LArbG Baden-Württemberg Urteil vom 25.2.2021, 17 Sa 37/20

LArbG Baden-Württemberg Urteil vom 25.2.2021, 17 Sa 37/20

immaterieller Schadensersatz, Verstoß gegen die DSGVO, Datenübermittlung in ein Drittland (USA) vor dem Geltungsbeginn der DSGVO, Geltungsbeginn DSGVO, Auftragsverarbeitung, Auftragsdatenverarbeitung, Kausalität

1. Werden personenbezogene Daten von Beschäftigten über den 24. Mai 2018 hinaus verarbeitet (gespeichert), ist dies ab dem 25. Mai 2018 am Maßstab der DSGVO zu messen.

2. Erfolgt die Verarbeitung/Speicherung der personenbezogenen Daten von Beschäftigten, zum Zwecke, ein (noch) nicht produktiv genutztes, später noch konzernweit einzuführendes cloudbasiertes Personalinformationsmanagementsystem zu testen, scheidet § 26 Abs. 1 BDSG wie auch Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage der Verarbeitung mangels Erforderlichkeit aus. Als Rechtsgrundlage einer Datenverarbeitung kommt in diesem Fall als Kollektivvereinbarung iSv. § 26 Abs. 4 BDSG eine Betriebsvereinbarung in Betracht.

3. Bestimmt die Betriebsvereinbarung für die vorübergehende Nutzung des Personalinformationsmanagementsystems die Kategorien der vorübergehend nutzbaren Daten, ist die Verarbeitung anderer personenbezogener Daten rechtswidrig.

4. Wurden die personenbezogenen Daten von Beschäftigten vor dem 25. Mai 2018 an die Konzernmutter in ein Drittland (USA) übermittelt, liegt kein Verstoß des die Daten übermittelnden Arbeitgebers als Verantwortlicher gegen die Bestimmungen des V. Kapitels der DSGVO (Art. 44 ff. DSGVO) vor.

5. Hat der Arbeitgeber als Verantwortlicher mit der Konzernmutter als Auftragsverarbeiter vor dem 25. Mai 2018 Standardvertragsklauseln auf der Grundlage des Anhangs des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) vereinbart und diese Standardvertragsklauseln durch Anhänge und weitere Vertragswerke um die Inhalte des Art. 28 Abs. 3 DSGVO ergänzt, liegt seitens des verantwortlichen Arbeitgebers kein Verstoß gegen Art. 28 DSGVO vor.

6. Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, 2 DSGVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grundsätzlich zur Begründung eines immateriellen Schadens iSv. Art. 82 DSGVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden ist, dh. einem Verordnungsverstoß zugeordnet werden kann (Kausalität). Daran fehlt es, wenn der Arbeitgeber weder gegen die Bestimmungen des V. Kapitels der DSGVO noch gegen Art. 28 DSGVO verstoßen hat. Der verbleibende Verstoß gegen § 26 Abs. 4 BDSG iVm. den Bestimmungen der Betriebsvereinbarung löst allein keinen Schadensersatzanspruch nach Art. 82 DSGVO aus.

Tenor

1. Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Ulm vom 14. November 2019 – 5 Ca 18/18 – wird zurückgewiesen.

2. Der Kläger hat die Kosten des Berufungsverfahrens zu tragen.

3. Die Revision wird zugelassen.

Tatbestand
1

Die Parteien streiten zuletzt noch über einen immateriellen Schadensersatzanspruch im Zusammenhang mit der Übermittlung von personenbezogenen Daten des Klägers an die vormalige Konzernmutter der Beklagten in den Vereinigen Staaten von Amerika (USA).
2

Der am XX. XX XXXX geborene Kläger trat zum 1. September 1984 in ein Arbeitsverhältnis zur K. & V. GmbH, die im Laufe des Rechtsstreits auf die bereits zuvor bestehende Beklagte verschmolzen wurde (künftig lediglich: Beklagte), wurde zuletzt als Organisationsprogrammierer beschäftigt und ist der Vorsitzende des bei der Beklagten gebildeten Betriebsrats.
3

Die Beklagte, ein Unternehmen der Zahnmedizintechnik, gehörte seit mehr als 10 Jahren zum D.-Konzern, mit Hauptsitz der D. Corp. (Konzernmutter) in W. X.X., zuletzt – für den Rechtsstreit jedoch nicht maßgeblich – ist die Beklagte Tochterunternehmen der E. Corp., ebenfalls mit Sitz in den USA, in welcher der Dentalbereich der D. Corp. verselbständigt wurde.
4

Die Beklagte verarbeitet personenbezogene Daten ihrer Beschäftigten insb., aber nicht ausschließlich zu Abrechnungszwecken mittels SAP-Software. Hierzu hat der Betriebsrat mit der Beklagten mehrere Betriebsvereinbarungen abgeschlossen. Die Rechtmäßigkeit der darauf gestützten Datenverarbeitung bei der Beklagten ist zwischen den Parteien nicht im Streit. In SAP speichert die Beklagte ua. Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, das Alter, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID ihrer Beschäftigten.
5

Im Jahr 2017 bzw. bereits davor begannen Planungen für den gesamten D.-Konzern das cloudbasierte Personalinformationsmanagementsystem Workday (künftig: Workday) einzuführen.
6

Unter Bezugnahme auf § 34 BDSG aF forderte der Kläger mit einer an Herrn R. gerichteten Email vom 21. April 2017 die Beklagte auf, zu allen zu seiner Person bei der Beklagten, D. und in Workday gespeicherten Daten Auskunft zu geben (Bl. 7 d. Akte ArbG). Dieses Auskunftsverlangen führte der Kläger mit der am 22. Januar 2018 beim Arbeitsgericht eingegangenen Klage gerichtlich weiter.
7

Im Zuge des Rechtsstreits und infolge der dem Kläger gegebenen Auskünfte ergab sich, dass die Beklagte zwischen dem 24. April 2017 und dem 18. Mai 2017 aus SAP personenbezogene Daten des Klägers auf eine Sharepoint-Seite der D. Corp. übermittelte, um mit diesen Daten Workday zu befüllen. Neben Informationen wie dem Namen, Vornamen, dienstlicher Telefonnummer und dienstlicher Email-Adresse gehörten ua. auch Gehaltsinformationen (Jahres- und Monatsgehalt, der Umfang leistungsabhängiger Vergütung), die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers zu den übermittelten Daten. Hinsichtlich aller übertragenen Daten wird auf die Aufstellung zur Auskunft vom 27. Februar 2018 (Screenshots und tabellarische Aufstellung, Bl. 76 bis 86 d. Akte ArbG) Bezug genommen.
8

Am 3. Juli 2017 unterzeichneten die Beklagte und der Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ (Bl. 68 bis 73 d. Akte ArbG; künftig: Duldungs-BV), die ua. das Folgende bestimmt:

9

„…
§ 1 Geltungsbereich
1. räumlicher Geltungsbereich
Diese Betriebsvereinbarung gilt räumlich für den Betrieb des Arbeitgebers in B./W..
2. Persönlicher Geltungsbereich
Die Betriebsvereinbarung gilt persönlich für alle Arbeitnehmerinnen und Arbeitnehmer gem. § 5 BetrVG mit Ausnahme der leitenden Angestellten gem. § 5 Abs. 3 und 4 BetrVG, nachfolgend „Beschäftigte“ genannt.

§ 2 Vorläufiger Betrieb
Diese Vereinbarung regelt den vorläufigen Betrieb des Cloudbasierten Personal-Informationsmanagementsystems Workday.
Dies ist in den Anlagen 1 bis 2 abschließend dokumentiert.
Der BR stimmt der vorläufigen Inbetriebnahme des vorstehend beschriebenen Systems für die Zeit während der Dauer dieser Betriebsvereinbarung bis zum Abschluss einer dieses System abschließend regelnden Betriebsvereinbarung, längstens aber bis 31. August 2017 zu.
Vor Einführung des Systems als Produktivsystem muss eine Betriebsvereinbarung abgeschlossen werden, die die Einführung und die Anwendung von Workday spezifisch regelt, welche diese Vereinbarung ersetzt.
Vor Abschluss der zu erstellenden Betriebsvereinbarung dürfen Reporte jeglicher Art nur zu Testzwecken erstellt werden.
Während des Testzeitraums darf Workday nicht für HR Standardprozesse wie Leistungsbewertung, Einstellungen, Kündigungen, Entlohnung etc. verwendet werden.

§ 3 Aus- und Verwertungsverbot
Während der in dieser Betriebsvereinbarung geregelten vorläufigen Nutzung wird mit dem vorstehend beschriebenen System eine Leistungs- und/oder Verhaltenskontrolle einzelner Beschäftigter nicht durchgeführt.
Die – auch mittelbare – Verwendung von Daten, die aufgrund des Betriebs des Systems anfallen, zu arbeitsrechtlichen Zwecken und insbesondere die Verwendung dieser Daten im arbeitsrechtlichen Urteilsverfahren ist unzulässig, sofern nicht der Betriebsrat dem zuvor zugestimmt hat.

§ 4 Verhandlungspflicht
Die Betriebspartner stimmen darin überein, unverzüglich mit dem ernsten Willen zur Einigung in Verhandlungen betreffend der Aufstellung einer endgültigen Betriebsvereinbarung über die Einführung und Anwendung des oben beschriebenen Systems einzutreten.
Im Einzelnen verpflichten sich die Betriebsparteien, unverzüglich mit dem ernsten Willen zur Einigung in Verhandlungen zur Regelung folgender Themen zu treten:
· Rahmen-Betriebsvereinbarung Systeme der Informations- und Kommunikationstechnik (IT) – Aktualisierung und
· Einzelbetriebsvereinbarung zu Workday.

