem der Personalleiter der Beklagten E. in seiner E-Mail vom 22.01.2019 Bedenken geäußert hatte, sei das Vorhaben neben einer externen rechtlichen Prüfung auch noch einmal ausführlich intern vom Referat Compliance geprüft worden.

Nachdem die Daten an die AKG übermittelt worden waren, seien diese Daten durch Herrn G. initial überprüft und nicht benötigte Daten und Vertragsbestandteile der Klägerin gelöscht worden, abhängig davon, ob konkrete Datensätze für das Ziel einer Vergleichsdatenbildung erforderlich seien oder nicht. So seien in den Arbeitsverträgen die Geburtsdaten und Anschriften der Mitarbeiter durch Schwärzungen entfernt und für die Aufgabenerfüllung der AKG nicht relevante Regelungen in den Arbeitsverträgen gelöscht worden.

Die Beklagte hat die Auffassung vertreten, dass die Übermittlung der Daten an die AKG rechtmäßig gewesen sei. Die Datenübermittlung sei zwar für die Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich gewesen. Im Rahmen des Art. 6 Abs. 1 Buchstabe f DSGVO sei dies jedoch keine Voraussetzung. Für die Weitergabe der Daten an die AKG hätte ein berechtigtes Interesse bestanden. Die Datenübermittlung an die AKG sei zum Zwecke der Vergleichsdatenbildung erfolgt, um dem Bedürfnis eines einheitlichen und nachvollziehbaren Personalwesens innerhalb der Verbundkliniken Rechnung zu tragen. Die Erhebungen im Hinblick auf das Festgehalt und variable Vergütungskomponenten stellten die Basis für die künftige Beantwortung von Genehmigungsanfragen nach § 7 Abs. 2 Buchstabe e GO-AKG bei Neueinstellungen und Nachverhandlungen dar. Der Zweck der Verarbeitung liege allein in der Herstellung homogener Arbeitsbedingungen innerhalb der Unternehmensgruppe. Die Daten würden nicht genutzt, um die weitere Gehaltsentwicklung zu bremsen. Die Datenübermittlung liege auch im Interesse der Mitarbeiter, weil ein Vergleichsdatenbestand zu mehr Lohngerechtigkeit führe. Auch hinsichtlich der Zielvereinbarungen ermögliche erst die zentrale Verwaltung eine Erfassung der Schwankungen. Auch für die Klägerin könne der Datenvergleich positive Auswirkungen haben, weil Gehaltsanpassungen immer nur nach oben denkbar seien. Das in Fallgestaltungen wie der hier vorliegenden ein berechtigtes Interesse der verantwortlichen Person vorliegen könne, folge auch aus Erwägungsgrund 48 der DSGVO. Es sei anerkannt, dass Verantwortliche, die Teil einer Unternehmensgruppe seien, ein berechtigtes Interesse haben könnten, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln.

Die Datenübermittlung sei in ihrer konkreten Ausgestaltung auch erforderlich gewesen. Die Beklagte und die AKG hätten alles getan, um die entsprechende Datenverarbeitung auf ein Minimum zu reduzieren. Eine Pseudonymisierung der Daten hätte den Interessen der Klägerin nicht weiter gedient. Aufgrund des kleinen Personenkreises, der von der Datenverarbeitung betroffen gewesen sei, wäre ein Rückschluss auf die jeweilige Person möglich gewesen. Zum Teil arbeite in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld, was auch auf die Klägerin zutreffe. Daher könne bereits durch die Angabe ihres Aufgabenbereichs auch ohne den Namen und weitere persönliche Daten eine Zuordnung erfolgen. Gleiches gelte im Hinblick auf die in den Unternehmen beschäftigten Personalleiter. Durch die Übermittlung der ungeschwärzten Verträge an Herrn G. habe verhindert werden sollen, dass Daten durcheinander geraten, insbesondere falsche Zuordnungen erfolgen. Es sei davon auszugehen, dass ein Großteil der Daten ohnehin schon bei der AKG vorhanden gewesen sei.

Die Interessen der Klägerin müssten hinter den Interessen der Beklagten an einer Weiterverarbeitung der Daten zurückstehen. Zwar sei das Recht der Klägerin auf informationelle Selbstbestimmung betroffen. Der Eingriff sei jedoch nur von geringer Qualität und bewusst abgemildert. Es habe sich um die einmalige Erhebung eines minimalen Datenbestandes gehandelt, auf die nur eine einzige Person Zugriff habe und die diese Daten ausschließlich für zukünftige Verträge nutze. Lediglich Name und Gehalt sowie etwaige Prämien seien erhoben worden. Andere personenbezogene Daten wie das Geburtsdatum oder die Adresse seien von der AKG geschwärzt worden. Zudem stelle die MKSG sicher, dass die erhobenen Daten sicher verwahrt und vor dem Zugriff Dritter geschützt werden.

Die Übermittlung der Daten an die AKG sei somit rechtmäßig gewesen. Ein Unterlassungsanspruch der Klägerin scheide daher ebenso aus wie ein Schadensersatzanspruch. Im Übrigen setze Art. 82 Abs. 1 DSGVO voraus, dass der Klägerin tatsächlich ein Schaden entstanden sei. Einen solchen immateriellen Schaden habe die Klägerin jedoch nicht nachvollziehbar dargelegt. Zudem müsse bei der Bemessung eines Schadens berücksichtigt werden, dass sich die AKG vorbildlich verhalten habe, indem sie die streitgegenständliche Datenerhebung auf einer Geschäftsführerkonferenz thematisiert, intern geprüft und unmittelbar nach dem Aufkommen von Zweifeln durch ein externes Rechtsgutachten habe prüfen lassen. Im Übrigen obliege die Sanktionierung von Datenschutzverstößen nach der Systematik der DSGVO den zuständigen Aufsichtsbehörden.

Soweit man einen Schadensersatzanspruch der Klägerin bejahe, komme eine Haftung der Beklagten allenfalls als Gesamtschuldnerin gemeinsam mit der AKG in Betracht. Nach der DSGVO hafteten mehrere Verantwortliche nach außen gemeinsam als Gesamtschuldner, wenn sie – wie im vorliegenden Fall – an derselben Verarbeitung beteiligt gewesen seien.

Mit Urteil vom 15.07.2020 hat das Arbeitsgericht der Klage überwiegend stattgegeben und die Beklagte zur Unterlassung und zur Zahlung von Schadensersatz in Höhe von 2.000,00 € verurteilt. Dies hat es im Wesentlichen wie folgt begründet: Die Datenübermittlung an die AKG unterfalle dem Anwendungsbereich der DSGVO. Sie sei nicht rechtmäßig, weil keiner der in Art. 6 Abs. 1 DSGVO genannten Tatbestände erfüllt sei. Insbesondere lasse sich die Datenverarbeitung nicht auf Art. 6 Abs.1 Buchstabe f DSGVO stützen. Es seien schon keine berechtigten Interessen der Beklagten festzustellen, weil die Übermittlung vorrangig den Interessen der AKG diene. Zudem sei die Datenübermittlung in dem vorgenommenen Umfang nicht erforderlich gewesen. Vielmehr hätte eine Datenübermittlung in anonymisierter bzw. pseudonymisierter Form ausgereicht. Durch geeignete Vorkehrungen, z.B. durch Übermittlung der Informationen in einem neutralen Umschlag, der keinen Hinweis auf den Absender beinhaltet, könne sichergestellt werden kann, dass eine Zuordnung zu einem einzelnen Unternehmen und damit einem dort beschäftigten Arbeitnehmer ausgeschlossen werde. Darüber hinaus überwögen im Streitfall die Interessen der Klägerin diejenigen der Beklagten. Daher könne die Klägerin von der Beklagten die Unterlassung vergleichbarer Übermittlungsvorgänge verlangen. Die Beklagte sei zudem gemäß Art. 82 Abs. 1 DSGVO zur Zahlung von immateriellem Schadensersatz verpflichtet. Unter Berücksichtigung der Umstände des Streitfalls sei insoweit ein Betrag von 2.000,00 € ausreichend und angemessen. Für diesen Betrag hafte die Beklagte allein und nicht als Gesamtschuldnerin mit der AKG, weil hier verschiedene Verarbeitungsvorgänge betroffen seien, einerseits die Übermittlung durch die Beklagte, andererseits die weitere Nutzung durch die AKG.

Gegen das der Beklagten am 27.08.2020 zugestellte Urteil richtet sich deren am 25.09.2020 beim Landesarbeitsgericht eingegangene Berufung, die sie mit einem am 27.10.2020 beim Landesarbeitsgericht eingegangenen Schriftsatz begründet hat. Die Berufungsbegründung wurde der Klägerin am 29.10.2020 zugestellt. Bereits mit Schriftsatz vom 07.10.2020 hatte die Klägerin Anschlussberufung eingelegt und sie hat diese innerhalb der bis zum 30.12.2020 verlängerten Berufungsbeantwortungsfrist begründet.

