Auch wenn der Titel des Themas vordergründig nichts mit Rundfunk zu tun hat, sind die Vorlagefragen geeignet, eine Vorabentscheidung des EuGH herbeizuführen, die auch Auswirkung auf die Verarbeitung personen-bezogener Daten in Belangen des Rundfunks hat, insbesondere auch betreffs des Schadensersatzes infolge unzulässiger Datenverarbeitung.
8 AZR 209/21 (A)
Datenverarbeitung im Arbeitsverhältnishttps://www.bundesarbeitsgericht.de/entscheidung/8-azr-209-21-a/ I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht:
1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?
2. Sofern die Frage zu 1. bejaht wird:
Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?
3. Sofern die Frage zu 2. bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?
4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?
5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
28
Im Ergebnis könnte deshalb einiges dafür sprechen, dass bei nationalen Rechtsvorschriften, die iSv. Art. 88 Abs. 1 DSGVO erlassen wurden, stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind und dass Regelungen in einer Kollektivvereinbarung – wie der BV Duldung – davon nicht ausgenommen sind.
29
[...] Soweit der Gerichtshof insoweit – über die Beantwortung der Vorlagefragen hinaus – fallbezogene Hinweise zur Auslegung von Art. 6 Abs. 1 Buchstabe b DSGVO – einschließlich der Verteilung der Darlegungs- und Beweislast – geben sollte, wäre dies zu begrüßen.
35
[...] Nach Auffassung des Senats führt demnach bereits der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt wurde, zu einem auszugleichenden immateriellen Schaden (vgl. bereits das Vorabentscheidungsersuchen – C-667/21 – des Senats, BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 33). Insbesondere kann nach Auffassung des Senats nicht den einzelnen mitgliedstaatlichen Gerichten die Prüfung überlassen bleiben, ob ein – nach den unterschiedlichen innerstaatlichen Regeln – ausgleichsfähiger immaterieller Schaden eingetreten ist.
36
Soweit der Gerichtshof allerdings der Auffassung sein sollte, dass der Umstand, dass eine Person infolge der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt wurde, nicht ausreicht, sondern dass zusätzlich erforderlich ist, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden – ggf. von einigem Gewicht – darzulegen hat, ist es für die Entscheidung des Senats im Ausgangsverfahren erforderlich zu erfahren, welche Kriterien dafür maßgebend sind.
38
Soweit der Gerichtshof der Auffassung sein sollte, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darzulegen hat, ist es für die Entscheidung im Ausgangsverfahren insbesondere erforderlich zu wissen, welche Kriterien nach Art. 82 Abs. 1 DSGVO für das Vorliegen eines Schadens, die Kausalität und für die Darlegungs- und Beweislast maßgebend sind. So könnte sich im weiteren Verfahren die Frage stellen, ob bereits in dem Umstand, dass die personenbezogenen Daten des Klägers entgegen den Vorgaben der DSGVO für eine Profilerstellung und/oder -nutzung iSv. Art. 4 Nr. 4 DSGVO verwendet wurden, ein (weiterer) Schaden von einigem Gewicht läge oder ob ein solcher (weiterer Schaden) nur dann angenommen werden könnte, wenn ein solches Profil eine negative Wirkung für den Kläger hätte, indem er beispielsweise in einem Bewerbungsverfahren „wegen“ des Profils erfolglos geblieben wäre. Damit im Zusammenhang steht die Frage, wer – angesichts der tatsächlichen Schwierigkeiten der Beschäftigten, substantiiert einen (weiteren) Schaden darzulegen – für welche Umstände die Darlegungs- und Beweislast hat und wie dieser Darlegungs- und Beweislast im Einzelnen genügt werden kann.
39
Mit seiner fünften Vorlagefrage, die der vierten Vorlagefrage im Vorabentscheidungsersuchen – C-667/21 – des Senats (BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 35 ff.) entspricht, möchte der Senat wissen, ob Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und ob der Senat dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.