§ 5 Sachverständige, Unterrichtung des Betriebsrats
…
…
§ 6 Einigungsstelle
Haben sich die Parteien bis zum 31. August 2017 nicht auf die Aufstellung einer endgültigen Betriebsvereinbarung einigen können, so kann jede Seite die Einigungsstelle anrufen. Die Einigungsstelle besteht aus Herrn J., Vizepräsident am Arbeitsgericht M. – Kammern H. – a.D. und drei Beisitzern für jede Seite.
§ 7 Datenschutz/Zugriffsberechtigung
Der Arbeitgeber hat jeweils als verantwortliche Stelle dem Datenschutzbeauftragten gem. Bundesdatenschutzgesetzes (BDSG) alle erforderlichen Informationen zur Verfügung zu stellen und diesen insoweit zu unterstützen, dass ein Verfahrensverzeichnis geführt werden kann. Sowohl jeder Beschäftigte als auch der Betriebsrat können jederzeit ihr Auskunftsrecht/Einsichtnahme in das Verfahrensverzeichnis ausüben und erhalten Auskunft über alle zu ihnen gespeicherten Daten im Umfang von § 34 Abs. 1 Nr. 1 bis 3 BDSG in der Fassung des Inkrafttretens dieser Vereinbarung.
Der Arbeitgeber stellt in geeigneter Weise sicher, dass die Beschäftigten die in der Testphase eingebunden sind (IT-BC, HR-BC, BR-BC/WH, bDSB), über die für ihren Arbeitsplatz relevanten gesetzlichen Bestimmungen informiert sind und ausreichend qualifiziert werden.
Der Arbeitgeber stellt sicher, dass die involvierten Dienstleister die Datenschutzbestimmungen beachten und einhalten. Mit Dritten, die Zugriff auf personenbezogene Daten in Workday erhalten, werden Vereinbarungen zur Auftragsdatenverarbeitung, sowie Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in EU-Mitgliedsstaaten abgeschlossen. Die Vereinbarungen werden dem Betriebsrat auf Nachfrage zur Verfügung gestellt.
Die Mitglieder des Betriebsrats erhalten eine Schulung in Workday im Betrieb B., noch möglichst im Mai 2017.
Dem Betriebsrat wird zum frühestmöglichen Zeitpunkt (spätestens zum 31.05.2017) eine BR-Rolle in Workday dauerhaft eingerichtet.

§ 8 Schlussbestimmung
Diese Vereinbarung tritt mit ihrer Unterzeichnung in Kraft und endet ohne dass es einer Kündigung bedarf mit dem 31. August 2017. Sie wirkt nicht nach. Wird die Einigungsstelle angerufen, endet die Nachwirkung am 30. November 2017.
Im Fall eines groben Verstoßes gegen diese Vereinbarung darf der Betriebsrat diese Vereinbarung außerordentlich fristlos kündigen. Die Vereinbarung entfaltet in diesem Fall keine Nachwirkung.
…“
10

In der Anlage 2 zur Duldungs-BV werden die „Daten in Workday“ als „Datensatz für Duldungs-BV“ tabellarisch mit ihrer englischen und deutschen Bezeichnung wie folgt aufgelistet: D. Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, Konzern Eintrittsdatum, Arbeitsort, Firma (K./De.), Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche Emailadresse.
11

Nachdem in der Folge eine Einigung zu einer Betriebsvereinbarung zur Einführung von Workday bis zum 31. August 2017 nicht gelang und die Einigungsstelle angerufen wurde, verlängerten die Betriebsparteien insb. den Geltungs- und Nachwirkungszeitraum der Duldungs-BV mehrfach, zuletzt durch die „Betriebsvereinbarung zur Verlängerung der Duldungs-Betriebsvereinbarung über die Einführung von Workday“ vom 4. Dezember 2018 bis zum 31. Januar 2019 (Bl. 321 d. Akte ArbG).
12

Am 22. Januar 2018 ging die stufenweise auf Auskunft, Abgabe einer eidesstattlichen Versicherung, Löschung und Verurteilung zur Zahlung von Schadensersatz gerichtete Klage beim Arbeitsgericht ein.
13

Mit Schreiben vom 27. Februar 2018 (Bl. 75 ff. d. Akte ArbG) erteilte die Beklagte eine Auskunft zu in Workday gespeicherten Daten, die der Kläger für ungenügend erachtete.
14

Am 24. Mai 2018 und damit einen Tag vor dem Geltungszeitpunkt der Datenschutzgrundverordnung (DSGVO) unterzeichnete die Beklagte (Bl. 372 bis 421) bzw. deren Rechtsvorgängerin (Bl. 322 bis 371 d. Akte ArbG) und die D. Corp. als Konzernmutter ein umfangreiches Vertragswerk zur Gewährleistung des Datenschutzes, bestehend aus: dem „D. Corporation Global Data Protection Agreement“ (künftig: GDPA) als Rahmenvereinbarung (Bl. 322 bis 329 d. Akte ArbG; deutsche Übersetzung „D. Corporation Globale Datenschutzvereinbarung“, Bl. 253 bis 261 d. Akte ArbG; künftig: GDPA), als Exibit 1 das Vertragswerk „Controller-Controller Transfers Standard Contractual Clauses for the Transfer of Personal data from the Community to Third Countries“ mit den dazugehörigen Annex A und Annex B (Bl. 330 bis 345 d. Akte ArbG; deutsche Übersetzung „Anlage 1 Übermittlung zwischen mehreren Verantwortlichen Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der EU in Drittländer“, Bl. 262 bis 278 d. Akte ArbG) und als Exibit 2 das Vertragswerk „SCC Processors, 2010 Standard Contractual Clauses“ mit dem „Appendix 1“ und „Appendix 2 to the Standard Contractual Clauses“ (Bl. 346 bis 371 d. Akte ArbG; deutsche Übersetzung „Anlage 2 Standardvertragsklauseln 2010 für Auftragsdatenverarbeiter“ nebst Zusätzen 1 und 2 Bl. 279 bis 312 d. Akte ArbG). Auf den Inhalt der genannten Vertragswerke wird Bezug genommen. Im Folgenden wird, soweit nicht das englischsprachige Original erwähnt wird, auf den Inhalt der deutschen Übersetzung Bezug genommen. Zudem wurde das „D. Corporation Global Data Protection Agreement Protocol and Power of Attorney“ (Bl. 422 bis 423 bzw. 424 bis 425; insoweit liegt eine deutsche Übersetzung nicht vor) unterzeichnet, welches ua. bestimmt:

15

„All direct and indirect controlled subsidiaries of D. Corporation around the world (as they exist from time to time, „Affiliates“) must implement a manageable process to cover intra-group transfers of personal data with appropriate data transfer terms. To comply with legal requirements, D. Corporation and each of its Affiliates will enter into D. Corporation Global Protection Agreement.

…“
16

Nach dem 25. Mai 2018 machte der Kläger weitere Auskunftsverlangen nach der DSGVO geltend. Zudem konnten weitere Mitarbeiter der Beklagten ebensolche Auskunftsverlangen auf vom Kläger zur Verfügung gestellter Musterschreiben an die Beklagte richten, wovon 180 Mitarbeiter Gebrauch machten. Diese Auskunftsverlangen wurden von der Beklagten beantwortet, woraufhin mehr als 120 Mitarbeiter ergänzende Auskunftsbegehren an die Beklagte richteten, welche die Beklagte ebenfalls bearbeitete.
17

Am 23. Januar 2019 einigten sich die Betriebsparteien im Rahmen des Einigungsstellenverfahrens auf die „Rahmenbetriebsvereinbarung zum Betrieb von IT Systemen“ (Bl. 199 bis 214 d. Akte; künftig: BV IT) und auf die „Betriebsvereinbarung zur Einführung und Verwendung von Workday“ (Bl. 183 bis 198c d. Akte ArbG; künftig: BV Workday; Löschkonzept Bl. 543-558 d. Akte ArbG), welche der Kläger jeweils für den Betriebsrat und der Geschäftsführer unterzeichnete. Nach ihrem Inhalt treten beide Betriebsvereinbarungen mit Unterzeichnung in Kraft (Ziffer 16 BV Workday bzw. § 15 BV IT). Der Kläger macht in diesem Zusammenhang geltend, erst im Laufe des Monats März 2019 habe er einen kompletten Satz der Betriebsvereinbarung mit einer auch für die Beklagte unterzeichneten Anlage 2 erhalten. Der Kläger macht dabei nicht geltend, dass die Verarbeitung personenbezogener Daten in Workday auf der Grundlage der BV Workday und der BV IT gegen die DSGVO verstoßen würde. Jedenfalls nach Geltung der BV Workday bzw. der BV IT hat die Beklagte solche Daten des Klägers, die nicht in Workday zu speichern sind, aber bisher gespeichert waren (bspw. Steuer-ID), gelöscht.
18

Im weiteren Verlauf des Rechtsstreits übergab die Beklagte an den Kläger zur Erfüllung des weitergehend präzisierten Auskunftsverlangens eine Aufstellung mit dem Inhalt der Anlage B12 (Bl. 537 bis 542 d. Akte ArbG). Der Kläger nahm daraufhin den differenzierten Antrag auf Auskunft nach der DSGVO und den Antrag zur Löschung zurück. Die Parteien stritten erstinstanzlich anschließend noch über einen Anspruch des Klägers auf Abgabe einer eidesstattlichen Versicherung, bezogen auf die Richtigkeit der zuletzt erteilten Auskunft, und über einen immateriellen Schadensersatz wegen Verstößen der Beklagten gegen die DSGVO.
19

Soweit noch von Interesse machte der Kläger erstinstanzlich geltend, die Beklagte sei datenschutzrechtlich nicht befugt gewesen, personenbezogene Daten des Klägers in das System Workday auf eine dem Mutterkonzern gehörende Sharepoint-Seite in die USA zu übertragen, weshalb dem Kläger ein Anspruch auf Ersatz des immateriellen Schadens zustehe, dessen Größenordnung der Kläger zuletzt mit 3.000,00 Euro angegeben hat. Unabhängig von der Frage, ob auch „Echtdaten“ von Arbeitnehmern vor Abschluss der BV Workday verwendet werden durften, hätten die Betriebsparteien jedenfalls festgelegt, welche Datenkategorien im Testmodus verarbeitet werden dürfen. Über diese in der Duldungs-BV genannten Datenkategorien hinaus habe die Beklagte aber auch andere – datenschutzrechtlich sensible – Daten, wie private Kontaktdaten, Vergütungsdetails, die Sozialversicherungsnummer, Steuer-ID, Vertragsdetails, die Staatsangehörigkeit und den Familienstand des Klägers übermittelt, wozu die Beklagte nicht berechtigt gewesen sei. Als Erlaubnisnorm komme auch § 26 BDSG nicht in Betracht, weil es an der Erforderlichkeit der Datenverarbeitung fehle, wenn die personenbezogenen Daten in SAP verarbeitet werden. Workday habe ohnehin keine Zulassung bei den deutschen Finanzbehörden und könne daher nicht zu Abrechnungszwecken verwendet werden. Die Speicherung sei daher zu nicht legitimen Zwecken iSv. Art. 5 Abs. 1 Buchst. b) DSGVO erfolgt und in Ermangelung eines Löschkonzepts sei auch gegen Art. 5 Abs. 1 Buchst. e) DSGVO verstoßen worden. Ein Konzernprivileg bestehe nach der DSGVO nicht. Einen ordnungsgemäßen Vertrag nach Art. 28 DSGVO habe die Beklagte nicht vorgelegt. Die von der Beklagten vorgelegten Regelungen seien schon auf den ersten Blick keine Standardvertragsklauseln iSd. Beschlusses der Kommission der Europäischen Union 2010/87/EU. Es sei Sache der Beklagten darzulegen, an welchen Stellen von den Standardklauseln abgewichen wurde und warum diese Abweichungen im Hinblick auf das gleichartige Schutzniveau unproblematisch sei. Außerdem seien die Verträge erst am 24. Mai 2018, also nach der Übertragung der Daten in die USA unterzeichnet worden. Durch die Übermittlung der sensiblen Daten, wie bspw. Vergütungsdetails, Sozialversicherungsnummer, Steuer-ID, Familienstand usw. an unbefugte Dritte und der damit verbundenen Missbrauchsgefahr sei das Persönlichkeitsrecht des Klägers in schwerer Weise verletzt. Der Abfluss seiner Daten führe in jedem Fall zu einem immateriellen Schaden, der in einem Bloßstellungseffekt liegen könne. Angesichts der weiteren Möglichkeiten und Zwecke, zu denen Workday genutzt werden könne, könne davon ausgegangen werden, dass die Daten des Klägers zu einer Profilerstellung oder -nutzung durch die Bewertung persönlicher Aspekte verwendet worden sei. Der immaterielle Schaden könne aber auch schon darin liegen, dass der Kläger in einen Stand der Unsicherheit versetzt werde, weil er nicht wisse, auf welche Weise und zu welchem Zweck seine unrechtmäßig übermittelten Daten verarbeitet worden seien. Für die Bestimmung des Schadens sei der Erwägungsgrund 146 zur DSGVO maßgeblich heranzuziehen und es sei erschwerend zu berücksichtigen, dass die Verstöße unter bewusster Umgehung der Duldungs-BV begangen worden seien und die Daten in ein Land übermittelt worden seien, welches nicht das gleiche Datenschutzniveau wie innerhalb der EU biete. Der rechtswidrige Zustand habe fast einen Zeitraum von zwei Jahren bestanden und es könne nicht ausgeschlossen werden, dass Daten aus Workday noch vor deren Löschung an Behörden übermittelt worden oder abgefragt worden seien und diese Daten dem Kläger im Verlaufe seines Lebens bei einem Aufenthalt in den USA wieder – ggf. negativ – begegnen könnten.
20