Die Beklagte begründet ihre Berufung unter Wiederholung und Vertiefung ihres erstinstanzlichen Vortrags im Wesentlichen wie folgt: Entgegen der Rechtsauffassung des Arbeitsgerichts habe die Beklagte die personenbezogenen Daten der Klägerin rechtmäßig verarbeitet. Rechtsgrundlage für die Datenverarbeitung sei Art. 6 Abs. 1 Buchstabe f DSGVO; andere Erlaubnistatbestände seien offensichtlich nicht einschlägig.

Die Beklagte habe ein eigenes Interesse daran, ihre Arbeitnehmer angemessen zu bezahlen, halten zu können und gleichzeitig in der Lage zu sein, qualifizierte neue Arbeitnehmer zu gewinnen. Zudem sei es im Interesse der Beklagten, wirtschaftlich zu handeln. All dies begründe das berechtigte Interesse der Beklagten, personenbezogene Daten von Mitarbeitern an die AKG zu übermitteln, um insofern nach Durchführung des Gehältervergleichs durch die AKG bei der Mitarbeiterentwicklung entsprechend agieren zu können. Die Daten müssten der Beklagten nicht unmittelbar selbst zugutekommen, um ein eigenes Interesse an der Datenverarbeitung zu begründen. Auch ein mittelbarer Nutzen, wie hier bei der Unterstützung des Personalmanagements durch die AKG, stelle ein berechtigtes Interesse dar.

Die Datenerhebung sei auch erforderlich gewesen. Eine Anonymisierung sei als milderes Mittel nicht zielführend gewesen. Die vom Arbeitsgericht gegebenen Beispiele für eine anonymisierte Übermittlung seien nicht praxistauglich. Auch die vom Arbeitsgericht durchgeführte Interessenabwägung überzeuge nicht. Zum einen stellten auch tatsächliche, wirtschaftliche und ideelle Interessen berechtigte Interessen in Sinne des Art. 6 Abs. 1 Buchstabe f DSGVO dar. Zum anderen bedeute ein Datenschutzverstoß immer einen Eingriff in das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung.

Mangels eines Verstoßes gegen die DSGVO bestehe auch kein Anspruch der Klägerin auf Schadensersatz. Sie habe auch in der Berufungsinstanz nicht nachvollziehbar dargelegt, in welcher Form ihr ein immaterieller Schaden entstanden sein soll. Für den Schadensersatz nach Art. 82 DSGVO gelte eine Erheblichkeitsschwelle, die hier nicht überschritten sei. Jedenfalls trügen die Ausführungen des Arbeitsgerichts nicht die von ihm festgesetzte Höhe des Schadensersatzes. Es sei zu berücksichtigen, dass die Beklagte nicht schuldhaft gehandelt habe. Sie sei insbesondere aufgrund des eingeholten Rechtsgutachtens der Überzeugung gewesen, rechtmäßig zu handeln. Dieses Gutachten habe hinsichtlich der Heranziehung des berechtigten Interesses sowie des Konzernprivilegs als Rechtsgrundlage zwar nicht vorbehaltlose Zustimmung geäußert. Dies beruhe jedoch auf dem Umstand, dass zu dem konkreten Vorhaben noch keine gerichtlichen Entscheidungen ergangen seien. Ausgehend von diesem Sachverhalt hätten die Beklagte und die AKG sich im Hinblick auf die streitgegenständliche Datenverarbeitung eine vertretbare Rechtsauffassung gebildet. Gleichzeitig seien Vorkehrungen getroffen worden, um die Daten so sicher wie möglich zu verwahren. Insbesondere die eingerichteten  Zugriffsbeschränkungen und die Betreuung der IT-Infrastruktur durch die MKSG belegten das Ziel der Beklagten und der AKG, Datensicherheit zu gewährleisten. Die zahlreichen zugunsten der Beklagten sprechenden Aspekte (einmaliger Verstoß, nachvollziehbarer Anlass, keine Weitergabe an außenstehende Dritte, kein vorsätzliches Handeln, keine Nachteile auf Seiten der Beklagten) sprächen alle gegen ein Schmerzensgeld in der vom Arbeitsgericht festgelegten Höhe.

Eine Haftung der Beklagten käme schließlich allenfalls als Gesamtschuldnerin gemeinsam mit der AKG in Betracht. Die Datenerhebung bei der Klägerin, die Weitergabe an die AKG sowie die Speicherung und Nutzung durch die AKG stellten rechtlich gesehen einen einzigen Verarbeitungsvorgang dar.

Die Beklagte beantragt,

das Urteil des Arbeitsgerichts Herne vom 15.07.2020 – 1 Ca 982/19 – teilweise abzuändern und die Klage insgesamt abzuweisen.

Die Klägerin beantragt,

  • 1. die Berufung zurückzuweisen;
     
  • 2. im Wege der Anschlussberufung das Urteil des Arbeitsgerichts Herne vom 15.07.2020 – 1 Ca 982/19 – teilweise abzuändern und die Beklagte über die vom Arbeitsgericht zugesprochene Summe hinaus zu verurteilen, an die Klägerin einen angemessenen Schadensersatz für den immateriellen Schaden der Klägerin zu zahlen, dessen Höhe in das Ermessen des erkennenden Gerichts gestellt wird, den Betrag von 10.000,00 € jedoch nicht unterschreiten sollte.

 

Die Beklagte beantragt,

die Anschlussberufung zurückzuweisen.

Die Klägerin wiederholt und vertieft ihre erstinstanzlichen Ausführungen und führt ergänzend aus: Zutreffend habe das Arbeitsgericht festgestellt, dass die Verarbeitung der personenbezogenen Daten der Klägerin nicht rechtmäßig gewesen sei. Es bestehe schon kein berechtigtes Interesse der Beklagten oder der AKG an der Übermittlung der streitgegenständlichen Daten. Für das von der Beklagten vorgegebene Ziel würde die Erhebung von pseudonymisierten oder anonymisierten Daten genügen. Auch die Übermittlung von aggregierten Zahlen würde ausreichen. Die vom Arbeitsgericht durchgeführte Interessenabwägung sei ebenfalls nicht zu beanstanden. Die Klägerin habe ein berechtigtes Interesse an der Geheimhaltung ihrer Daten.

Das Arbeitsgericht habe die Beklagte auch zu Recht zur Zahlung von Schadensersatz verurteilt. Die Höhe der vom Arbeitsgericht zugesprochenen Summe sei jedoch mit den Vorgaben des europäischen Verordnungsgebers nicht vereinbar. Der Schadensersatz nach Art. 82 DSGVO müsse wirksam, verhältnismäßig und abschreckend sein. Dies folge auch aus der Wertung des Art. 83 Abs. 5 DSGVO. Trotz besserer Rechtseinschätzung und trotz bestehender Treuepflichten gegenüber der Klägerin habe die Beklagte davon Abstand genommen, sich dem Begehren der Schwestergesellschaft zu entziehen. Die Beklagte habe die Informationen an die AKG weitergegeben, ohne vorab den Versuch zu unternehmen, eine Einwilligung zu erhalten oder ihr die Möglichkeit zu geben, der Maßnahme zu widersprechen. Angesichts dieser Aspekte müsse als Schadensersatz ein für die Beklagte fühlbarer Betrag zugesprochen werden, den die Klägerin mit 10.000,00 € schon am untersten Rand dessen bemessen habe, was für die Beklagte überhaupt fühlbar sei.

Es liege auch keine Gesamtschuld vor, weil hier zwei separate Verstöße vorlägen: zum einen die Herausgabe der Daten durch die Beklagte, zum anderen die dauerhafte Weiterverarbeitung dieser Daten durch die AKG.

Wegen des weiteren Sach- und Rechtsvortrags der Parteien wird auf die gewechselten Schriftsätze nebst Anlagen und die ausweislich der Sitzungsprotokolle abgegebenen Erklärungen ergänzend Bezug genommen.

