Das Landesarbeitsgericht Rheinland-Pfalz hatte über die Frage zu entscheiden, ob die unbefugte konzerninterne Weitergabe personenbezogener Beschäftigtendaten einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründet.
Gegenstand des Verfahrens war die Offenlegung von Leistungsbewertungen einer Arbeitnehmerin an Führungskräfte anderer Konzerneinheiten über mehrere Jahre. Das Gericht sprach der Klägerin einen Anspruch auf Schadensersatz in Höhe von 4.000 Euro zu und stellte dabei klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen immateriellen Schaden darstellen kann.
Unzulässigkeit konzerninterner Datenübermittlungen
Das LAG Rheinland-Pfalz betont in seiner Entscheidung, dass auch konzerninterne Datenübermittlungen eigenständige Verarbeitungsvorgänge im Sinne der DSGVO darstellen. Sie bedürfen daher jeweils einer gesonderten datenschutzrechtlichen Rechtfertigung. Eine konzernweite Verfügbarkeit personenbezogener Daten lässt sich insbesondere nicht allein mit organisatorischen Strukturen oder wirtschaftlichen Interessen begründen.
Im vorliegenden Fall wurden die Leistungsbewertungen der Klägerin über den ursprünglich vorgesehenen Zweck hinaus an Führungskräfte eines anderen Konzernunternehmens übermittelt. Eine hierfür tragfähige Rechtsgrundlage lag nach Auffassung des Gerichts nicht vor. Die Datenweitergabe war daher unzulässig. Sie stellte einen Verstoß gegen die Grundsätze der Zweckbindung und Rechtmäßigkeit der Verarbeitung dar.
Fortdauernde Speicherung und Verstoß gegen Löschpflichten
Besondere Bedeutung kommt zudem der fortdauernden Speicherung der streitgegenständlichen Daten zu. Trotz mehrfacher Aufforderung zur Löschung im Jahr 2019 waren die Daten auch mehrere Jahre später weiterhin in der Personalakte enthalten. Das Gericht sah darin einen eigenständigen Verstoß gegen datenschutzrechtliche Pflichten, insbesondere gegen den Grundsatz der Speicherbegrenzung.
Die fortgesetzte Speicherung führte dazu, dass die Klägerin dauerhaft keine Kontrolle mehr über die Verwendung ihrer personenbezogenen Daten hatte. Dieser Kontrollverlust wurde vom Gericht in die Bewertung der Rechtsverletzung einbezogen.
Immaterieller Schaden durch Kontrollverlust
Hinsichtlich des immateriellen Schadens stellt das LAG Rheinland-Pfalz klar, dass bereits die unzulässige Weitergabe personenbezogener Daten sowie der damit einhergehende Verlust der Kontrolle über diese Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO begründen können.
Zwar hatte die Klägerin geltend gemacht, dass die Offenlegung ihrer Leistungsbewertungen ihre Karrierechancen beeinträchtigt habe. Für den Schadensersatz maßgeblich war für das LAG jedoch vielmehr die Verletzung des Rechts auf informationelle Selbstbestimmung als solche.
Bedeutung für die Unternehmenspraxis
Die Entscheidung verdeutlicht, dass konzerninterne Datenflüsse keiner datenschutzrechtlichen Privilegierung unterliegen. Unternehmen haben sicherzustellen, dass jede Übermittlung personenbezogener Daten auf eine tragfähige Rechtsgrundlage gestützt wird und sich strikt am Zweck der ursprünglichen Datenerhebung orientiert.
Gleichzeitig hebt das Urteil die praktische Relevanz effektiver Löschkonzepte hervor. Die Nichtumsetzung von Löschverlangen kann nicht nur einen eigenständigen Datenschutzverstoß darstellen, sondern auch Grundlage eines Schadensersatzanspruchs sein. Der Kontrollverlust über personenbezogene Daten genügt, um einen Anspruch nach Art. 82 DSGVO auszulösen. Dies führt zu einer Ausweitung potenzieller Haftungsrisiken für Unternehmen.
Fazit
Die Entscheidung des LAG Rheinland-Pfalz schärft die Anforderungen an den datenschutzkonformen Umgang mit Beschäftigtendaten im Konzern. Unternehmen sind gehalten, ihre internen Datenflüsse sowie ihre Löschpraxis sorgfältig zu überprüfen und datenschutzrechtlich abzusichern. Andernfalls drohen Ansprüche auf Schadensersatz bereits bei unzulässiger Datenweitergabe und dem Verlust der Kontrolle über personenbezogene Daten.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
