Das Landesarbeitsgericht Baden-Württemberg Urteil vom 25.2.2021, 17 Sa 37/20, hat entschieden:
- Werden personenbezogene Daten von Beschäftigten über den 24. Mai 2018 hinaus verarbeitet (gespeichert), ist dies ab dem 25. Mai 2018 am Maßstab der DSGVO zu messen.
- Erfolgt die Verarbeitung/Speicherung der personenbezogenen Daten von Beschäftigten, zum Zwecke, ein (noch) nicht produktiv genutztes, später noch konzernweit einzuführendes cloudbasiertes Personalinformationsmanagementsystem zu testen, scheidet § 26 Abs. 1 BDSG wie auch Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage der Verarbeitung mangels Erforderlichkeit aus. Als Rechtsgrundlage einer Datenverarbeitung kommt in diesem Fall als Kollektivvereinbarung iSv. § 26 Abs. 4 BDSG eine Betriebsvereinbarung in Betracht.
- Bestimmt die Betriebsvereinbarung für die vorübergehende Nutzung des Personalinformationsmanagementsystems die Kategorien der vorübergehend nutzbaren Daten, ist die Verarbeitung anderer personenbezogener Daten rechtswidrig.
- Wurden die personenbezogenen Daten von Beschäftigten vor dem 25. Mai 2018 an die Konzernmutter in ein Drittland (USA) übermittelt, liegt kein Verstoß des die Daten übermittelnden Arbeitgebers als Verantwortlicher gegen die Bestimmungen des V. Kapitels der DSGVO (Art. 44 ff. DSGVO) vor.
- Hat der Arbeitgeber als Verantwortlicher mit der Konzernmutter als Auftragsverarbeiter vor dem 25. Mai 2018 Standardvertragsklauseln auf der Grundlage des Anhangs des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) vereinbart und diese Standardvertragsklauseln durch Anhänge und weitere Vertragswerke um die Inhalte des Art. 28 Abs. 3 DSGVO ergänzt, liegt seitens des verantwortlichen Arbeitgebers kein Verstoß gegen Art. 28 DSGVO vor.
- Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, 2 DSGVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grundsätzlich zur Begründung eines immateriellen Schadens iSv. Art. 82 DSGVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden ist, dh. einem Verordnungsverstoß zugeordnet werden kann (Kausalität). Daran fehlt es, wenn der Arbeitgeber weder gegen die Bestimmungen des V. Kapitels der DSGVO noch gegen Art. 28 DSGVO verstoßen hat. Der verbleibende Verstoß gegen § 26 Abs. 4 BDSG iVm. den Bestimmungen der Betriebsvereinbarung löst allein keinen Schadensersatzanspruch nach Art. 82 DSGVO aus.
Update: Das Verfahren hat inzwischen beim Bundesarbeitsgericht sein Ende gefunden, Link zur Entscheidung unten:
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