Entscheidungsgründe

A.               Die Berufung der Beklagten ist zulässig, aber unbegründet.

I.              Die Klage ist zulässig.

1.               Der Klageantrag zu 1) ist zulässig, insbesondere hinreichend bestimmt iSd.§ 253 Abs. 2 Nr. 2 ZPO.

a)              Ein Unterlassungsantrag muss eindeutig erkennen lassen, was vom Schuldner verlangt wird. Soll der Schuldner zur zukünftigen Unterlassung einzelner Handlungen verpflichtet werden, müssen diese so genau bezeichnet sein, dass kein Zweifel besteht, welches Verhalten im Einzelnen betroffen ist. Für den Schuldner muss aufgrund des Unterlassungstitels erkennbar sein, welche Handlungen oder Äußerungen er künftig zu unterlassen hat, um sich rechtmäßig verhalten zu können. Die Prüfung, welche Maßnahmen der Schuldner vorzunehmen oder zu unterlassen hat, darf grundsätzlich nicht in das Vollstreckungsverfahren verlagert werden (BAG 22.01.2020 – 7 ABR 18/18 – Rn. 14).

b)              Der Klageantrag zu 1) genügt diesen Anforderungen. Er enthält die einzelnen Daten, deren Übermittlung der Beklagten untersagt werden soll. Darüber hinaus lässt er auch die Bedingungen erkennen, unter denen die grundsätzliche Unterlassungspflicht nicht bestehen soll, nämlich bei Einwilligung der Klägerin sowie im Falle der Übermittlung der Daten in anonymisierter bzw. pseudonymisierter Form. Die Anforderungen an eine Einwilligung und eine Pseudonymisierung ergeben sich aus der VO (EU) 2016/679 (Datenschutz-Grundverordnung; fortan: DSGVO), insbesondere aus Art. 4 Nr. 5 und 11 DSGVO. Auch der Begriff der Anonymisierung ist hinreichend konkret. Er beinhaltet das Verändern personenbezogener Daten derart, dass die hinter den Angaben stehende betroffene Person nicht bzw. nicht mehr identifiziert werden kann (vgl. Erwägungsgrund 26 Satz 5 und 6 DSGVO).

2.              Auch der Klageantrag zu 2) ist zulässig und insbesondere hinreichend bestimmt iSd. § 253 Abs. 2 Nr. 2 ZPO. Wenn dem Gericht bei der Bestimmung der Höhe der Entschädigung ein Ermessenspielraum eingeräumt ist, ist eine Bezifferung des Zahlungsantrags nicht notwendig (BAG 27.08.2020 – 8 AZR 45/19 – Rn. 16 mwN.). Erforderlich ist allein, dass der Kläger Tatsachen, die das Gericht bei der Bestimmung des Betrags heranziehen soll, benennt und die Größenordnung der geltend gemachten Forderung angibt (BAG 14.11.2013 – 8 AZR 997/12 – Rn. 16). Diesen Anforderungen genügt die Antragstellung der Klägerin. Sie hat mit 10.000,00 € eine Größenordnung der Forderung angegeben und in der Begründung vorgetragen, auf welche Tatsachen bei der Bemessung der Höhe des Schadensersatzes abzustellen ist.

II.               Die Klage ist in dem vom Arbeitsgericht ausgeurteilten Umfang auch begründet.

1.               Die Klägerin hat gegen die Beklagte einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten an die AKG. Der Anspruch folgt aus § 1004 Abs. 1 BGB, § 823 Abs. 2 Satz 1 BGB iVm. Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO.

a)              Nach allgemeinen Grundsätzen kann in entsprechender Anwendung des § 1004 Abs. 1 BGB die Unterlassung objektiv rechtswidriger Eingriffe in geschützte Rechtsgüter im Sinne des § 823 Abs. 2 Satz 1 BGB verlangt werden. Demnach ist derjenige, der gegen ein den Schutz eines anderen bezweckendes Gesetz im Sinne des § 823 Abs. 2 Satz 1 BGB verstößt, dem anderen entsprechend § 1004 Abs. 1 BGB zur Unterlassung verpflichtet. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Unterlassungspflicht – anders als die Ersatzpflicht (§ 823 Abs. 2 Satz 2 BGB) – auch ohne ein Verschulden des Verletzers ein (BGH 17.07.2008 – I ZR 219/05 – Rn. 13; Grüneberg/Sprau BGB 81. Aufl. Einf. v. § 823 Rn. 27ff.).

b)              Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO sind Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB.

aa)              Eine Rechtsnorm ist ein Schutzgesetz iSd. § 823 Abs. 2 BGB, wenn sie zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen. Dafür kommt es nicht auf die Wirkung, sondern auf Inhalt und Zweck des Gesetzes sowie darauf an, ob der Gesetzgeber bei Erlass des Gesetzes gerade einen Rechtsschutz, wie er wegen der behaupteten Verletzung in Anspruch genommen wird, zugunsten von Einzelpersonen oder bestimmten Personenkreisen gewollt oder doch mitgewollt hat. Es genügt, dass die Norm auch das Interesse des Einzelnen schützen soll, mag sie auch in erster Linie dasjenige der Allgemeinheit im Auge haben. Nicht ausreichend ist aber, dass der Individualschutz durch Befolgung der Norm nur als ihr Reflex objektiv erreicht wird; er muss vielmehr im Aufgabenbereich der Norm liegen (BGH 25.05.2020 – VI ZR 252/19 – Rn. 73 mwN).

bb)              Gemäß Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in den Buchstaben a bis f aufgeführten Bedingungen erfüllt ist. Die zitierten Bestimmungen dienen dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (vgl. Art. 1 Abs. 1 DSGVO). Der in ihnen zum Ausdruck kommende Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten schützt gemeinsam mit den anderen in Art. 5 DSGVO niedergelegten Grundsätzen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (vgl. Art. 1 Abs. 2 DSGVO). Dass dieser Schutz im Aufgabenbereich der Normen liegt, wird auch aus den Erwägungsgründen (fortan: EG) der DSGVO deutlich: Gemäß EG 2 DSGVO sollen durch die Grundsätze zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten  – zu diesen gehört nach EG 39 Satz 1 DSGVO auch der hier maßgebliche Grundsatz der Rechtmäßigkeit der Verarbeitung – gewährleistet werden, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Art. 5 Abs. 1 Buchstabe a Var. 1 und  Art. 6 Abs. 1 DSGVO sind daher als Schutzgesetze iSd. § 823 Abs. 2 Satz 1 BGB einzuordnen (im Ergebnis ebenso Frenzel in Paal/Pauly DSGVO 3. Aufl. Art. 6 Rn. 2; zur Einordnung von Regelungen des BDSG als Schutzgesetze vgl.  BGH 24.07.2018 – VI ZR 330/17 – Rn. 30; 27.02.2018 – VI ZR 489/16 – Rn. 42).

c)              Der Anwendungsbereich der DSGVO ist eröffnet (Art. 2 DSGVO). Die von der AKG angefragten Informationen über die Klägerin stellen personenbezogene Daten iSd. Art. 4 Nr. 1 DSGVO dar. Durch die Übermittlung an die AKG hat die Beklagte diese Daten iSv. Art. 4 Nr. 2 DSGVO verarbeitet. Es liegt auch eine zumindest teilweise automatisierte Verarbeitung vor, weil die Daten per E-Mail übermittelt wurden (vgl. Ernst in Paal/Pauly DSGVO 3. Aufl. Art. 2 Rn. 5). Zudem ist davon auszugehen, dass die AKG die übermittelten Daten zur Vergleichsbildung in einem Dateisystem iSd. Art. 4 Nr. 6 DSGVO gespeichert hat. Ein Ausnahmetatbestand nach Art. 2 Abs. 2 DSGVO liegt im Streitfall nicht vor.

d)               Die Beklagte ist im Hinblick auf die streitgegenständliche Datenübermittlung „Verantwortlicher“  iSd. Art. 4 Nr. 7 DSGVO, weil ihr die Entscheidungsgewalt über die Daten oblag und sie über das Ob und den Umfang der Datenübermittlung entschied (vgl LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 45; EuArbRK/Franzen 4. Aufl. Art. 4 DSGVO Rn. 12; Hartung in Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13; Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien 4. Aufl. Art. 4 DSGVO Rn. 18). Die Beklagte war damit gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO verantwortlich.

e)              Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO („Grundsatz der Rechtmäßigkeit der Verarbeitung“) vor. Keiner der in Art. 6 Abs. 1 Buchstabe a bis f genannten Tatbestände ist im Streitfall erfüllt.

aa)              Eine Einwilligung der Klägerin iSv. Art. 6 Abs. 1 Buchstabe a DSGVO liegt nicht vor. Auch die Tatbestände in Art. 6 Abs. 1 Buchstabe c, d und e kommen hier als Rechtsgrundlage erkennbar nicht in Betracht.

bb)              Die Beklagte kann die Verarbeitung auch nicht auf § 26 BDSG stützen, der als speziellere Vorschrift Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext verdrängt.

(1)              § 26 BDSG stellt eine spezifischere Vorschrift iSv. Art. 88 DSGVO dar, welche ihrerseits den Erlaubnistatbestand des Art. 6 Abs. 1 Buchstabe b DSGVO im Beschäftigungskontext konkretisiert. Demnach verdrängt § 26 BDSG in seinem Anwendungsbereich die Regelung des Art. 6 Abs. 1 Buchstabe b DSGVO (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 74; ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f. mwN; HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Einl. DSGVO Rn. 64; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49f.). Demgegenüber bleiben die übrigen Tatbestände des Art. 6 Abs. 1 DSGVO weiterhin anwendbar (ErfK/Franzen 22. Aufl. § 26 BDSG Rn. 4f.; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 101; Gräber/Nolden in: Paal/Pauly DSGVO 3. Aufl. § 26 BDSG Rn. 10).

