Nach unten Skip to main content

Autor Thema: BAG 8 AZR 209/21 - DSGVO - Datenverarb. im Arbeitsverhältnis -> Vorlage EuGH  (Gelesen 712 mal)

  • Beiträge: 7.385
Auch wenn der Titel des Themas vordergründig nichts mit Rundfunk zu tun hat, sind die Vorlagefragen geeignet, eine Vorabentscheidung des EuGH herbeizuführen, die auch Auswirkung auf die Verarbeitung personen-bezogener Daten in Belangen des Rundfunks hat, insbesondere auch betreffs des Schadensersatzes infolge unzulässiger Datenverarbeitung.


8 AZR 209/21 (A)
Datenverarbeitung im Arbeitsverhältnis

https://www.bundesarbeitsgericht.de/entscheidung/8-azr-209-21-a/

Zitat
            I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:

            1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

            2. Sofern die Frage zu 1. bejaht wird:

            Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

            3. Sofern die Frage zu 2. bejaht wird:

            Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

            4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

            5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

            6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Zitat
28
    Im Ergebnis könnte deshalb einiges dafür sprechen, dass bei nationalen Rechtsvorschriften, die iSv. Art. 88 Abs. 1 DSGVO erlassen wurden, stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind und dass Regelungen in einer Kollektivvereinbarung – wie der BV Duldung – davon nicht ausgenommen sind.

Zitat
29
    [...] Soweit der Gerichtshof insoweit – über die Beantwortung der Vorlagefragen hinaus – fallbezogene Hinweise zur Auslegung von Art. 6 Abs. 1 Buchstabe b DSGVO – einschließlich der Verteilung der Darlegungs- und Beweislast – geben sollte, wäre dies zu begrüßen.

Zitat
35
[...] Nach Auffassung des Senats führt demnach bereits der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt wurde, zu einem auszugleichenden immateriellen Schaden (vgl. bereits das Vorabentscheidungsersuchen – C-667/21 – des Senats, BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 33). Insbesondere kann nach Auffassung des Senats nicht den einzelnen mitgliedstaatlichen Gerichten die Prüfung überlassen bleiben, ob ein – nach den unterschiedlichen innerstaatlichen Regeln – ausgleichsfähiger immaterieller Schaden eingetreten ist.

Zitat
36
    Soweit der Gerichtshof allerdings der Auffassung sein sollte, dass der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt wurde, nicht ausreicht, sondern dass zusätzlich erforderlich ist, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden – ggf. von einigem Gewicht – darzulegen hat, ist es für die Entscheidung des Senats im Ausgangsverfahren erforderlich zu erfahren, welche Kriterien dafür maßgebend sind.

Zitat
38
    Soweit der Gerichtshof der Auffassung sein sollte, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darzulegen hat, ist es für die Entscheidung im Ausgangsverfahren insbesondere erforderlich zu wissen, welche Kriterien nach Art. 82 Abs. 1 DSGVO für das Vorliegen eines Schadens, die Kausalität und für die Darlegungs- und Beweislast maßgebend sind. So könnte sich im weiteren Verfahren die Frage stellen, ob bereits in dem Umstand, dass die personenbezogenen Daten des Klägers entgegen den Vorgaben der DSGVO für eine Profilerstellung und/oder -nutzung iSv. Art. 4 Nr. 4 DSGVO verwendet wurden, ein (weiterer) Schaden von einigem Gewicht läge oder ob ein solcher (weiterer Schaden) nur dann angenommen werden könnte, wenn ein solches Profil eine negative Wirkung für den Kläger hätte, indem er beispielsweise in einem Bewerbungsverfahren „wegen“ des Profils erfolglos geblieben wäre. Damit im Zusammenhang steht die Frage, wer – angesichts der tatsächlichen Schwierigkeiten der Beschäftigten, substantiiert einen (weiteren) Schaden darzulegen – für welche Umstände die Darlegungs- und Beweislast hat und wie dieser Darlegungs- und Beweislast im Einzelnen genügt werden kann.