Der Kläger beantragte erstinstanzlich – unter Klagerücknahme im Übrigen – zuletzt:

21

1. Die Beklagte wird verurteilt, an Eides statt zu versichern, dass

22

a) die in der Mitteilung vom 29. April 2019 (Anlage B12), dem Kläger übergeben am 30. April 2019, genannten personenbezogenen Daten des Klägers den tatsächlich in dem cloudbasierten Personalinformationsmanagementsystem Workday gespeicherten personenbezogenen Daten des Klägers entsprechen,

23

b) über die in der Mitteilung vom 29. April 2019 (Anlage B12), dem Kläger übergeben am 30. April 2019, genannten personenbezogenen Daten des Klägers keine weiteren personenbezogenen Daten des Klägers in dem cloudbasierten Personalinformationsmanagementsystems Workday gespeichert sind und

24

c) bei der D. Corporation, XXXX P. Ave. N.W., S. XXXW W. X.X. keine weiteren personenbezogenen Daten des Klägers gespeichert sind.

25

2. Die Beklagte wird verurteilt, dem Kläger den immateriellen Schaden, der wegen der Verstöße der Beklagten gegen die Datenschutzgrundverordnung entstanden ist, durch Zahlung einer Geldentschädigung, deren Höhe in das Ermessen des Gerichts gestellt wird, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 18. Mai 2017 zu ersetzen.
26

Die Beklagte beantragte erstinstanzlich,

27

die Klage abzuweisen.
28

Die Beklagte machte – soweit noch von Interesse – geltend, dem Kläger stehe kein Schadensersatzanspruch zu. Die Übermittlung der Daten in die USA sei rechtmäßig gewesen. Die Rechtsmäßigkeit der Datenverarbeitung ergebe sich aus Art. 6 Abs. 1 DSGVO, § 26 Abs. 1 BDSG bzw. nach § 26 Abs. 4 BDSG iVm. der Betriebsvereinbarung. Aber selbst eine fehlende Betriebsvereinbarung mache die Datenverarbeitung nicht unwirksam. Die Beklagte könne sich dann auf § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Buchst. f DSGVO stützen. Einen Verstoß habe der Kläger nicht darlegen können. Besonders sensible Daten nach Art. 9 DSGVO seien nicht übertragen worden. Was die Übermittlung betreffe, sei der Vortrag des Klägers zu Art. 28 DSGVO nicht nachvollziehbar. Die DSGVO sehe in den Art. 44 ff. DSGVO die für die Übermittlung in Drittländer maßgeblichen Bestimmungen vor. Ob die dort genannten Maßnahmen einen angemessenen Schutz bewirken könnten, sei ausschließlich von der Europäischen Kommission festzustellen bzw. vom Europäischen Gerichtshof zu überprüfen. Ein Schaden iSv. Art. 82 DSGVO entstehe zudem nicht schon bei jeder Unannehmlichkeit ober bei Bagatellverstößen, ohne eine ernsthafte Beeinträchtigung für das Selbstbild oder das Ansehen einer Person. Im Übrigen stelle sich die Frage, inwieweit der Kläger überhaupt einen Schadensersatzanspruch, zumal mit Zinsen, für einen Zeitraum geltend machen könne, der vor dem 25. Mai 2018 liege.
29

Mit Urteil vom 14. November 2019 hat das Arbeitsgericht die Klage sowohl hinsichtlich der verlangten eidesstattlichen Versicherung wie auch hinsichtlich des Schadensersatzbegehrens abgewiesen und hinsichtlich des Schadensersatzanspruchs ausgeführt, der Antrag sei zulässig und trotz fehlender Bezifferung hinreichend iSv. § 253 Abs. 2 Nr. 2 ZPO bestimmt, da der Kläger die Tatsachen benannt habe, die das Gericht bei Ausübung des Ermessens heranziehen solle, und die Größenordnung seiner Forderung angegeben habe. In der Sache stehe dem Kläger der Schadensersatzanspruch nicht zu. So habe der Kläger nicht substantiiert dargetan, durch welchen Rechtsverstoß die Beklagte kausal bei ihm welchen Schaden verursacht habe. Der bloße DSGVO-Verstoß führe noch nicht zu einem Schadensersatzanspruch. Die Beklagte berufe sich auf die Duldungs-BV und die zwischen ihr und der Konzernmutter geschlossenen Vereinbarungen. Für die Datenübermittlung in Drittländer seien die Anforderungen der DSGVO in den Art. 44 bis 50 normiert. Im Falle der USA könnten Daten auf der Grundlage des privacy-shield-Abkommens an in den USA gelistete Unternehmen (Art. 45 DSGVO) oder auf der Grundlage von Standarddatenschutzklauseln (Art. 46 DSGVO) übertragen werden. Soweit man den Kläger als Anspruchssteller für darlegungs- und beweisbelastet für den Verordnungsverstoß ansehe, fehle es schon an einem nachvollziehbaren Sachvortrag des Klägers dazu. Diese Frage könne aber dahinstehen, denn nicht jeder Datenschutzverstoß ziehe automatisch einen Schadensersatzanspruch nach sich. Auch unter Berücksichtigung des Erwägungsgrundes 146 Satz 3 DSGVO müsse die Verletzungshandlung zu konkreten, nicht bloß unbedeutenden oder bloß empfundenen Verletzung von Persönlichkeitsrechten führen. Die Erwägungsgründe 75 und 85 DSGVO zählten beispielhaft mögliche Beeinträchtigungen auf, was verdeutliche, dass eine gewisse Erheblichkeitsschwelle der nachteiligen Folgen überschritten sein müsse. Es müsse eine benennbare und tatsächliche Persönlichkeitsrechtsverletzung gegeben sein, mit der Folge, dass nicht bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder das Ansehen der Person ein Schaden bejaht werden könne. Der Erwägungsgrund 146 stehe einem solchen Verständnis nicht entgegen. Im Falle des Klägers sei unklar, wem die in den USA bei der Konzernmutter gespeicherten Daten konkret zur Verfügung standen und weshalb der Kläger hierdurch einen Schaden erlitten haben soll. Die bloße abstrakte Gefahr, dass in den USA Dritte unbemerkt auf den Server im Rahmen von Ermittlungen zugreifen und der Kläger hiermit später bei einem ungewissen USA-Aufenthalt konfrontiert sein könnte, genüge nach Auffassung der Kammer nicht. Sensible Daten iSv. Art. 9 DSGVO seien nicht übertragen worden. Damit habe es dem Kläger oblegen, zur Kausalität und zum Schadenseintritt unter Berücksichtigung des historischen Geschehensablaufs näher und substantiiert vorzutragen, zumal die Anspruchsgrundlage erst zum 25. Mai 2018 ihre Wirksamkeit entfalte.
30

Gegen das ihm am 10. Dezember 2019 zugestellte Urteil hat der Kläger am 10. Januar 2020 Berufung eingelegt und diese innerhalb der ihm bis zum 10. März 2020 verlängerten Berufungsbegründungsfrist mit am 10. März 2020 eingegangenem Schriftsatz begründet.
31