(2)              Die Verarbeitung ist nicht nach § 26 Abs. 1 BDSG gerechtfertigt.

(a)              Nach dieser Vorschrift dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind (vgl. HWK/Lembke Arbeitsrecht Kommentar 9. Aufl. Art. 88 DSGVO Rn. 29; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 114).

(b)              Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Klägerin nicht erforderlich. Die AKG ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Klägerin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der AKG vorgenommen. Das Arbeitsverhältnis weist auch keinen anderweitigen Konzernbezug auf (vgl. hierzu allg. Gola in: Gola/Heckmann BDSG 13. Aufl. § 26 Rn. 92; BeckOK DatenschutzR/Riesenhuber, 37. Ed. § 26 BDSG Rn. 183; Gola in: Gola DSGVO 2. Aufl. Art. 6 Rn. 104). Insbesondere ist ein konzernweiter Einsatz der Klägerin nicht vorgesehen; die Versetzungsklausel in § 1 Abs. 5 des Arbeitsvertrags beschränkt den Einsatz auf andere Orte „innerhalb des Unternehmens“. Auch die Beklagte hat nicht behauptet, sie sei zur Durchführung des Arbeitsverhältnisses mit der Klägerin auf die Übermittlung der Daten angewiesen. Sie hat vielmehr geltend gemacht, eine Übermittlung der Daten an die AKG sei für interne Verwaltungszwecke, nämlich zur Schaffung einer einheitlichen Vergütungsstruktur im Konzern, erforderlich.

(3)              Die Verarbeitung ist auch nicht nach § 26 Abs. 4 BDSG gerechtfertigt. Zwar existiert die BV LNT. Die hier im Streit stehende Datenübermittlung erfolgte jedoch nicht unter Nutzung der Software, auf die sich die BV LNT bezieht, sondern per E-Mail.

cc)              Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO  gerechtfertigt.

aa)              Nach dieser Bestimmung ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ob die Voraussetzungen der Norm erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20 – Rn. 75; Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146).

(1)              Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Zu den berechtigten Interessen des Verantwortlichen oder Dritten zählen neben rechtlichen auch tatsächliche, wirtschaftliche oder ideelle Interessen, nicht jedoch bloße Allgemeininteressen (Buchner/Petri in: Kühling/Buchner, Art. 6 DS-GVO Rn. 146 f.). Die in den EG 47–50 der DSGVO genannten Beispiele berechtigter Interessen wie unter anderem die Verarbeitung im Rahmen einer konzerninternen Übermittlung (EG 48 Satz 1 DSGVO) zeigen, dass vielfältige und unterschiedlich bedeutsame berechtigte Interessen berücksichtigungsfähig sind (BGH 12.07.2018 – III ZR 183/17 – Rn. 76).

(2)              Sind die Interessen, die mit einer Datenverarbeitung verfolgt werden, grundsätzlich als berechtigte Interessen einzustufen, ist in einem weiteren Schritt zu klären, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Der EuGH hat im Hinblick auf das Kriterium der Erforderlichkeit darauf hingewiesen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. zur Vorgängerregelung in Art. 7 Buchst. f der RL 95/46/EG EuGH 11.12.2019 – C-708/18 –Rn. 46; 04.05.2017 – C-13/16 – Rn. 30). Das Gericht hat im Einzelfall zu prüfen, ob das berechtigte Interesse des Verantwortlichen nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, vernünftigerweise ebenso wirksam erreicht werden kann (EuGH 11.12.2019 – C-708/18 – Rn. 46). Entsprechende Anhaltspunkte für das Kriterium der Erforderlichkeit finden sich auch in EG 39 DSGVO: Nach dessen Satz 7 soll die Verarbeitung der personenbezogen Daten auf das für sie notwendige Maß beschränkt sein. Satz 9 bestimmt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Die Datenverarbeitung ist daher erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (BGH 12.7.2018 – III ZR 183/17 – Rn. 82; ebenso zum Begriff der Erforderlichkeit in Art. 6 Abs. 1 Buchstabe c und e DSGVO BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 31).

(3)              Schließlich ist zu prüfen, ob die Interessen, Grundrechte oder Grundfreiheiten des Betroffenen, die den Schutz personenbezogener Daten erfordern, die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen.

(a)              Der Maßstab für die vorzunehmende Abwägung folgt aus den in Art. 1 und Art. 5 DSGVO genannten Grundsätzen und Leitprinzipien unter Berücksichtigung der Wertmaßstäbe der Grundrechtecharta und des übrigen Primärrechts. Dabei sind unter anderem die relevanten Grundrechtsbezüge, die Eingriffsintensität, die Art der verarbeiteten Daten, die Art der Betroffenen, mögliche Aufgaben oder Pflichten und die Zwecke der Datenverarbeitung zu berücksichtigen (BGH 12.07.2018 – III ZR 183/17 – Rn. 86 mwN.). Dabei geht es im Kern um einen Ausgleich zwischen den Privatheitsinteressen des Betroffenen einerseits und den Verwendungsinteressen der Verantwortlichen bzw. Dritten andererseits im konkreten Einzelfall (BGH 12.07.2018 – III ZR 183/17 – aaO). Es sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen und gegenüberzustellen (BGH 12.07.2018 – III ZR 183/17 – aaO).

(b)              Im Rahmen der Abwägung sind auch die Erwägungsgründe zur Güterabwägung nach der DSGVO zu berücksichtigen (BGH 12.07.2018 – III ZR 183/17 – Rn. 87 mwN; Auernhammer/Kramer, Art. 6 DS-GVO Rn. 37). Bedeutung hat hierbei insbesondere EG 47 Satz 1 DSGVO, der als wichtigen Gesichtspunkt der Interessenabwägung „die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“ nennt. Insoweit ist auch zu berücksichtigen, ob die „betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“ (EG 47 Satz 3 DSGVO). Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen (EG 47 Satz 4 DSGVO). Maßgebend ist ein objektivierter Maßstab, d.h. welche Erwartungen ein vernünftiger Dritter in der Person des Betroffenen hätte (BGH 12.07.2018 – III ZR 183/17 – aaO mwN).

Nach EG 48 DSGVO können Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Ob ein solches berechtigtes Interesse an der Übermittlung im Konzern vorliegt, ist eine Frage des Einzelfalls (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 196; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 26).

(4)              Die Frage der Zulässigkeit einer Datenverarbeitung aufgrund von berechtigten Interessen des Verantwortlichen oder eines Dritten ist von den konkreten Umständen des betroffenen Einzelfalls abhängig und dementsprechend auch einzelfallbezogen zu ermitteln und zu beurteilen (vgl. zur Vorgängerregelung in Art. 7 Buchstabe f der RL 95/46/EG EuGH 19.10.2016 – C-582/14 – Rn- 62; BGH 12.07.2018 – III ZR 183/17 – Rn. 75)

bb)              Die Voraussetzungen des Art. 6 Abs. 1 Buchstabe f DSGVO liegen im Streitfall nicht vor.

(1)              Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Beklagten, der AKG und der DRV KBS an der Übermittlung der Gehaltsdaten der Klägerin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse iSd. Vorschrift. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch EG 48 Satz 1 DSGVO grundsätzlich anerkannt.

Dieses berechtigte Interesse hat zum einen die AKG als „Dritter“ iSd. Vorschrift, weil sie die übermittelten Daten unmittelbar für die genannten Ziele nutzen kann. Daneben besteht auch ein eigenes berechtigtes Interesse der Beklagten an der Verarbeitung. Den bezweckten Gehältervergleich kann sie zwar nicht unmittelbar selbst nutzen, weil sie nach eigenem Vortrag keinen Zugriff auf die Daten hat. Die Verarbeitung kommt ihr aber jedenfalls mittelbar zugute, indem die Erkenntnisse bei zukünftigen Vertragsabschlüssen und – änderungen, die gemäß § 7 Abs. 2 Buchstabe e GO-AKG jeweils der Zustimmung der AKG bedürfen, zu ihren Gunsten Berücksichtigung finden. Ein durch Art. 6 Abs. 1 Buchstabe f DSGVO geschütztes Interesse an der Schaffung konzernweit einheitlicher Vergütungsstrukturen hat schließlich auch die DRV KBS als Konzernobergesellschaft.

(2)              Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Klägerin hätten in pseudonymisierter Form übermittelt werden können.