Zitat
39
    Mit seiner fünften Vorlagefrage, die der vierten Vorlagefrage im Vorabentscheidungsersuchen – C-667/21 – des Senats (BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 35 ff.) entspricht, möchte der Senat wissen, ob Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und ob der Senat dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.

Zitat
42
    Mit seiner sechsten Vorlagefrage, die der fünften Vorlagefrage im Vorabentscheidungsersuchen – C-667/21 – des Senats (BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 38 ff.) entspricht, möchte der Senat wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.

Zitat
43
    Diese Frage stellt sich für den Senat insbesondere vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 DSGVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DSGVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Der Senat nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht (vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 22. April 1997 – C-180/95, EU:C:1997:208 – [Draehmpaehl] Rn. 17; 8. November 1990 – C-177/88, EU:C:1990:383 – [Dekker] Rn. 22). Wie unter Rn. 35 ausgeführt, geht der Senat davon aus, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.

Zitat
44
    Schließlich ist der Senat der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 DSGVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des Senats nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs. 3 DSGVO betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (iSv.: „beteiligt“ oder „nicht beteiligt“) – etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten – bzw. die Frage nach der Urheberschaft iSd. Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte (Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. DSGVO Art. 82 Rn. 24 mwN).

Es sei daran erinnert, daß seitens des EuGH bereits entschieden wurde, daß Behörden nicht befugt sind, personen-bezogene Daten zwecks Weiterverarbeitung an Wirtschaftsteilnehmer zu übermitteln.

EuGH C-439/19 - DSGVO - Datenübertragung an Wirtschaftsteilnehmer unzulässig
https://gez-boykott.de/Forum/index.php?topic=35594.0

Sofern dieses, also die Weitergabe personen-bezogener Daten an Wirtschaftsteilnehmer durch Behörden realisiert wird, (siehe Meldedatenabgleich und sonstige Zugriffe der Medien inkl. ÖRR auf Meldedatenbestände), könnte dieses bereits Anspruch auf immateriellen Schadensersatz der betreffenden natürlichen Personen begründen, denn diese Datenverarbeitung wäre mit großer Wahrscheinlichkeit unrechtmäßig, wenn sie nicht durch die aktive Einwilligung des Vebrauchers/der Verbraucherin begründet ist.

Die Unrechtmäigkeit dieser Datenverarbeitzung könnte sich nämlich daraus ergeben, daß auch die ÖRR Wirtschaftsteilnehmer sind, hierzu siehe

EuGH C-41/90 - Ö.-R.-Anstalt ist als Marktakteur ein Wettbewerbsunternehmen
https://gez-boykott.de/Forum/index.php?topic=35201.0

EuGH C-434/19 - Regeln f. öffentl. Unternehmen vollständig harmonisiert
https://gez-boykott.de/Forum/index.php?topic=35660.0

und im Unionsrahmen alleine die Verbraucher*innen den Kontakt zu einem Wirtschaftsteilnehmer begründen, denn Verbraucherschutz ist zwingendes Allgemeininteresse und ebenfalls wie der Datenschutz vollständig harmonisiert.

EuGH C-46/08 - Verbraucherschutz ist zwingendes Allgemeininteresse
https://gez-boykott.de/Forum/index.php?topic=35464.0

EuGH C-391/12 - "Unlautere Geschäftspraktiken" vollständig harmonisiert
https://gez-boykott.de/Forum/index.php?topic=35407.0

EuGH C-40/17 - Datenschutz ist unionsrechtlich vollständig harmonisiert
https://gez-boykott.de/Forum/index.php?topic=35360.0

EuGH C-319/20 - Mißachtung Datenschutz <-> Verbraucherschutz <-> Unl. G.-praxis
https://gez-boykott.de/Forum/index.php?topic=36947.0



Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 15. Februar 2023, 16:07 von pinguin«
Bei Verarbeitung pers.-bez.-Daten ist das Unionsgrundrecht unmittelbar bindend; (BVerfG 1 BvR 276/17 & BVerfG 1 BvR 16/13)

Keine Unterstützung für
- Amtsträger, die sich über europäische wie nationale Grundrechte hinwegsetzen oder dieses in ihrem Verantwortungsbereich bei ihren Mitarbeitern, (m/w/d), dulden;

- Parteien, deren Mitglieder sich als Amtsträger über Grundrechte hinwegsetzen und wo die Partei dieses duldet;

- Gegner des Landes Brandenburg wie auch gesamt Europas;

  • Beiträge: 7.385
Ergänzender Nachtrag:
Das BAG hat auf Grund der zwischenzeitlich vom EuGH in anderen Rechtssachen erfolgten Klärung einige Vorlagefragen zurückgenommen.