Der Kläger wiederholt und vertieft sein erstinstanzliches Vorbringen und macht geltend, das Arbeitsgericht habe verkannt, dass seine Daten in die USA und damit in ein Land übermittelt worden seien, welches keinen wirksamen Schutz von personenbezogenen Daten gegenüber dortigen Behörden garantiere und nicht ausgeschlossen werden könne, dass seine Daten vor einer möglichen Berechtigung durch die nun abgeschlossenen Betriebsvereinbarungen an Behörden übermittelt worden seien. Der Kläger habe sich aber nicht nur während des Zeitraums der unzulässigen Nutzung einer permanenten Missbrauchsgefahr durch Behörden, sondern auch durch die Beklagte selbst bzw. anderen Gesellschaften des Konzerns gegenübergesehen. Der Abfluss von personenbezogenen Daten stelle in jedem Fall einen immateriellen Schaden dar. Auch liege ein Schaden schon darin, dass sich der Kläger einer Bloßstellung seiner Person gegenüber anderen unberechtigten Personen und Institutionen ausgesetzt gesehen habe, was umso mehr gelte, als der Kläger sich einen langen Zeitraum der Unsicherheit ausgesetzt sah, auf welche Weise und zu welchem Zweck seine Daten tatsächlich von D. oder weiteren Gesellschaften oder Institutionen verarbeitet worden seien. Das Arbeitsgericht habe mit seinen Anforderungen an die Begründung eines Schadens selbige auf eine nicht erreichbare Höhe geschraubt. Es müsse ausreichen, wenn der Kläger eine Gefahr der missbräuchlichen Nutzung – egal durch wen – und die entsprechende Unsicherheit schildere. In einer Gesamtschau sei daher von einem Schaden des Klägers auszugehen. Auch liege ein Verstoß gegen die Vorschriften der DSGVO vor, denn der Kläger habe insoweit nur darzulegen und ggf. zu beweisen, dass die Beklagte irgendwie an der Datenverarbeitung beteiligt gewesen sei. Sache der Beklagten sei es, darzulegen, dass dies verordnungskonform erfolgt sei. Aber selbst, wenn es Sache des Klägers sein sollte, Datenschutzverstöße darzulegen, sei dies unwiderlegt erfolgt. Die Beklagte sei 2017 zur Übermittlung und Speicherung der für Workday genutzten Daten nicht befugt gewesen. Eine erforderliche Eingriffsnorm liege nicht in der Duldungs-BV, die keine Echtdatennutzung zulasse und zudem in der Anlage 2 die möglichen Datenkategorien nenne. Die Beklagte sei hiervon abgewichen. Eine Zustimmung habe der Kläger nicht erteilt und mangels Erforderlichkeit der Nutzung des Systems Workday für die Durchführung des Arbeitsverhältnisses sei eine Verarbeitung auch nach § 26 Abs. 1 BDSG nicht zulässig gewesen. Einen ordnungsgemäßen Vertrag nach Art. 28 DSGVO habe die Beklagte nicht vorgelegt. Die Datenübermittlung sei nach Art. 44 ff. DSGVO nicht zulässig gewesen, da die Beklagte keine Standardvertragsklauseln vereinbart habe. In konsequenter Fortsetzung der Rechtsprechung des Europäischen Gerichtshofs in Sachen Schrems I (Urteil vom 6. Oktober 2015 – C-362/14 -) sei davon auszugehen, dass solche Klauseln ohnehin keinen ausreichenden Schutz böten. Der Umstand, dass die DSGVO erst seit dem 25. Mai 2018 gelte, führe zu keiner anderen Beurteilung, da die konkrete Datenverarbeitung ab dem 25. Mai 2018 am Maßstab der DSGVO zu messen sei. Zudem sei zu berücksichtigen, dass die Vorgehensweise der Beklagten auch nach der bis zum 24. Mai 2018 geltenden Rechtslage zu Datenschutzverstößen geführt habe und es sich um einen Dauerzustand gehandelt habe. Auch sei davon auszugehen, dass die Beklagte vorsätzlich unter bewusster Übergehung von datenschutz- und betriebsverfassungsrechtlichen Vorschriften vorgegangen sei. Die Verletzungshandlungen seien unzweifelhaft kausal für den beim Kläger entstandenen Schaden. Hätte die Beklagte keinen Verstoß begangen, hätte sich der Kläger der angesprochenen Unsicherheit nicht ausgesetzt gesehen. Der Kläger müsse daher einen „wirksamen“ Schadensersatz erhalten, was immaterielle Schadensersatzhöhen rechtfertige, die weit über solche bei bisherigen Verstößen gegen das BDSG – auch angesichts des vorsätzlichen Handelns – hinauszugehen hätten. Zudem seien die übermittelten Daten sensibel gewesen, wenn auch nicht iSv. Art. 9 DSGVO.
32

Der Kläger beantragt,

33

1. Das Urteil des Arbeitsgerichts Ulm, Aktenzeichen 5 Ca 18/18 vom 14. November 2019 wird abgeändert.

34

2. Die Beklagte wird verurteilt, dem Kläger den immateriellen Schaden, der wegen der Verstöße der Beklagten gegen die Datenschutzgrundverordnung entstanden ist, durch Zahlung einer Geldentschädigung, dessen Höhe in das Ermessen des Gerichts gestellt wird, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 18. Mai 2017 zu ersetzen.
35

Die Beklagte beantragt,

36

die Berufung zurückzuweisen.
37

Die Beklagte verteidigt die arbeitsgerichtliche Entscheidung und vertieft ihr erstinstanzliches Vorbringen. Die Berufung sei bereits unzulässig. Dem Kläger gelinge es nicht, den haftungsbegründenden bzw. den haftungsausfüllenden Tatbestand hinreichend schlüssig zu begründen; die Entscheidung des Arbeitsgerichts beruhe nicht auf den angeblichen Rechtsfehlern. Nach wie vor sei unklar, worin der immaterielle Schaden des Klägers liegen solle. Einen Schaden, wie er sich etwa aus den Erwägungsgründen 75 und 85 zur DSGVO ergebe (Diskriminierung, Identitätsdiebstahl oder Verlust der Vertraulichkeit des Berufsgeheimnisses), mache der Kläger nicht geltend. Nicht jede empfundene Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder das Ansehen einer Person könne als Schaden gelten. Wenn der Kläger in die USA einreisen wolle, müsse er ohnehin diejenigen Informationen, die er als sensibel empfinde, abgeben. Statt eines Schadens trage der Kläger lediglich vor, er sehe sich in der Gefahr, einen Schaden zu erleiden. Dies sei jedoch kein ersatzfähiger Schaden iSv. Art. 82 DSGVO. Ein ersatzfähiger Schaden könne erst bei einer schwerwiegenden Verletzung des allgemeinen Persönlichkeitsrechts, die nicht auf andere Weise ausgeglichen werde, angenommen werden. Soweit der Kläger den Schaden mit einem „Datenabfluss“ begründe, verkenne der Kläger, dass damit ein Datenleck iSe. Datenpanne verstanden werde, was nicht gegeben sei. Auch ein unberechtigter Datenfluss von Stammdaten eines Arbeitnehmers innerhalb eines Konzerns stelle keinen vergleichbaren Eingriff in das Persönlichkeitsrecht wie ein Datenleck dar. Eine Bloßstellung des Klägers sei nicht erfolgt. Soweit der Kläger meine, es sei mit einiger Wahrscheinlichkeit davon auszugehen, dass seine Daten zu einer Profilerstellung verwendet worden seien, sei nicht erkennbar, aus welchen Umständen der Kläger dies ableiten wolle. Auch sei nicht klar, welche konkrete Bloßstellung der Kläger befürchte. Es sei aber Sache des Klägers einen eingetretenen Schaden darzulegen. Selbst wenn man für einen Schaden eine besondere Schwere nicht verlange, könne eine bloße Empfindung keinen Schaden auslösen. Der Anspruch des Klägers scheitere aber auch im Übrigen. Ein Verstoß gegen die DSGVO liege nicht vor. Dabei sei zu berücksichtigen, dass die DSGVO erst seit dem 25. Mai 2018 gelte, was der Kläger zu überspielen versuche und daran deutlich werde, dass Zinsen seit dem 18. Mai 2017 verlangt werden. Vor dem Inkrafttreten der DSGVO hätte der Kläger nach § 7 BDSG aF keinen Anspruch auf Ersatz immaterieller Schäden gehabt. Der Kläger trage letztlich vor, dass eine Datenübertragung in die USA per se unzulässig gewesen sei, ohne zu berücksichtigen, dass die DSGVO zum Zeitpunkt der Übermittlung nicht gegolten habe. Ungeachtet dessen sei die Datenübermittlung aber auch auf der Grundlage von Art. 46 Abs. 2 Buchst. c, d DSGVO zulässig gewesen. Die Beklagte habe Standardvertragsklauseln im Sinne des Beschlusses 2010/87/EU mit der Konzernmutter vereinbart, was sich aus den vorgelegten Vertragsdokumenten ergebe. Weshalb der Kläger meine, auf den ersten Blick erkennen zu können, dass dies nicht der Fall gewesen sei, bleibe sein Geheimnis. Die in den USA gespeicherten Daten hätten daher einem ausreichenden Schutzniveau unterlegen. Auf die Duldungs-BV komme es letztlich nicht an, da in § 26 Abs. 1 BDSG eine Rechtsgrundlage für die Verarbeitung zu sehen sei. Die Systeme SAP und Workday dienten unterschiedlichen Zwecken, weshalb eine Doppelung der Datenverarbeitung unschädlich sei. Es sei Sache des Klägers einen Verstoß gegen die DSGVO darzulegen. Jedenfalls treffe die Beklagte nur dann eine sekundäre Behauptungslast, wenn der Kläger Anhaltspunkte für einen konkreten Verstoß vortragen könne, woran es fehle. Für die Kausalität zwischen Pflichtverletzung und Schaden treffe ebenso den Kläger die Darlegungs- und Beweislast.
38

Erstmals im Termin zur mündlichen Verhandlung vor dem Berufungsgericht hat der Kläger geltend gemacht, ein Anspruch auf Ersatz eines immateriellen Schadens stehe ihm auch wegen Verstößen der Beklagten gegen die DSGVO bei Erfüllung seines Auskunftsverlangens zu.
39

Hinsichtlich des weiteren Vorbringens der Parteien im Einzelnen wird auf die gewechselten Schriftsätze nebst Anlagen und die Protokolle der mündlichen Verhandlungen Bezug genommen.

Entscheidungsgründe
40

Die Berufung des Klägers hat keinen Erfolg. Das Arbeitsgericht hat die Klage zu Recht abgewiesen.
41

A. Allerdings ist die Berufung gem. § 64 Abs. 2 Buchst. b ArbGG statthaft und gem. § 66 Abs. 1 Satz 1 ArbGG, §§ 518, 520 ZPO in der gesetzlich vorgeschriebenen Form und Frist eingelegt und begründet worden. Die Berufungsbegründung genügt außerdem den Anforderungen von § 64 Abs. 6 ArbGG, § 520 Abs. 3 Satz 2 Nr. 1-4 ZPO.
42

I. Zweck des § 520 ZPO ist es, die Beurteilung des Streitfalls durch den Erstrichter zu überprüfen und den Rechtsstreit für die Berufungsinstanz durch eine Zusammenfassung und Beschränkung des Rechtsstoffs ausreichend vorzubereiten. Nach § 64 Abs. 6 Satz 1 ArbGG iVm. § 520 Abs. 3 Satz 2 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich die Rechtsverletzung durch das angefochtene Urteil und deren Erheblichkeit für das Ergebnis der Entscheidung ergibt. Die Berufungsbegründung muss erkennen lassen, in welchen Punkten tatsächlicher oder rechtlicher Art das angefochtene Urteil nach Ansicht des Berufungsklägers unrichtig ist und auf welchen Gründen diese Ansicht im Einzelnen beruht (vgl. etwa BAG 24. Oktober 2017 – 1 AZR 166/16 – Rn. 11). Sie muss auf den zur Entscheidung stehenden Fall zugeschnitten sein und sich mit den rechtlichen oder tatsächlichen Argumenten des angefochtenen Urteils befassen, wenn sie diese bekämpfen will (vgl. BAG 24. Oktober 2019 – 8 AZR 528/18 – Rn. 17, AP BGB § 288 Nr. 8; 14. Mai 2019 – 3 AZR 274/18 – Rn. 18). Eine schlüssige, rechtlich haltbare Begründung kann zwar nicht verlangt werden. Für die erforderliche Auseinandersetzung mit den Urteilsgründen der angefochtenen Entscheidung reicht es aber nicht aus, die tatsächliche oder rechtliche Würdigung durch das Arbeitsgericht mit formelhaften Wendungen zu rügen und lediglich auf das erstinstanzliche Vorbringen zu verweisen oder dieses zu wiederholen (vgl. BAG 23. November 2017 – 8 AZR 458/16 – Rn. 14, AP ArbGG 1979 § 64 Nr. 53; 26. April 2017 – 10 AZR 275/16 – Rn. 13; 17. Februar 2016 – 2 AZR 613/14 – Rn. 13, AP KSchG 1969 § 2 Nr. 168).
43