(a)              Der Zweck der Verarbeitung bestand nach dem Vorbringen der Beklagten darin, einen Überblick über das aktuelle Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu erhalten, um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), der Funktion des jeweiligen Beschäftigten und seiner Organisationseinheit erforderlich. Die weiteren von der Beklagten übermittelten Daten der Klägerin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich. Denn auch ohne diese Daten könnte die AKG das Gehaltsgefüge vergleichbarer AT-Mitarbeiter in den Verbundkliniken feststellen und in der Zukunft für homogene Arbeitsbedingungen sorgen. Dass die Beklagte mehr Daten übermittelte, als zur Erreichung des Zwecks erforderlich waren, belegt auch der Umstand, dass die AKG nach dem Vortrag der Beklagten unmittelbar nach Erhalt der Daten einige dieser Daten wieder löschte und auf den Arbeitsverträgen schwärzte. Soweit die Beklagte zur Rechtfertigung  dieses Vorgehens  vorbringt, es habe verhindert werden sollen, dass „Daten durcheinander geraten“ und „falsche Zuordnungen“ erfolgen, ist dies für die Berufungskammer nicht nachvollziehbar. Eine ordnungsgemäße Nutzung und Einordnung der Daten für den angestrebten Zweck wäre ohne weiteres auch dann möglich gewesen, wenn nur die notwendigen, oben aufgeführten Daten übermittelt worden wären. In diesem Fall hätten die Gehaltsdaten der Klägerin nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können (vgl. zum Begriff der Pseudonomysierung Art. 4 Nr. 5 DS-GVO).

(b)               Die Beklagte hat eingewandt, dass eine derart eingeschränkte Datenübermittlung nicht zielführend sei. Da nur ein kleiner Personenkreis von der Datenverarbeitung betroffen sei und zum Teil in den einzelnen Unternehmen nur jeweils eine Person mit einem entsprechenden Tätigkeitsfeld arbeite, was auch auf die Klägerin zutreffe, könnten die Gehaltsdaten der Klägerin auch ohne Mitteilung des Namens und weiterer persönlicher Daten zugeordnet werden. Dieser Einwand greift nicht durch. Zum einen handelt es sich nicht um einen kleinen Personenkreis, sondern um 156 Mitarbeiter, davon 21 bei der Beklagten. Für die Kammer ist zudem nicht nachvollziehbar, wie die Identität der Klägerin ohne weitere Informationen herausgefunden werden könnte, wenn lediglich ihre Gehaltsdaten, ihre Funktion und ihre Organisationseinheit mitgeteilt würden. Da keine weiteren Daten, insbesondere auch nicht die Konzerngesellschaft und das Krankenhaus, in dem die Klägerin beschäftigt ist, übermittelt werden müssen, handelte es sich, selbst wenn die Position der Klägerin in jeder Klinikgesellschaft  nur einmal vorhanden wäre, um einen Kreis von dann immerhin sechs Personen. Aber selbst wenn eine Identifizierung der Klägerin auch bei einer Datenübermittlung in dem oben dargelegten, eingeschränkten Umfang noch (theoretisch) möglich wäre, wäre die Identifizierung jedenfalls erheblich erschwert, weil diese erst unter Zuhilfenahme anderer Informationsquellen durchgeführt werden könnte. Durch eine solche Pseudonymisierung würden die datenschutzrechtlichen Risiken für die Klägerin folglich gesenkt (vgl. EG 29 Satz 1 DSGVO). Zudem entspräche ein solches Vorgehen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Eine pseudonymisierte Übermittlung  der Gehaltsdaten würde daher in jedem Fall weniger stark in die Grundrechte der Klägerin eingreifen, den von der Beklagten erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.

(3)               Zudem überwiegen im Streitfall die Interessen der Klägerin die Interessen der Beklagten und der anderen Unternehmen ihrer Unternehmensgruppe.

(a)              Auf Seiten der Klägerin ist das Grundrecht aus Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (fortan: GRC) auf Schutz ihrer personenbezogenen Daten zu berücksichtigen, das auch in Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (fortan: AEUV) zum Ausdruck kommt. Dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dient auch die DSGVO (vgl. § 1 Abs. 2 DSGVO, EG 1 und 2 DSGVO). Die Bedeutung des durch Art. 8 GRC gewährleisteten Grundrechts wird durch den EuGH hervorgehoben (vgl. EuGH 06.10.2015 – C-362/14 – Rn. 39 mwN).

(b)              Das berechtigte Interesse der Beklagten, der AKG und der DRV KBS an einer Vergleichsdatenbildung zur Schaffung einer konzernweit einheitlichen Vergütungsstruktur betrifft ihre Wirtschafts- und Geschäftstätigkeit, die als Bestandteil der unternehmerischen Freiheit durch Art. 16 GRC geschützt wird (vgl. (EuArbRK/Schubert 4. Aufl. Art. 16 GRC Rn. 9). Dieses berechtigte Interesse könnte allerdings in gleicher Weise verwirklicht werden, wenn die Daten in geringerem Umfang und in pseudonymisierter Form verarbeitet worden wären. Stellt man Art und Umfang der übermittelten Daten dem mit der Datenverarbeitung verfolgten Zweck gegenüber, zeigt sich, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging (s.o.).

(c)              Die Beklagte hat den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) und die aus ihm folgenden Informationspflichten nicht beachtet. Sie ist ihrer Hinweispflicht aus Art. 13 Abs. 3 DSGVO nicht nachgekommen.

(aa)              Die Übermittlung der Daten an die AKG stellt eine Zweckänderung iSd. Art. 13 Abs. 3 DSGVO dar. Zuvor wurden die Daten der Klägerin ausschließlich „für Zwecke des  Beschäftigungsverhältnisses“ (§ 10 Abs. 3 Arbeitsvertrags) verarbeitet. Nun sollten die Daten für einen anderen Zweck, nämlich für die Erstellung einer konzernweiten Vergleichsdatenbank über die Gehälter der AT-Mitarbeiter, genutzt werden.

(bb)              Zu den nach Art. 13 Abs. 3 DSGVO zu erteilenden Informationen gehört auch die Unterrichtung über das Bestehen eines Widerspruchsrechts gegen die Verarbeitung (Art. 13 Abs. 2 Buchstabe b DSGVO). Ein solches steht der betroffenen Person gemäß Art. 21 Abs. 1 DSGVO auch im Hinblick auf die Verarbeitung sie betreffender personenbezogener Daten aufgrund von Art. 6 Abs. 1 Buchstabe f DSGVO zu. Die Unterrichtung nach Art. 13 Abs. 3 DSGVO hat bereits zu erfolgen, wenn der Verantwortliche eine Weiterverarbeitung für einen anderen Zweck „beabsichtigt“. Er muss die Informationen der betroffenen Person also vor der Weiterverarbeitung zu dem geänderten Zweck mitteilen. Die betroffene Person muss tatsächlich in der Lage sein, aufgrund der Informationen ggf. noch vor der Weiterverarbeitung Einwände zu erheben (Bäcker in: Kühling/Buchner DSGVO 3. Aufl. Art. 13 Rn. 78; Franck in: Gola DSGVO 2. Aufl. Art. 13 Rn. 36; EuArbRK/Franzen 4. Aufl. Art. 13 DSGVO Rn. 6). Die Verpflichtung nach Art. 13 Abs. 3 DSGVO trifft den Verantwortlichen, der die Daten erhoben hat und nun zu dem veränderten Zweck weiterverarbeiten will. Irrelevant ist, welche Verarbeitungsschritte der Verantwortliche durchführen will und in wessen Interesse die Zweckänderung liegt. Insbesondere entstehen die Informationspflichten nach Art. 13  Abs. 3 DSGVO auch, wenn der Verantwortliche beabsichtigt, die Daten an einen Dritten zu übermitteln, der die Daten anschließend zu einem anderen Zweck weiterverarbeiten soll (Bäcker in: Kühling/Buchner 3. Aufl. Art. 13 DSGVO Rn. 70).