8 AZR 209/21 (B)
Datenverarbeitung im Arbeitsverhältnis - teilweise Aufhebung eines Vorlagebeschlusses

https://www.bundesarbeitsgericht.de/entscheidung/8-azr-209-21-b/

Zitat
3
    II. Mit Schreiben vom 25. Januar 2024 hat der Gerichtshof angefragt, ob das Vorabentscheidungsersuchen mit Blick auf die Urteile des Gerichtshofs vom 4. Mai 2023 (- C-300/21 – [Österreichische Post]), vom 14. Dezember 2023 (- C-340/21 – [Natsionalna agentsia za prihodite] und – C-456/22 – [Gemeinde Ummendorf]), vom 21. Dezember 2023 (- C-667/21 – [Krankenversicherung Nordrhein]) und vom 25. Januar 2024 (- C-687/21 – [MediaMarktSaturn]) ganz oder teilweise – insbesondere hinsichtlich der Vorlagefragen 4 bis 6 – aufrechterhalten wird. Der Senat hat den Parteien Gelegenheit zur Stellungnahme zu der Anfrage des Gerichtshofs eingeräumt. Auf die eingegangenen Stellungnahmen beider Parteien vom 16. Februar 2024 wird Bezug genommen.

4
    III. Der Vorlagebeschluss des Senats vom 22. September 2022 (- 8 AZR 209/21 (A) -) war mit Blick auf die vorstehend genannten zwischenzeitlich ergangenen Urteile des Gerichtshofs in Bezug auf die Vorlagefragen 4 bis 6 aufzuheben. Die Auslegung von Art. 82 Abs. 1 DSGVO ist insoweit durch die Rechtsprechung des Gerichtshofs ausreichend geklärt.

Die ehemaligen Vorlagefragen, wie sie im Eröffnungsbeitrag dieses Themas in Rot hervorgehoben wurden, sind also bereits anderweitig beantwortet worden.

Querverweis:
EuGH C-340/21 - DSGVO - Befürchtung Datenmißbrauch -> immaterieller Schaden
https://gez-boykott.de/Forum/index.php?topic=37619.0

EuGH C-300/21 - DSGVO - Mißachtung -> keine Bagatellgr. bei immat. Schadensers.
https://gez-boykott.de/Forum/index.php?topic=37212.0

EuGH C-456/22 - DSGVO - Bagatellgr. f. Ersatz immateriellen Schadens unzulässig
Urteil vom 14. Dezember 2023
https://gez-boykott.de/Forum/index.php?topic=37741.0

EuGH C-667/21 und EuGH C-687/21 sind bislang im Forum nicht thematisiert.


Unterschriftenaktion: https://online-boykott.de/unterschriftenaktion
Rechtlicher Hinweis: Beiträge stellen keine Rechtsberatung in irgendeiner Form dar. Sie spiegeln ausschließlich die persönliche Meinung des Verfassers wider. Weitere Infos: Regeln

  • IP logged  »Letzte Änderung: 14. Mai 2024, 11:51 von Bürger«
Bei Verarbeitung pers.-bez.-Daten ist das Unionsgrundrecht unmittelbar bindend; (BVerfG 1 BvR 276/17 & BVerfG 1 BvR 16/13)

Keine Unterstützung für
- Amtsträger, die sich über europäische wie nationale Grundrechte hinwegsetzen oder dieses in ihrem Verantwortungsbereich bei ihren Mitarbeitern, (m/w/d), dulden;

- Parteien, deren Mitglieder sich als Amtsträger über Grundrechte hinwegsetzen und wo die Partei dieses duldet;

- Gegner des Landes Brandenburg wie auch gesamt Europas;

 
Nach oben