II. Diesen Anforderungen genügt die Berufungsbegründung, nachdem das Arbeitsgericht sein Urteil entscheidend allein darauf gestützt hat, dass der Kläger einen bei ihm entstandenen kausalen (immateriellen) Schaden nicht dargelegt habe. Die bloße abstrakte Gefahr, dass in den USA Dritte unbemerkt auf den Server im Rahmen von Ermittlungen zugreifen könnten und der Kläger bei einem zukünftigen ungewissen USA-Aufenthalt damit konfrontiert sein könnte, reiche zur Begründung eines Schadens nicht aus. Schon indem der Kläger geltend macht, mit dieser Begründung habe das Arbeitsgericht den Schaden abweichend von der Intention des Verordnungsgebers, wie er sich aus Erwägungsgrund 146 Satz 3 DSGVO im Lichte der Rechtsprechung des EuGHs ergebe, bestimmt und in nicht erreichbare Höhen geschraubt, hat der Kläger aufgezeigt, mit welchen rechtlichen Argumenten er die angegriffene Entscheidung zu bekämpfen sucht.
44

B. In der Sache hat die Berufung allerdings keinen Erfolg. Die Klage ist zwar zulässig, aber unbegründet.
45

I. Für den vom Kläger begehrten Schadensersatz sind deutsche Gerichte international zuständig, Art. 82 Abs. 6 DSGVO iVm. Art. 79 Abs. 2 Satz 1 DSGVO. Die Beklagte wird als Verantwortliche, die ihren Sitz in Deutschland hat, in Anspruch genommen. Damit sind deutsche Gerichte mit der Schadensersatzklage des Klägers zu befassen.
46

II. Streitgegenstand des verbliebenen unbezifferten Zahlungsantrags ist allein das Bestehen eines immateriellen Schadensersatzanspruchs wegen der Verarbeitung der personenbezogenen Daten des Klägers im Zusammenhang mit der Einführung des Personalinformationsmanagementsystems Workday. Der unbezifferte Zahlungsantrag genügt dabei den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO.
47

1. Grundlage für den gerichtlichen Entscheidungsrahmen ist allein das Bestehen von (immateriellen) Schadensersatzansprüchen des Klägers wegen der Verarbeitung seiner personenbezogenen Daten im Vorfeld der produktiven Einführung der Plattform Workday.
48

a) Nach dem für das arbeitsgerichtliche Urteilsverfahren geltenden zweigliedrigen Streitgegenstandsbegriff wird der Gegenstand eines gerichtlichen Verfahrens durch den gestellten Antrag (Klageantrag) und den ihm zugrunde liegenden Lebenssachverhalt (Klagegrund) bestimmt. Der Streitgegenstand erfasst alle Tatsachen, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden, den Sachverhalt seinem Wesen nach erfassenden Betrachtungsweise zu dem zur Entscheidung gestellten Tatsachenkomplex gehören, den der Kläger zur Stützung seines Rechtsschutzbegehrens dem Gericht unterbreitet hat (vgl. BAG 26. Juni 2013 – 5 AZR 428/12 – Rn. 16, AP BGB § 611 Arbeitszeit Nr. 43 = EzA BGB 2002 § 611 Arbeitszeitkonto Nr. 10). Der Streitgegenstand ändert sich, wenn der entweder gestellte Antrag oder der ihm zugrundeliegende Lebenssachverhalt ein anderer geworden ist (vgl. BAG 20. Februar 2014 – 2 AZR 864/12 – Rn. 17, AP ArbGG 1979 § 68 Nr. 8 = EzA ArbGG 1979 § 68 Nr. 4; 26. Juni 2013 – 5 AZR 428/12 – aaO; 13. Dezember 2011 – 1 AZR 508/10 – Rn. 21 mwN, AP BetrVG 1972 § 77 Betriebsvereinbarung Nr. 57 = EzA BetrVG 2001 § 77 Nr. 32).
49

b) Der Kläger stützte erst- wie auch zweitinstanzlich seinen Anspruch auf Ersatz eines immateriellen Schadens auf „Verstöße der Beklagten gegen die Datenschutzgrundverordnung“ – wie sich bereits dem Antrag entnehmen lässt – und stützt dies auf den Sachverhalt, dass die Beklagte im Zeitraum zwischen dem 24. April bis 18. Mai 2017 personenbezogene Daten – ihn betreffend – auf eine Sharepoint-Seite der Muttergesellschaft der Beklagten übermittelt und die cloudbasierte Plattform Workday damit hat befüllen lassen und den Umstand, dass die Speicherung/Verarbeitung seiner Daten über den 24. Mai 2018 fortgesetzt wurde. In zeitlicher Hinsicht reicht der vom Kläger unterbreitete Sachverhalt von der Datenübermittlung längstens bis zur Geltung der BV Workday / BV IT. Der Kläger behauptet in diesem Sachzusammenhang Verstöße gegen die DSGVO bei der Verarbeitung seiner Daten, was zeigt, dass es ihm ausschließlich um DSGVO-Verstöße geht, auch wenn er eine Verzinsung der behaupteten Ansprüche von einem Zeitpunkt weit vor dem Geltungsbeginn der DSGVO beansprucht. Aus der Nebenforderung kann jedoch kein zwingender (abweichender) Rückschluss auf den Streitgegenstand – Schadensersatz wegen DSGVO-Verstößen – gezogen werden.
50

c) Nicht streitgegenständlich ist die Frage, ob dem Kläger ein Anspruch auf Ersatz immaterieller Schäden wegen einer etwaig unzureichenden oder verspäteten Auskunft iSv. Art. 12 ff. DSGVO zusteht. Auf diesen – abweichenden – Sachverhalt hat der Kläger sein Schadensersatzbegehren schriftsätzlich weder erstinstanzlich noch in der Berufungsinstanz gestützt, sondern immer geltend gemacht, die Verarbeitung/Übermittlung seiner personenbezogenen Daten an die Konzernmutter der Beklagten löse einen Anspruch aus. Soweit der Kläger erstmals im Termin zur Berufungsverhandlung, und damit unter Missachtung der für eine Klageänderung notwendigen Form nach §§ 129 Abs. 1, 297 ZPO bzw. § 261 Abs. 2 iVm. § 253 Abs. 2 Nr. 2 ZPO, geltend machte, der Anspruch ergebe sich (ggf. auch) aus dem Umstand, dass die Beklagte sein Auskunftsverlangen zu spät erfüllt habe, wobei insoweit unklar geblieben ist, ob der Kläger meint, er könne sein Schadensersatzbegehen alternativ (und falls ja, in welchem Rangverhältnis) oder kumulativ auf diesen Sachverhalt stützen, handelt es sich – neben der mangelhaften Einführung gem. §§ 129, 297 ZPO, weshalb das Vorbringen als verspätet iSv. § 67 Abs. 3 ArbGG iVm. § 282 Abs. 2 ZPO zurückzuweisen wäre – vorrangig um eine nach §§ 533, 263 ZPO nicht zulässige Klageänderung.
51

aa) Nach § 533 ZPO ist eine Klageänderung in der Berufungsinstanz nur zulässig, wenn der Gegner einwilligt oder das Gericht dies für sachdienlich hält (Nr. 1) und diese auf Tatsachen gestützt werden kann, die das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin nach § 529 ZPO zugrunde zu legen hat (Nr. 2).
52

bb) Die Beklagte hat sich nicht rügelos eingelassen und die Frage der Sachdienlichkeit kann dahinstehen, weil die Klageänderung jedenfalls nicht auf Tatsachen gestützt wird, welches das Berufungsgericht seiner Verhandlung und Entscheidung über die Berufung ohnehin zugrunde zu legen hätte. Die Tatsachen und Fragestellungen im Zusammenhang mit der Auskunftserteilung zur Verarbeitung der personenbezogenen Daten des Klägers sind andere als diejenigen zur Verarbeitung der personenbezogenen Daten selbst. Für die Sachentscheidung über die Schadensersatzansprüche wegen etwaigen Verstößen gegen die DSGVO im Zusammenhang mit der Übermittlung von personenbezogenen Daten des Klägers an die Konzernmutter in den USA kommt es in keiner Weise auf diejenigen Tatsachen an, die für die Fragestellung relevant sind, in welchem Umfang dem Kläger überhaupt ein Auskunftsanspruch, nach Art. 15 DSGVO zugestanden hat und ob und zu welchem Zeitpunkt die Beklagte welches Auskunftsverlagen unter Berücksichtigung der Art. 12 ff. DSGVO verordnungskonform schriftsätzlich im Prozess oder durch außergerichtliche Mitteilungen erfüllt hat. Die Beklagte hat im Berufungstermin deutlich gemacht, dass sie einem Schadensersatzbegehren, gestützt auf eine nicht verordnungskonforme Erfüllung des Auskunftsanspruchs, auch mit bisher nicht in den Rechtsstreit eingeführten Umständen (insb. zu den verschiedenen Auskunftsverlangen sowie zur Komplexität und Anzahl der Anträge, die nach Art. 12 Abs. 3 DSGVO eine Verlängerung der Frist zur Auskunftserteilung rechtfertigen können) entgegentreten würde. Die nach § 533 Nr. 2 ZPO erforderliche kongruente Tatsachengrundlage liegt damit nicht vor.
53

2. Das Arbeitsgericht ist zu Recht davon ausgegangen, dass der vom Kläger gestellte, unbezifferte Zahlungsantrag unter Beachtung von § 253 Abs. 2 Nr. 2 ZPO zulässig ist. Bei einem begehrten Ausgleich immaterieller Schäden, dessen Höhe in das Ermessen des Gerichts gestellt wird, genügt es diejenigen Tatsachen vorzutragen, die dem Gericht eine Schätzung nach § 287 Abs. 1 Satz 1 ZPO ermöglichen, und die Größenordnung der geltend gemachten Forderung anzugeben (BAG 27. August 2020 – 8 AZR 45/19 – Rn. 15, juris; 21. Februar 2013 – 8 AZR 68/12 – Rn. 16, AP AGG § 15 Nr. 13). Dies ist vorliegend der Fall, insb. hat der Kläger zuletzt eine Größenordnung von 3.000,00 Euro für den von ihm begehrten immateriellen Schadensersatz angegeben.
54