(cc)              Im Streitfall war die Beklagte als Verantwortliche verpflichtet, die Klägerin gemäß Art. 13 Abs. 3 DSGVO zu unterrichten; Ausnahmetatbestände  (Art. 13 Abs. 4 DSGVO, § 32 Abs. 1 BDSG) lagen offensichtlich nicht vor. Eine Information nach Art. 13 Abs. 3 DSGVO ist jedoch nicht erfolgt. Die Klägerin wurde durch die am 15.03.2019 um 09:30 Uhr versandte E-Mail des Personalleiters der Beklagten E. (Bl. 26 GA) lediglich auf die Weiterleitung ihrer Daten an die AKG hingewiesen, die bereits wenige Stunden später, nämlich um 16:01 Uhr (Bl. 176 GA) stattfand. Abgesehen davon, dass sich die Klägerin am 15.03.2019 im Urlaub befand und die E-Mail somit vor der Weiterverarbeitung gar nicht zur Kenntnis nehmen konnte, enthält die E-Mail auch keine der in Art. 13 Abs. 3 DSGVO vorgesehenen Informationen. Insbesondere wurde die Klägerin weder auf die Rechtsgrundlage der Verarbeitung (Art. 6 Abs. 1 Buchstabe f DSGVO) noch auf ihr Widerspruchsrecht hingewiesen. Aufgrund dieser verspäteten und inhaltlich unzureichenden Unterrichtung  war die Klägerin nicht in der Lage, gegen die Verarbeitung Einwände zu erheben und ihre in der DSGVO vorgesehenen Rechte, insbesondere ihr Widerspruchsrecht aus Art. 21 Abs. 1 DSGVO, geltend zu machen. Sogar nachdem die Beklagte im Nachgang von der Klägerin mit Schreiben vom 08.04.2019 (Bl. 27f. GA) aufgefordert worden war, ihr Auskunft über Inhalt, Umfang und Empfänger der weitergegebenen Daten zu erteilen, hat die Beklagte diese Auskünfte nicht erteilt. Die Klägerin erhielt als Reaktion lediglich ein Schreiben der AKG (Bl. 29 ff. GA), aus dem zudem nicht sämtliche Daten der Klägerin ersichtlich waren, die an die AKG übermittelt worden waren. Die Beklagte hat ihre Informationspflichten somit nachhaltig nicht erfüllt und damit das – auch grundrechtlich geschützte (§ 8 Abs. 2 Satz 2 GRC) – Recht der Klägerin auf Auskunft über die sie betreffenden Daten beeinträchtigt, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war.

(d)              Die Datenübermittlung entsprach in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO). Wie oben dargelegt, übermittelte die Beklagte der AKG mehr Daten, als für die Erreichung des verfolgten Zwecks erforderlich waren. Bedenklich ist in diesem Zusammenhang auch der erstinstanzliche Vortrag der Beklagten, es sei davon auszugehen, dass ein Großteil der Daten bei der AKG ohnehin schon vorhanden gewesen sei.

(e)              Die Klägerin musste nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Gemäß § 10 Abs. 3 des Arbeitsvertrags sollten ihre Daten nur für Zwecke des Arbeitsverhältnisses mit der Beklagten genutzt werden. Die Klägerin war auch nicht gemäß Art. 13 Abs. 3 DSGVO über die beabsichtigte Weiterverarbeitung ihrer Daten zu einem geänderten Zweck unterrichtet worden. Bei dieser Sachlage konnte ein vernünftiger Dritter in der Person der Klägerin davon ausgehen, dass die Daten – wie auch in der Vergangenheit – ausschließlich für die Durchführung des Arbeitsverhältnisses genutzt werden. Er musste vernünftigerweise nicht mit einer Verarbeitung zu einem anderen Zweck rechnen, was ebenfalls für ein Überwiegen der Interessen der Klägerin spricht (vgl. EG 47 Satz 4 DSGVO).

(f)              Bei den übermittelten Daten handelt es sich nicht um solche im Sinne des Art. 9 Abs. 1 DSGVO. Allerdings sind es Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (BAG 15.07.1987 – 5 AZR 215/86 – zu I 2 der Gründe). Mittlerweile ist die AKG aufgrund der rechtskräftigen Entscheidung des OLG Hamm vom 31.08.2021 zur Löschung der Daten verpflichtet. Im Zeitpunkt der Datenverarbeitung, der für die Durchführung der Interessenabwägung im Rahmen des Art. 6 Abs. 1 Buchstabe f DSGVO maßgeblich ist (vgl. auch EG 47 Satz 3 DSGVO), bestand jedoch die Möglichkeit, dass sich die Übermittlung zum Nachteil der Klägerin auswirken würde. Zwar war nicht davon auszugehen, dass die Beklagte aufgrund der gewonnenen Vergleichsdaten bereits vereinbarte Gehälter zu reduzieren versuchen würde. Es war aber denkbar, dass die AKG ihre nach § 7 Abs. 2 Buchstabe e GO-AKG erforderliche Zustimmung zu Gehaltserhöhungen in bestimmten Fällen überhaupt nicht oder nur mit zeitlicher Verzögerung geben würde, weil der betroffene Arbeitnehmer bereits eine vergleichbar hohe Vergütung erhält. Abhängig von der Position der Klägerin im konzernweiten Gehaltsgefüge hätte auch sie von einer solchen Praxis betroffen sein können.

dd)              Art. 6 Abs. 4 DSGVO kann die Datenübermittlung an die AKG ebenfalls nicht rechtfertigen.

(1)              Zwar liegt im Streitfall eine Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, vor (s.o.). Die Klägerin hat in diese jedoch nicht eingewilligt. Die Datenübermittlung beruht auch nicht auf einer Rechtsvorschrift  zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele iSv. § 6 Abs. 4 DSGVO. Die Voraussetzungen des § 24 Abs. 1 BDSG liegen ebenfalls nicht vor.

(2)              In einem solchen Fall berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien. Der Rechtscharakter dieser Regelung wird uneinheitlich beurteilt. Nach einer Ansicht ist sie als ein Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung personenbezogener Daten einzuordnen. Wenn die Voraussetzungen der Regelung vorliegen, bedarf es danach für die Zulässigkeit der Weiterverarbeitung keiner gesonderten Rechtsgrundlage iSv. Art. 6 Abs. 1 DSGVO. Ausreichend soll dann vielmehr gemäß EG 50 Satz 2 DSGVO der ursprüngliche Legitimationstatbestand für die Datenerhebung sein (Schulz in: Gola DSGVO 2. Aufl. Art. 6 Rn. 210 mwN; EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 14). Nach der Gegenansicht beschränkt sich die Funktion des Art. 6 Abs. 4 DSGVO auf einen Kompatibilitätstest. Danach bedarf auch eine nach Abs. 4 zweckkompatible Weiterverarbeitung von Daten darüber hinaus stets zusätzlich noch einer entsprechenden Rechtsgrundlage iSd. Art. 6 Abs. 1 DSGVO (Buchner/Petri in: Kühling/Buchner DSGVO 3. Aufl. Art. 6 Rn. 182ff. mwN; BeckOK DatenschutzR/Albers/Veit 38. Ed. Art. 6 DSGVO Rn. 96 ff.; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48).

(a)              Aus Sicht der Berufungskammer ist der letztgenannten Ansicht zu folgen. Der Einordnung von Art. 6 Abs. 4 DSGVO als selbständiger Erlaubnistatbestand steht der Wortlaut des Art. 6 Abs. 1 DSGVO entgegen, nach dem eine Verarbeitung „nur rechtmäßig“ ist, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist; einen Vorbehalt hinsichtlich Abs. 4 macht Art. 6 Abs. 1 DSGVO gerade nicht (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183). Ein entsprechendes Verständnis kommt auch in der englischen und der französischen Fassung von Art. 6 Abs. 1 DSGVO zum Ausdruck.

Art. 6 Abs. 4 DSGVO betrifft nicht den Grundsatz der Rechtmäßigkeit der Datenverarbeitung iSv. Art. 5 Abs. 1 Buchstabe a Var. 1 DSGVO, sondern konkretisiert den Grundsatz der Zweckbindung iSd. Art. 5 Abs. 1 Buchstabe b DSGVO und regelt die Frage, ob der neue mit einer Datenverarbeitung verfolgte Zweck mit dem ursprünglich verfolgten vereinbar ist (Buchner/Petri in: Kühling/Buchner 3. Aufl. Art. 6 DSGVO Rn. 183; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 48). Die Grundsätze der Zweckbindung und der Rechtmäßigkeit sind jedoch unabhängig voneinander zu erfüllen (EuGH 01.10.2015 – C-201/14 –  Rn. 30 mwN.).