42
Mit seiner sechsten Vorlagefrage, die der fünften Vorlagefrage im Vorabentscheidungsersuchen – C-667/21 – des Senats (BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 38 ff.) entspricht, möchte der Senat wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.
43
Diese Frage stellt sich für den Senat insbesondere vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 DSGVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DSGVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Der Senat nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht (vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 22. April 1997 – C-180/95, EU:C:1997:208 – [Draehmpaehl] Rn. 17; 8. November 1990 – C-177/88, EU:C:1990:383 – [Dekker] Rn. 22). Wie unter Rn. 35 ausgeführt, geht der Senat davon aus, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.
44
Schließlich ist der Senat der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 DSGVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des Senats nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs. 3 DSGVO betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (iSv.: „beteiligt“ oder „nicht beteiligt“) – etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten – bzw. die Frage nach der Urheberschaft iSd. Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte (Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. DSGVO Art. 82 Rn. 24 mwN).
Es sei daran erinnert, daß seitens des EuGH bereits entschieden wurde, daß Behörden nicht befugt sind, personen-bezogene Daten zwecks Weiterverarbeitung an Wirtschaftsteilnehmer zu übermitteln.
EuGH C-439/19 - DSGVO - Datenübertragung an Wirtschaftsteilnehmer unzulässighttps://gez-boykott.de/Forum/index.php?topic=35594.0Sofern dieses, also die Weitergabe personen-bezogener Daten an Wirtschaftsteilnehmer durch Behörden realisiert wird, (siehe Meldedatenabgleich und sonstige Zugriffe der Medien inkl. ÖRR auf Meldedatenbestände), könnte dieses bereits Anspruch auf immateriellen Schadensersatz der betreffenden natürlichen Personen begründen, denn diese Datenverarbeitung wäre mit großer Wahrscheinlichkeit unrechtmäßig, wenn sie nicht durch die aktive Einwilligung des Vebrauchers/der Verbraucherin begründet ist.
Die Unrechtmäigkeit dieser Datenverarbeitzung könnte sich nämlich daraus ergeben, daß auch die ÖRR Wirtschaftsteilnehmer sind, hierzu siehe
EuGH C-41/90 - Ö.-R.-Anstalt ist als Marktakteur ein Wettbewerbsunternehmenhttps://gez-boykott.de/Forum/index.php?topic=35201.0EuGH C-434/19 - Regeln f. öffentl. Unternehmen vollständig harmonisierthttps://gez-boykott.de/Forum/index.php?topic=35660.0und im Unionsrahmen alleine die Verbraucher*innen den Kontakt zu einem Wirtschaftsteilnehmer begründen, denn Verbraucherschutz ist zwingendes Allgemeininteresse und ebenfalls wie der Datenschutz vollständig harmonisiert.
EuGH C-46/08 - Verbraucherschutz ist zwingendes Allgemeininteressehttps://gez-boykott.de/Forum/index.php?topic=35464.0EuGH C-391/12 - "Unlautere Geschäftspraktiken" vollständig harmonisierthttps://gez-boykott.de/Forum/index.php?topic=35407.0EuGH C-40/17 - Datenschutz ist unionsrechtlich vollständig harmonisierthttps://gez-boykott.de/Forum/index.php?topic=35360.0EuGH C-319/20 - Mißachtung Datenschutz <-> Verbraucherschutz <-> Unl. G.-praxishttps://gez-boykott.de/Forum/index.php?topic=36947.0
Bei Verarbeitung pers.-bez.-Daten ist das Unionsgrundrecht unmittelbar bindend; (BVerfG 1 BvR 276/17 & BVerfG 1 BvR 16/13)
Keine Unterstützung für
- Amtsträger, die sich über europäische wie nationale Grundrechte hinwegsetzen oder dieses in ihrem Verantwortungsbereich bei ihren Mitarbeitern, (m/w/d), dulden;
- Parteien, der Mitglieder sich als Amtsträger über Grundrechte hinwegsetzen und wo die Partei dieses duldet;
- Gegner des Landes Brandenburg wie auch gesamt Europas;
Autor