III. Die Klage ist unbegründet. Dem Kläger steht kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter der Beklagten in den USA nach Art. 82 DSGVO zu.
55

1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Art. 82 DSGVO normiert damit einen Schadensersatzanspruch zugunsten der von der Datenverarbeitung betroffenen Person gegen die für die Datenverarbeitung verantwortlichen Stelle für den Fall, dass die Datenverarbeitung gegen Vorgaben der Datenschutzgrundverordnung verstößt (vgl. EU-ArbR/Franzen 3. Aufl. Art. 82 DSGVO Rn. 1).
56

2. Die Voraussetzungen für eine Schadensersatzverpflichtung in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen danach nicht vor. Dem Kläger oblag es dabei darzulegen, dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist (vgl. EU-ArbR/Franzen Art. 82 DSGVO Rn. 15). Dies ist ihm nicht gelungen.
57

a) Der Kläger ist nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter. Die DSGVO enthält nach Art. 1 Abs. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was „personenbezogene Daten“ im Sinne der Verordnung sind, bestimmt Art. 4 Abs. 1 DSGVO mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Anspruchsberechtigt sind damit natürliche Personen, wobei Art. 82 Abs. 1 DSGVO ausdrücklich von „jeder Person“ spricht. Nachdem personenbezogene Daten des Klägers unstreitig verarbeitet wurden, er also sogar die „betroffene Person“ iSv. Art. 4 Nr. 1 DSGVO ist, gehört der Kläger in jedem Fall zum anspruchsberechtigten Personenkreis.
58

b) Die Beklagte ist mögliches Haftungssubjekt des vom Kläger geltend gemachten Anspruchs. Nach Art. 82 Abs. 2 Satz 1 DSGVO ist Haftungssubjekt jeder an einer Verarbeitung beteiligte Verantwortliche. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als juristische Person und Arbeitgeberin verarbeitet personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer und entscheidet (ob, wofür und wieweit der Datenverarbeitung; vgl. Hartung in: Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13) – ggf. mitbestimmt – über die Zwecke und Mittel der Verarbeitung personenbezogener Daten; ihr sind die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen, weshalb sie Verantwortliche nach Art. 4 Nr. 7 DSGVO ist.
59

c) Es liegt auch ein „Verstoß gegen diese Verordnung“ iSv. Art. 82 Abs. 1 DSGVO vor.
60

aa) Unter einem „Verstoß gegen diese Verordnung“ ist nicht nur ein Verstoß gegen Bestimmungen der DSGVO zu verstehen, sondern auch gegen Vorschriften des Unionsrechts die aufgrund delegierter Rechts- und Durchführungsrechtsakten erlassen wurden und gegen solche Rechtsvorschriften der Mitgliedsstaaten, welche die Bestimmungen der DSGVO präzisieren (vgl. Erwägungsgrund 146 Satz 5). Damit sind auch sämtliche Verstöße gegen Rechtsvorschriften erfasst, welche aufgrund einer Öffnungsklausel der DSGVO erlassen wurden, wie bspw. Verstöße gegen § 26 BDSG, mit dessen Normierung von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht wurde (vgl. EUArbR/Franzen Art. 82 DSGVO Rn. 11; Frenzel in: Paal/Pauly DSGVO 3. Aufl. Art. 82 Rn. 9).
61

bb) Nach allgemeinen Grundsätzen trägt zwar die betroffene Person die Beweislast für die anspruchsbegründenden Umstände, dh. auch für einen „Verstoß gegen diese Verordnung“. Allerdings ist zu beachten, dass nach Art. 24 Abs. 1 Satz 1 DSGVO der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach dem Erwägungsgrund 74 betrifft die Regelung der Verantwortungszuweisung auch die Frage der Haftung. Art. 24 Abs. 1 DSGVO als Überblicks- und Generalnorm ist dabei insgesamt als Ausdruck eines risikobasierten Ansatzes der DSGVO zu verstehen (vgl. Hartung in: Kühling/Buchner Art. 24 Rn. 11). Zudem ist der Verantwortliche für die Einhaltung der Bestimmungen des Art. 5 Abs. 1 DSGVO (Rechtsmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss die Einhaltung nachweisen können (Rechenschaftspflicht). Auf der Ebene der Darlegungs- und Beweislast hat dies zur Folge, dass der Anspruchsteller lediglich darlegen und ggf. beweisen muss, dass der Anspruchsgegner irgendwie an der Verarbeitung beteiligt war, während der Anspruchsgegner darlegen und ggf. beweisen (Vollbeweis) muss, sämtliche Vorschriften iSv. Art. 82 Abs. 1, Abs. 2 DSGVO eingehalten zu haben (vgl. Bengt in: Kühling/Buchner Art. 82 Rn. 48; EU-ArbR/Franzen Art. 82 Rn. 16).
62

cc) Die Beklagte hat – nachdem deren Beteiligung als Verantwortliche an der ab Geltung der DSGVO zum 25. Mai 2018 fortgesetzten Speicherung und Datenverarbeitung von personenbezogenen Daten des Klägers in der D. Workday-Cloud unstreitig ist – nicht dargelegt, dass diese fortgesetzte Datenspeicherung, dh. Verarbeitung iSv. Art. 4 Nr. 2 DSGVO verordnungskonform erfolgt ist.
63

(1) Unerheblich ist zunächst, dass die Daten des Klägers bereits vor Beginn des Geltungszeitpunkts der DSGVO (25. Mai 2018; Art. 99 Abs. 2 DSGVO) bei der Beklagten aus SAP ausgelesen und auf die Sharepoint-Seite der Konzernmutter auf einen Server in die USA übermittelt wurden, weil Verarbeitung von Daten iSv. Art. 4 Nr. 2 DSGVO auch die (fortgesetzte) Speicherung der Daten im Auftrag der Beklagten ist. Jedenfalls dauerte die Datenverarbeitung in Verantwortung der Beklagten über den 24. Mai 2018 hinaus fort und betrifft damit auch den Geltungszeitraum der DSGVO. Eine Löschung aller oder eines Teils der im April/Mai 2017 auf die Sharepoint-Seite bzw. in der Workday-Cloud gespeicherten Daten noch vor dem Inkrafttreten der DSGVO behauptet auch die Beklagte nicht.
64

(2) Die Beklagte hat nicht dargelegt, dass die fortgesetzte Verarbeitung der Daten des Klägers in der cloudbasierten Plattform Workday den Vorgaben der DSGVO bzw. den nationalen Vorschriften zur Konkretisierung und Ausfüllung der Verordnung entsprach. Allerdings liegt weder in der Übermittlung der Daten des Klägers auf die Sharepoint-Seite des D.-Konzerns vor dem 25. Mai 2018 oder in der Auftragsdatenverarbeitung durch die Konzernmutter ab dem 25. Mai 2018 ein Verstoß gegen die Bestimmungen der DSGVO.
65

(a) Ausgangspunkt ist, dass es sich beim Datenschutzrecht um ein Verbot mit Erlaubnisvorbehalt handelt. Fehlt es an der erforderlichen Ermächtigungsgrundlage oder liegen deren Voraussetzungen nicht vor, ist die Datenverarbeitung verboten (vgl. Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 11; LAG Düsseldorf 11. März 2020 – 12 Sa 186/19 – Rn. 133, NZA-RR 2020, 348; vgl. schon zum nationalen Recht: BAG 15. November 2012 – 6 AZR 339/11 – Rn. 16, BAGE 143, 343).
66

(b) Art. 6 Abs. 1 DSGVO bestimmt, dass die Verarbeitung nur rechtmäßig ist, wenn mindestens eine der in Buchst. a bis f genannten Bedingungen erfüllt ist. Nach Art. 6 Abs. 2 DSGVO können die Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchst. c und e beibehalten oder einführen, indem sie spezifischere Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung zu gewähren, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. Im Kapitel IX hat der europäische Verordnungsgeber in Art. 88 Abs. 1 DSGVO für die Datenverarbeitung im Beschäftigungskontext eine Öffnungsklausel zur Schaffung von spezifischeren Rechtsvorschriften durch die Mitgliedsstaaten geschaffen, wovon der deutsche Gesetzgeber in § 26 BDSG, der wiederum § 32 BDSG aF mit dem gesetzgeberischen Willen, die richterrechtliche geprägte Rechtslage fortzuschreiben und zu konkretisieren, ablöste, Gebrauch gemacht hat (vgl. ErfK/Franzen 21. Aufl. § 26 BDSG Rn. 1 f.). § 26 Abs. 4 BDSG lässt dabei die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen (Tarifverträge und Betriebsvereinbarungen) ausdrücklich zu, wovon die Rechtsprechung auch bei der bis zum 24. Mai 2018 maßgeblichen Rechtslage ausging (vgl. BAG 25. September 2013 – 10 AZR 270/12 – Rn. 32, BAGE 146, 109).
67

(c) Die fortgesetzte Datenverarbeitung (Speicherung) von personenbezogenen Daten des Klägers in dem von der Beklagten vorgenommenen Umfang kann weder auf § 26 Abs. 4 BDSG iVm. der Duldungs-BV vom 3. Juli 2017, deren Geltung bis zum 31. Januar 2019 verlängert wurde, noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden. Der vorläufige Testbetrieb von Workday in der Phase der Verhandlungen in der Einigungsstelle über die BV Workday und BV IT war nur in dem von der Duldungs-BV bestimmten Umfang verordnungskonform. Die Duldungs-BV erlaubt – dies ergibt sich eindeutig aus ihrem Wortlaut – allerdings die Verwendung von Echtdaten der Beschäftigten in Bezug auf die Datenkategorien der Anlage 2. Andernfalls hätte es den Einschränkungen (bspw. Aus- und Verwertungsverbot nach § 3 der Duldungs-BV) und damit auch der Betriebsvereinbarung insgesamt (§ 87 Abs. 1 Nr. 6 BetrVG) gar nicht bedurft.
68

(aa) Das fortgesetzte Speichern von personenbezogenen Daten des Klägers in dem von der Beklagten vorgenommenen Umfang kann nicht auf der Grundlage der Duldungs-BV gerechtfertigt werden. Gerechtfertigt war allein die Datenverarbeitung in dem durch die Anlage 2 der Duldungs-BV genannten Umfang (Datenkategorien) zu den normierten (Test-)Zwecken.
69