(b)              Selbst wenn man der Gegenansicht folgte, führte dies im Streitfall zu keinem anderen Ergebnis. Die Beklagte, die als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung  verantwortlich ist und die Einhaltung dieses Grundsatzes nachweisen muss (Art. 5 Abs. 2 DSGVO), hat nicht behauptet, vor der Datenübermittlung den nach Art. 6 Abs. 4 vorgesehenen Kompatibilitätstest durchgeführt zu haben (vgl. zum Charakter der Regelung als Vorgabe für den Verantwortlichen auch BeckOK DatenschutzR/Albers/Veit, 38. Ed. Art. 6 DSGVO Rn. 102; Heberlein in: Ehmann/Selmayr 2. Aufl. DSGVO Art. 6 Rn. 49). Zudem ist die Datenübermittlung an die AKG unter Berücksichtigung der in Art. 6 Abs. 4 Buchstabe a bis e DSGVO genannten Kriterien mit dem ursprünglichen Erhebungszweck nicht kompatibel. Eine Pseudonymisierung wurde im Streitfall nicht vorgenommen, obwohl dies möglich gewesen wäre (Buchstabe e). Die Datenübermittlung hätte wie oben dargelegt nachteilige Auswirkungen für die Klägerin haben können (Buchstabe d). Die Daten wurden ausschließlich zum Zwecke der Begründung und Durchführung des Arbeitsverhältnisses erhoben. Die Klägerin musste nicht davon ausgehen, dass die Daten für andere Zwecke genutzt würden (Buchstabe b, vgl. auch EuArbRK/Franzen 4. Aufl. Art. 6 DSGVO Rn. 17). Es handelt sich um Personaldaten, die der Arbeitgeber grundsätzlich vertraulich zu behandeln hat (Buchstabe c). Der ursprüngliche Zweck für die Erhebung der Daten steht auch in keinem unmittelbaren Zusammenhang mit der Übermittlung der Daten zum Zwecke der Schaffung einer konzernweiten Vergleichsdatenbank (Buchstabe a).

f)               Es besteht auch die erforderliche Wiederholungsgefahr.

aa)              Die Besorgnis weiterer Beeinträchtigungen (§ 1004 Abs. 1 Satz 2 BGB) ist Tatbestandsmerkmal des auf §§ 1004, 823 BGB gestützten Unterlassungsanspruchs und damit materielle Anspruchsvoraussetzung (BAG 20.11.2012 – 1 AZR 179/11 – Rn. 82 mwN). Künftige Beeinträchtigungen eines geschützten Rechts sind grundsätzlich zu besorgen, wenn sie auf einer Verletzungshandlung beruhen (Wiederholungsgefahr) oder eine solche ernsthaft zu befürchten ist (Erstbegehungsgefahr). Wiederholungsgefahr ist die objektive Gefahr der erneuten Begehung einer konkreten Verletzungshandlung. Sie ist nicht auf die identische Verletzungsform beschränkt, sondern umfasst alle im Kern gleichartigen Verletzungsformen (BAG 18.11.2014 – 1 AZR 257/13 – Rn. 39). Für sie besteht eine tatsächliche Vermutung, wenn es bereits zu einer Verletzung des geschützten Rechts gekommen ist (BAG 07.06.2017 – 1 ABR 32/15 – Rn. 24).

bb)              Angesichts des Verstoßes der Beklagten gegen Art. 5 Abs. 1 Buchstabe a Var. 1, Art. 6 Abs. 1 DSGVO besteht eine tatsächliche Vermutung für eine Wiederholungsgefahr, der die Beklagte nicht entgegengetreten ist. Sie macht vielmehr weiterhin geltend, dass die streitgegenständliche Datenübermittlung rechtmäßig gewesen sei (vgl. hierzu Staudinger/Thole BGB Neubearb. 2019 § 1004 Rn. 461).

2.               Die Klägerin hat gegen die Beklagte gemäß Art. 82 Abs. 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Voraussetzungen liegen vor.

a)               Die Klägerin ist anspruchsberechtigt. Sie gehört zu den von Art. 82 Abs. 1 DSGVO geschützten betroffenen Personen iSv. Art. 4 Nr. 1 DS-GVO. Die Verletzung von Bestimmungen der DSGVO geschah bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 185).

b)              Die Beklagte ist anspruchsverpflichtet. Wie bereits oben ausgeführt, ist sie im Hinblick auf die durchgeführte Datenübermittlung „Verantwortlicher“ iSd. Art. 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.

c)               Es liegt ein Verstoß gegen die DSGVO vor. Die personenbezogenen Daten der Klägerin wurden entgegen den Vorgaben von Art. 5 Abs. 1 Buchstabe a Var. 1 und Art. 6 Abs. 1 DSGVO nicht in rechtmäßiger Weise übermittelt. Auf die Ausführungen im Rahmen des Klageantrags zu 1) wird verwiesen.

d)              Die Beklagte ist für den Verstoß gegen die DSGVO auch verantwortlich iSv. Art. 82 Abs. 3 DSGVO.

aa)              Die Haftung des Verantwortlichen nach Art. 82 Abs. 1 DSGVO ist verschuldensunabhängig, dh. sie setzt nicht das Vorliegen oder den Nachweis  eines Verschuldens voraus (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 39). Aus Art. 82 Abs. 3 DSGVO ergibt sich nichts Abweichendes. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des BAG nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern die Frage nach einer „Beteiligung“ bzw. nach der Urheberschaft im Sinne der Kausalität (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 40). Danach ist die Beklagte hier verantwortlich, weil sie den Verstoß gegen die DSGVO durch die von ihr vorgenommene Datenübermittlung kausal verursacht hat.

bb)              Selbst wenn man demgegenüber Verantwortlichkeit iSd. Art. 82 Abs. 3 DSGVO  im Sinne von Verschulden verstünde (vgl. LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 223; EuArbRK/Franzen 4. Aufl. Art. 82 DSGVO Rn. 17); führte dies zu keinem anderen Ergebnis. Denn das Verschulden der Beklagten wird nach Art. 82 Abs. 3 DSGVO vermutet. Die Beklagte hat keinen entgegenstehenden Vortrag geleistet. Sie handelte zumindest fahrlässig, was unter näher ausgeführt wird.

e)               Durch den Verstoß der Beklagten gegen Bestimmungen der DSGVO ist der Klägerin ein immaterieller Schaden entstanden.

Der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO erfordert über eine Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ oder das Überschreiten einer „Erheblichkeitsschwelle“  darlegen. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden (BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen  22.10.2021 – 16 Sa 761/20 – Rn. 228). Für dieses Verständnis spricht EG 146 Satz 3 DSGVO, wonach  der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Bereits der – auch hier eingetretene – Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach EG 75 und 85 DSGVO einen immateriellen Schaden begründen. Bei diesem Verständnis bleiben die Schwere eines Pflichtenverstoßes und das Ausmaß der damit einhergehenden Beeinträchtigungen auch nicht unberücksichtigt. Sie können effektiv im Rahmen der Bemessung der Höhe des Schadensersatzes berücksichtigt werden (LAG Niedersachsen 22.10.2021 – 16 Sa 761/20 – Rn. 228).

f)               Die Klägerin hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 Satz 1 ZPO. Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts  davon aus, dass der Klägerin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.

aa)               Nach EG 146 Satz 6 der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Bei der Bemessung des immateriellen Schadenersatzes durch das Gericht sind daher alle Umstände des Einzelfalls zu berücksichtigen. Es soll ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden BAG 26.08.2021 – 8 AZR 253/20 (A) – Rn. 36).

bb)              Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls ist ein Schadensersatz in Höhe von 2.000,00 € angemessen.

(1)              Ein vorsätzliches Handeln der Beklagten ist nicht festzustellen. Sie holte vor Durchführung der streitgegenständlichen Verarbeitung eine rechtliche Stellungnahme eines Rechtsanwalts und Fachanwalts für Arbeitsrecht und Informationstechnologierecht ein, nach der die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestandes grundsätzlich zulässig sein sollte. Zu berücksichtigen ist auch, dass die konkrete Rechtsfrage im Zeitpunkt der Datenverarbeitung nicht höchstrichterlich geklärt war. Die Beklagte hat den Verstoß gegen die DSGVO jedoch fahrlässig herbeigeführt. Sie hätte bei Beachtung der im Verkehr erforderlichen Sorgfalt (§ 276 Abs. 2 BGB) erkennen können und müssen, dass die Verarbeitung in ihrer durchgeführten Form nicht erforderlich war, sondern über das für den Zweck erforderliche Maß hinausging. Das eingeholte rechtliche Gutachten wies selbst darauf hin, dass eine anonymisierte Weitergabe der Daten Vorrang hätte, wenn die Vorgaben der Geschäftsführung durch eine solche Weitergabe ebenso erreicht werden könnten. Der Personalleiter der Beklagten E. hatte in seiner E-Mail vom 22.01.2019 (Bl. 157 GA) ebenfalls auf die Möglichkeit einer anonymisierten bzw. pseudonymisierten Datenübermittlung hingewiesen. Darüber hinaus sieht auch die BV LNT, die nur drei Wochen vor der hier in Rede stehenden Datenvereinbarung abgeschlossen worden war, vor, dass Beschäftigtendaten für Controlling- und Benchmark-Zwecke grundsätzlich nur pseudonymisiert genutzt werden dürfen. Auch vor diesem Hintergrund lag eine pseudonymisierte Verarbeitung der Daten nahe. Die Übermittlung beinhaltete in ihrer konkreten Form schließlich auch Daten wie das Geburtsdatum und die Privatadresse der Klägerin, die von vornherein und ganz offensichtlich nicht vom Zweck der Übermittlung gedeckt waren.