(aaa) Zwar kann eine Betriebsvereinbarung mit Rücksicht auf § 26 Abs. 4 BDSG eine ansonsten unzulässige Datenverarbeitung rechtfertigen (vgl. ErfK/Franzen § 26 BDSG Rn. 47), jedoch müssen die von den Betriebsparteien normierten Voraussetzungen vorliegen und die Betriebsparteien haben nach § 26 Abs. 4 Satz 2 BDSG die Bestimmung des Art. 88 Abs. 2 DSGVO zu beachten, dh. sie müssen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorsehen. Die Duldungs-BV sieht in diesem Zusammenhang vor, dass mit ihr der vorläufige Betrieb des cloudbasierten Personal-Informationssystems Workday geregelt wird (§ 2 Abs. 1 Satz 1 Duldungs-BV), wobei dieses in den Anlagen 1 bis 2 abschließend dokumentiert wird (§ 2 Abs. 1 Satz 2 Duldungs-BV). Nach § 2 Abs. 3 Duldungs-BV muss vor Einführung des Systems als Produktivsystem eine Betriebsvereinbarung abgeschlossen werden, die die Einführung und die Anwendung von Workday spezifisch regelt, welche die Duldungs-BV ersetzt. Vor Abschluss der zu erstellenden Betriebsvereinbarung dürfen Reporte jeglicher Art nur zu Testzwecken erstellt werden (§ 2 Abs. 4 Duldungs-BV) und während des Testzeitraums darf Workday nicht für HR Standardprozesse wie Leistungsbewertung, Einstellungen, Kündigungen, Entlohnung etc. verwendet werden (§ 2 Abs. 5 Duldungs-BV). § 3 der Duldungs-BV sieht ein Aus- und Verwertungsverbot für den Testzeitraum vor. Während die Anlage 1 die zu Testzwecken erlaubten Nutzungen regelt, bestimmt die Anlage 2 abschließend den Umfang der zu Testzwecken erlaubten Datenkategorien mit: D. Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, Konzern Eintrittsdatum, Arbeitsort, Firma (K./De.), Arbeitsort, Firma, Geschäftliche Telefonnummer, Geschäftliche Emailadresse.
70

(bbb) Unstreitig verarbeitete die Beklagte bereits vor Unterzeichnung der Duldungs-BV, während deren Geltung und auch noch im Zeitpunkt des Inkrafttretens der DSGVO (bzw. von § 26 BDSG nF) über die erlaubten Datenkategorien hinaus auch das Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers (Bl. 76 bis 85 d. Akte ArbG). Weiter auch die Mitgliedschaft des Klägers im Betriebsrat als Funktionsbezeichnung „Works Council“, die Art der Anstellung („unbefristet“), ob eine Vollzeit- oder Teilzeitbeschäftigung vorliegt, die für den Kläger maßgebliche „Berichtskette“, einschließlich der Namen derjenigen Mitarbeiter, zu denen die Berichtskette besteht, die Kostenstelle, das für den Kläger maßgebliche Tarifwerk einschließlich der Eingruppierung des Klägers, das Geschlecht und die Nationalität des Klägers (Bl. 84 d. Akte ArbG). All diese Datenkategorien durfte die Beklagte nicht – auch nicht zu Testzwecken bzw. vorläufig – verarbeiten. Die Duldungs-BV stellt daher keine Rechtsgrundlage für die Verarbeitung dieser Daten dar, bei denen es sich durch den Bezug zum Kläger um personenbezogene Daten iSv. Art. 4 Nr. 1 DSGVO handelt.
71

(bb) Ebenso wenig bietet § 26 Abs. 1 BDSG eine Grundlage für die Datenverarbeitung personenbezogener Daten des Klägers in der Testphase der Plattform Workday bis zu deren Einführung auf der Grundlage der abgeschlossenen BV Workday vom 23. Januar 2019.
72

(aaa) Nach § 26 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Erlaubt ist eine Datenverarbeitung nur, wenn sie „erforderlich“ ist. Nachdem der Gesetzgeber es ausdrücklich bei der bisherigen Rechtslage belassen wollte, kann für den Begriff der Erforderlichkeit an der bisherigen Rechtsprechung angeknüpft werden (vgl. Maschmann in: Kühling/Buchner § 26 BDSG Rn. 19; ErfK/Franzen § 26 BDSG Rn. 9). Das Bundesarbeitsgericht hat zur früheren Rechtslage eine Verhältnismäßigkeitsprüfung durchgeführt, dh. die Geeignetheit, Erforderlichkeit und Angemessenheit geprüft (vgl. BAG 20. Juni 2013 – 2 AZR 546/12 – Rn. 28, BAGE 145, 278). Geeignet ist die Maßnahme des Arbeitgebers, wenn der angestrebte Zweck gefördert werden kann. Auf der Stufe der Erforderlichkeit ist zu prüfen, ob dem Arbeitgeber kein anderes gleich geeignetes und wirksames Mittel zur Verfügung steht, welches das allgemeine Persönlichkeitsrecht des Arbeitnehmers weniger belastet (vgl. BAG 20. Juni 2013 – 2 AZR 546/12 – aaO). Mit dem Kriterium der Erforderlichkeit der Datenverarbeitung ist sichergestellt, dass ein an sich legitimes Datenverarbeitungsziel nicht zum Anlass genommen wird, überschießend personenbezogene Daten zu verarbeiten. Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers bedingt dies entsprechend der Bekundung des Gesetzgebers – welcher hierbei an die bis 24. Mai 2018 geltenden datenschutzrechtlichen Bestimmungen und die hierzu ergangene höchstrichterliche Rechtsprechung anknüpft (vgl. BT-Drs. 18/11325 S. 97) – eine Abwägung widerstreitender Grundrechtspositionen im Wege praktischer Konkordanz sowie eine Verhältnismäßigkeitsprüfung (vgl. BAG 7. Mai 2019 – 1 ABR 53/17 – Rn. 42, BAGE 166, 309). Auf der Ebene der Angemessenheit sind die schutzwürdigen Belange des Arbeitgebers und des Arbeitnehmers abzuwägen.
73

(bbb) Danach fehlt es in jedem Fall an der Erforderlichkeit der Verarbeitung von personenbezogenen Daten in einem bzw. auf einer nicht zu Personalverwaltung genutzten Plattform (Workday). Auch die Beklagte behauptet nicht, sie sei zur Durchführung der Arbeitsverhältnisse darauf angewiesen gewesen, bereits vor Einführung von Workday auf der Grundlage der BV Workday, Beschäftigtendaten in der Workday-Cloud zu Testzwecken zu verarbeiten bzw. durch die Konzernmutter verarbeiten zu lassen. Die Beklagte behauptet auch nicht, Workday bereits vor der Einführung auf der Grundlage der BV Workday produktiv genutzt zu haben, sondern behauptet auch nur die Nutzung zu Testzwecken. Sämtliche von der Beklagten bis zur Einführung von Workday auf der Basis der Betriebsvereinbarung vom 23. Januar 2019 durchgeführten Datenverarbeitungsprozesse waren nicht erforderlich zur Durchführung der Arbeitsverhältnisse. Sämtliche Abrechnungs- und Personalverwaltungsvorgänge wurden in der Testphase weiterhin über SAP vorgenommen. Eine Datenverarbeitung von personenbezogenen Daten in einem nicht zur Personalverwaltung produktiv genutzten „Zweitsystem“ kann nicht auf der Grundlage von § 26 Abs. 1 BDSG gerechtfertigt sein, sondern nur auf der Grundlage einer Kollektivvereinbarung (§ 26 Abs. 4 BDSG), welche vorliegend aber nicht den von der Beklagten durchgeführten Umfang der Datenverarbeitung abdeckte. Zudem behauptet auch die Beklagte nicht, die Betriebsparteien hätten die für eine Testphase notwendigen Datenkategorien verkannt und der Katalog der Anlage 2 der Duldungs-BV sei für einen Test des Systems ungeeignet gewesen.
74

(cc) Schließlich war die Datenverarbeitung von personenbezogenen Daten des Klägers bis zur Einführung von Workday auf der Grundlage der Betriebsvereinbarung vom 23. Januar 2019 auch nicht auf der Grundlage von Art. 6 Abs. 1 DSGVO, insb. nicht nach Art. 6 Abs. 1 Buchst. f DSGVO erlaubt. Nachdem eine Einwilligung des Klägers zur Verarbeitung seiner personenbezogenen Daten nicht vorliegt (Art. 6 Abs. 1 Buchst. a DSGVO) und der auf der Grundlage von Art. 88 Abs. 1 DSGVO erlassene § 26 BDSG gegenüber Art. 6 Abs. 1 Buchst. b DSGVO als speziellere Norm vorgeht (vgl. Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 49 f.), kommt zur Rechtfertigung allenfalls Art. 6 Abs. 1 Buchst. f DSGVO in Betracht.
75

(aaa) Nach Art. 6 Abs. 1 Buchst. f DSGVO ist eine Datenverarbeitung auch dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Damit wird letztlich ein Erlaubnistatbestand auf der Grundlage einer Interessenabwägung geschaffen, wobei eine dreistufige Prüfung vorzunehmen ist. Zu beachten ist jedoch, dass Art. 6 Abs. 1 Buchst. f DSGVO nicht als Auffang-, sondern als Ausnahmeregelung zu sehen ist, was sich insb. aus der systematischen Stellung und dem Schutzzweck der DSGVO ergibt (vgl. von dem Bussche/Voigt/v. d. Bussche Konzerndatenschutz 2. Aufl. Teil 3 Kap. 3 Rn. 52). Zunächst ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Anschließend ist zu prüfen, ob die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und schließlich ist eine Interessenabwägung im konkreten Einzelfall vorzunehmen (vgl. Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 146). Aus den Erwägungsgründen 47 und 48 ergeben sich Anhaltspunkt für das Vorliegen eines berechtigten Interesses. Nach dem Erwägungsgrund 47 könnte ein berechtigtes Interesse beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen sei, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen könne, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen müsse, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stelle ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung könne als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Nach dem Erwägungsgrund 48 können Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt. Für die Frage der Erforderlichkeit (2. Stufe) ist zu klären, ob die konkrete Datenverarbeitung zur Wahrung des berechtigten Interesses tatsächlich erforderlich ist, dh. kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (vgl. Buchner/Petri in: Kühling/Buchner Art. 6 DSGVO Rn. 147a).
76