(2)              Zulasten der Beklagten war darüber hinaus zu berücksichtigen, dass sie den Grundsatz der Transparenz (Art. 5 Abs. 1 Buchstabe a Var. 3 DSGVO) nicht beachtet und die ihr gegenüber der Klägerin obliegenden Informationspflichten im Hinblick auf die Datenübermittlung nachhaltig nicht erfüllt hat, obwohl sie in dem eingeholten Rechtsgutachten vom 05.03.2019 ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war. Deshalb hatte die Klägerin keine Möglichkeit, ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO rechtzeitig und effektiv auszuüben. Zur Vermeidung von Wiederholungen wird insoweit auf die obigen Ausführungen verwiesen. Zudem entsprach die Datenübermittlung in ihrer konkreten Ausgestaltung nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO).  Die Klägerin musste auch nicht mit einer Übermittlung ihrer Daten an die AKG rechnen. Die Verarbeitung betraf Personaldaten der Klägerin, die grundsätzlich vertraulich zu behandeln sind. Die Datenübermittlung war auch – jedenfalls bis zur Löschung der Daten durch die AKG – geeignet, sich für die Klägerin nachteilig auszuwirken. Ergänzend wird auch bezüglich dieser Aspekte auf die obigen Ausführungen Bezug genommen.

(3)              Die Berufungskammer hat auch berücksichtigt, dass die Beklagte mit Schreiben vom 16.01.2020 – und damit wenige Tage vor dem am 22.01.2020 stattfindenden Termin vor dem Landgericht Bochum – einen Versuch unternommen hat, die streitgegenständliche Datenübermittlung im Nachhinein zu legitimieren. Sie übersandte der Klägerin eine „Information und Einverständniserklärung zur Verarbeitung ihrer Beschäftigtendaten“ mit dem Ziel, dass die Klägerin ihr schriftliches Einverständnis zur Übermittlung von Daten an die AKG geben würde. Dabei hat die Beklagte der Klägerin jedoch keine vollständige Wahlfreiheit im Hinblick auf die Erteilung einer Einwilligung eingeräumt, sondern mitgeteilt, dass die Klägerin ihre Zielvereinbarung für das Jahr 2020 (erst) erhalten würde, wenn sie die beigefügte Einverständniserklärung unterzeichnet an die Personalabteilung zurückgegeben hätte. Ein solches Vorgehen steht im Widerspruch zu Art. 7 Abs. 4 DSGVO. Die Klägerin hat gemäß § 2 Abs. 3 des Arbeitsvertrags einen Anspruch auf eine jährliche Zielvereinbarung. Die von der Beklagten verlangte Einwilligungserklärung war für den Abschluss der Zielvereinbarung nicht erforderlich und stand mit dieser in keinem Zusammenhang.

(4)              Zugunsten der Beklagten war zu berücksichtigen, dass sie Maßnahmen zum Schutz der personenbezogenen Daten der Klägerin ergriffen hat. Einer ersten Aufforderung zur Datenübermittlung hat sich der Personalleiter der Beklagten E. mit E-Mail vom 22.01.2019 unter Hinweis auf datenschutzrechtliche Bedenken widersetzt. In der Folge wurde ein Rechtsgutachten eingeholt, um die Rechtslage klären zu lassen. Vor der Datenübermittlung wurde erörtert, wer Zugriff auf die Daten erhalten sollte, was sich unter anderem aus der E-Mail der MKSG vom 17.01.2019 (Bl. 65 GA) ergibt. Für die Datenübermittlung innerhalb des Konzerns bestand auch grundsätzlich ein berechtigtes Interesse. Eine Weitergabe der Daten an externe Dritte außerhalb des Konzerns ist nicht erfolgt. Es handelte sich um eine einmalige Datenübermittlung. Es ist nicht erkennbar, dass aus ihr konkrete nachteilige Folgen materieller Art für die Klägerin resultieren. Die Berufungskammer hat allerdings auch berücksichtigt, dass die wenn auch nur einmalige Datenübermittlung dauerhafte, auch nachteilige Auswirkungen für die Klägerin hätte haben können (s.o.). Dass derartige Auswirkungen zukünftig nicht eintreten werden, beruht nicht auf einem Verhalten der Beklagten, sondern auf dem Umstand, dass die AKG gerichtlich zur Löschung der Daten verurteilt wurde.

(5)               Die Berufungskammer hat beachtet, dass die AKG im Hinblick auf die im Anschluss an die Übermittlung erfolgte Speicherung und Nutzung der personenbezogenen Daten der Klägerin durch das rechtskräftige Urteil des OLG Hamm vom 31.08.2021 zur Zahlung eines Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO iHv. 4000,00 € verurteilt worden ist. Im vorliegenden Verfahren war allein der immaterielle Schaden der Klägerin zu bemessen, der durch die Datenübermittlung an die AKG entstanden ist.

(6)              Unter Berücksichtigung der vorgenannten Aspekte und aller weiteren Umstände des vorliegenden Streitfalls, welche die Berufungskammer bei ihrer Entscheidung ebenfalls berücksichtigt hat, hält sie einen Schadensersatz iHv. 2.000,00 € für angemessen. Nach Überzeugung der Berufungskammer erhält die Klägerin damit einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden, der gleichzeitig gegenüber der Beklagten eine abschreckende Wirkung entfaltet.

g)              Die Beklagte haftet allein und nicht gemeinsam mit der AKG als Gesamtschuldner. Eine gesamtschuldnerische Haftung kommt nach Art. 82 Abs. 4 DSGVO nur bei der Beteiligung mehrerer Verantwortlicher an „derselben Verarbeitung“ in Betracht. Hier liegen mit der Übermittlung der Daten durch die Beklagte einerseits und der Speicherung und Nutzung der Daten durch die AKG andererseits zwei unterschiedliche Verarbeitungsvorgänge iSd. Art. 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Das in zweiter Instanz durch das OLG Hamm entschiedene Verfahren der Klägerin gegen die AKG betraf nicht den hier streitgegenständlichen Verarbeitungsvorgang, sondern ausschließlich die Speicherung und Nutzung der Daten durch die AKG.

B.               Die Anschlussberufung der Klägerin ist zulässig, aber unbegründet.

I.               Nach § 524 Abs. 2 Satz 2 ZPO iVm. § 64 Abs. 6 Satz 1 ArbGG ist eine Anschlussberufung bis zum Ablauf der dem Berufungsbeklagten gesetzten Frist zur Berufungserwiderung zulässig. Im arbeitsgerichtlichen Verfahren wird zwar – anders als nach § 521 Abs. 2 Satz 1 ZPO – dem Berufungsbeklagten vom Gericht keine Frist zur Berufungserwiderung „gesetzt“; vielmehr gilt für die Berufungsbeantwortung die durch § 66 Abs. 1 Satz 3 ArbGG bestimmte gesetzliche Frist. Gleichwohl ist § 524 Abs. 2 Satz 2 ZPO gemäß § 64 Abs. 6 Satz 1 ArbGG entsprechend anwendbar. Eine Anschlussberufung muss innerhalb eines Monats nach Zustellung der Berufungsbegründung – bei Verlängerung der Berufungsbeantwortungsfrist nach § 66 Abs. 1 Satz 5 ArbGG innerhalb der dann geltenden Frist eingehen. Nach § 524 Abs. 3 Satz 1 ZPO muss die Anschlussberufung in der Anschlussschrift begründet werden (BAG 25.03.2021 – 8 AZR 120/20 – Rn. 52).

II.              Diese Voraussetzungen sind im Streitfall erfüllt. Die Klägerin hatte bereits mit einem am 07.10.2020 beim Landesarbeitsgericht eingegangenen Schriftsatz Anschlussberufung eingelegt und diese innerhalb der bis zum 30.12.2020 verlängerten Berufungsbeantwortungsfrist auch ordnungsgemäß begründet. 189

III.              Die Anschlussberufung der Klägerin ist jedoch nicht begründet. Unter Berücksichtigung sämtlicher Umstände des vorliegenden Streitfalls hält die Berufungskammer wie dargelegt einen Schadensersatz iHv. 2.000,00 € für angemessen.

C.               Die Kostenentscheidung beruht auf § 97 Abs. 1, 92 Abs. 1 ZPO. Aus den jeweiligen Unterliegensanteilen der Parteien in der Berufungsinstanz ergibt sich die aus dem Tenor ersichtliche Kostenquote. Als Streitwert für den Unterlassungsantrag  hat die Berufungskammer dabei entsprechend der Festsetzung durch das Arbeitsgericht einen Betrag in Höhe von 5.000,00 € in Ansatz gebracht.

Die Revision war gemäß § 72 Abs. 2 Nr. 1 ArbGG zuzulassen.  Die entscheidungserheblichen Rechtsfragen zur Auslegung und Anwendung der DSGVO haben grundsätzliche Bedeutung.