(bbb) Danach kann die parallele Datenverarbeitung von „echten“ Beschäftigtendaten zu bloßen Testzwecken – mit denen die Beschäftigten angesichts der stattfindenden Datenverarbeitung mittels SAP nicht zu rechnen brauchten -, nicht auf Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden. Es fehlt in jedem Fall an der Erforderlichkeit einer Datenverarbeitung, die nicht der Personalverwaltung/Abrechnung etc. dient, sondern allein ein System testen soll. Mildere Mittel, um das System zu testen wäre in jedem Fall die Verwendung von Daten fiktiver Beschäftigten („Max Mustermann“) gewesen. Hätte die Beklagte eine Vielzahl von fiktiven Beschäftigten mit entsprechenden fiktiven personenbezogenen Daten in ihrem System angelegt, wäre in gleicher Weise ein Testlauf möglich gewesen. Jedenfalls ist das von der Beklagten angedeutete Vorbringen, zu Testzwecken hätten Echtdaten verwendet werden müssen, nicht mit einem konkreten Vorbringen der maßgeblichen (technischen und organisatorischen) Zusammenhänge nachvollziehbar gemacht. Eine produktive konzernweite Personaldatenverarbeitung bereits vor Einführung von Workday auf der Grundlage der BV Workday behauptet die Beklagte nicht.
77

(d) Es kann allerdings nicht davon ausgegangen werden, dass die Beklagte gegen die Vorschriften in Kapitel V der DSGVO zur Übermittlung von personenbezogenen Daten in Drittländer oder an internationale Organisationen verstoßen hat.
78

(aa) Nach Art. 44 Satz 1 DSGVO ist jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche und der Auftragsdatenverarbeiter die in Kapitel V der DSGVO niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Der Begriff der Übermittlung iSv. Art. 44 DSGVO ist nicht durch den Verordnungsgeber definiert und bei seiner Auslegung ist der Zweck der Art. 44 ff. DSGVO, jedweden Datentransfer von personenbezogenen Daten außerhalb der Europäischen Union bzw. an eine internationale Organisation besonderen Schutzvorschriften zu unterwerfen, zu beachten. Dies wird auch im Erwägungsgrund 101 angedeutet und besonders durch Art. 44 Satz 3 DSGVO deutlich, wonach alle Bestimmungen dieses Kapitels anzuwenden sind, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Übermittlung ist daher jedwedes Zugänglichmachen solcher Daten zugunsten Dritter, und sei es durch das Einräumen von Zugriffsrechten an außerhalb der Europäischen Union belegene Dritte, ohne dass es darauf ankäme, ob diese Daten tatsächlich abgerufen werden (vgl. Schröder in: Kühling/Buchner Art. 44 DSGVO Rn. 16; Zerdick in: Ehmann/Selmayr DSGVO 2. Aufl. Art. 44 Rn. 7; Kamp/Beck in: BeckOK Datenschutzrecht Art. 44 Rn. 15). Dient die Datenübermittlung dazu, dass derjenige, an den die Daten übermittelt werden, diese im Anschluss verarbeiten soll, bspw. als Auftragsverarbeiter, so ist mit dem Transfer der Daten und dem Speichern der Daten beim Empfänger zugleich die Datenübermittlung beendet. Art. 45 DSGVO sieht die Möglichkeit der Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der Kommission vor, sofern ein solcher besteht. Daneben besteht die Möglichkeit der Datenübermittlung vorbehaltlich geeigneter Garantien, Art. 46 DSGVO. Eine zulässige Datenübertragung an ein Drittland iSv. Art. 44 DSGVO setzt aber nicht nur voraus, dass die Voraussetzungen nach den Bestimmungen des Kapitels V vorliegen, sondern darüber hinaus auch, dass „die sonstigen Bestimmungen dieser Verordnung eingehalten werden“. Art. 44 Satz 1 DSGVO erfordert damit eine Zweistufenprüfung (vgl. Schröder in: Kühling/Buchner Art. 44 DSGVO Rn. 20; Kühling/Klar/Sackmann Datenschutzrecht 4. Aufl. Rn. 556; vgl. auch schon zur RL/95/46EG: EuGH 6. November 2003 – C-101/01 – Rn. 63, Slg 2003, I-12971).
79

(bb) Bei Berücksichtigung dessen ergibt sich zunächst, dass die Beklagte, die auch nach dem Vorbringen des Klägers die personenbezogenen Daten des Klägers im Zeitraum 24. April bis 18. Mai 2017 auf die Sharepoint-Seite des D.-Konzerns hochgeladen hat, um eine (Auftrags-)Datenverarbeitung auf der cloudbasierten Plattform Workday zu ermöglichen und diese Daten in der Workday-Cloud von der Konzernmutter speichern zu lassen, jedenfalls schon deshalb nicht gegen Art. 44 ff. DSGVO verstoßen hat, weil im Verhältnis des Klägers zur Beklagten die Bestimmungen der DSGVO zum Zeitpunkt des Datentransfers nicht in Geltung waren, Art. 99 Abs. 2 DSGVO.
80

(aaa) Die DSGVO „gilt“ iSv. Art. 288 Abs. 2 AEUV seit dem 25. Mai 2018, dh. sie entfaltet gegenüber dem Einzelnen ab diesem Zeitpunkt unmittelbar Bindungswirkung (vgl. Kühling/Raab in: Kühling/Buchner Art. 99 DSGVO Rn. 2; von Lewinski in: Auernhammer DSGVO/BDSG 7. Aufl. Art. 99 DSGVO Rn. 6). Daran ändert auch Art. 99 Abs. 1 DSGVO nichts, wonach die DSGVO am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft getreten ist, was am 24. Mai 2016 der Fall war. Damit ist keine, die Beklagte ab dem 24. Mai 2016 verpflichtende „Vorwirkung“ verbunden. Vielmehr brachte die Umstellung von der Richtlinie 95/46/EG hin zur DSGVO einen umfassenden Handlungs- und Anpassungsbedarf – nicht zuletzt wegen der geschaffenen Öffnungsklauseln – für die nationalen Gesetzgeber mit sich, weshalb der europäische Verordnungsgeber einen zweijährigen Übergangszeitraum vorgesehen hat. In diesem Übergangszeitraum waren jedoch nur die Mitgliedstaaten zu Anpassung verpflichtet, ohne dass damit unmittelbare Wirkungen zulasten der Privatrechtssubjekte verbunden waren (vgl. zu diesen Fragestellungen: Kibler/Sandhu NVwZ 2018, 528 ff.).
81

(bbb) Unerheblich ist, ob die Beklagte bei der Datenübermittlung im Zeitraum 24. April bis 18. Mai 2017 gegen den damals geltenden § 4b Abs. 2 BDSG aF verstoßen hat, da ein etwaiger Verstoß jedenfalls nicht die Verpflichtung zum Ersatz immaterieller Schäden nach der DSGVO auslösen kann. Ungeachtet des Umstands, dass der Kläger ausdrücklich einen immateriellen Schadensersatz wegen Verletzung der DSGVO begehrt, gewährte § 7 BDSG aF auch keinen Ersatz für immaterielle Schäden (vgl. BGH 29. November 2016 – VI ZR 530/15 – Rn. 11 ff., NJW 2017, 800; NK-GA/Gola/Brink § 7 BDSG Rn. 5; Däubler/Klebe/Wedde/Weichert BDSG 4. Aufl. § 7 Rn. 19). Der Ersatz für immaterielle Schäden konnte nach der bis zum 24. Mai 2018 geltenden Rechtslage gegenüber Privaten nur auf der Grundlage von § 823 Abs. 1 BGB iVm. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, was regelmäßig eine schwerwiegende Persönlichkeitsrechtsverletzung voraussetzte, oder gegenüber öffentlichen Stellen auf § 8 BDSG aF gestützt werden. Diese Fallkonstellationen liegen nicht vor und bilden nicht den Streitgegenstand des Rechtsstreits. Soweit die Beklagte ab dem Geltungszeitpunkt der DSGVO in ihrem Auftrag Daten durch die Konzernmutter in den USA hat verarbeiten lassen, hat die Beklagte jedenfalls ab dem 25. Mai 2018 nicht gegen Bestimmungen des Kapitel V (Art. 45 bzw. 46 DSGVO) verstoßen.
82

(ccc) Da ein Verstoß gegen Vorschriften der Art. 44 ff. DSGVO ausscheidet, kann auch dahinstehen, ob bei einer Übermittlung von personenbezogenen Daten in die USA trotz der Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 – C 311/18 – (NJW 2020, 2613), wonach der Angemessenheitsbeschluss der Kommission vom 12. Juli 2016 (EU/2016/1250; privacy shield) ungültig ist, sich der Verantwortliche gleichwohl auf Art. 45 DSGVO und den Angemessenheitsbeschluss stützen kann, wenn die Datenübertragung vor Verkündung der Entscheidung des EuGH stattgefunden hat, da die Befugnis zur Ungültig- bzw. Nichtigkeitserklärung nur dem EuGH zusteht (vgl. EuGH 16. Juli 2020 – C-311/18 – Rn. 156, aaO; 6. Oktober 2015 – C-362/14 – Rn. 61 f., NJW 2015, 3151), mit der Folge, dass bis zu diesem Zeitpunkt Datenübertragungen auf dieser Grundlage – soweit die übrigen Voraussetzungen vorliegen – als verordnungskonform zu behandeln sind. Voraussetzung für eine Datenübertragung auf der Grundlage von privacy shield, dh. des Beschlusses der Kommission vom 12. Juli 2016, ist zudem, dass die aus der Europäischen Union übermittelten Daten an eine Organisation in den USA erfolgt, welche in der „Datenschutzschild-Liste“ (privacy shild list; https://www.privacyshield.gov/list) aufgeführt ist, erfolgt. In Bezug auf die Konzernmutter der Beklagten (D. Corp.) ist dies nicht der Fall und wird auch von der Beklagten nicht behauptet. Daher konnte zu keinem Zeitpunkt eine Datenübermittlung auf Art. 45 DSGVO bzw. den Angemessenheitsbeschluss der Kommission vom 12. Juli 2016 gestützt werden.
83

(e) Die Beklagte hat auch nicht deshalb gegen die DSGVO verstoßen, weil sie ab deren Geltungszeitpunkt (25. Mai 2018) die bereits bei der Konzernmutter angelangten personenbezogenen Daten des Klägers in ihrem Auftrag durch die Konzernmutter hat (weiter) speichern und damit verarbeiten lassen. Indem die Beklagte Standardvertragsklauseln iSd. der Anlage des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) abgeschlossen und diese weitergehend durch Anlagen und weitere Verträge ergänzt hat, genügte die Beklagte den durch Art. 28 DSGVO gestellten Anforderungen.
84

(aa) Art. 28 DSGVO regelt die Verarbeitung im Auftrag des Verantwortlichen. Nach Art. 28 Abs. 1 DSGVO arbeitet der Verantwortliche nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt nach Art. 28 Abs. 3 DSGVO auf der Grundlage eines Vertrages oder eines anderen Rechtsinstituts nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind (Satz 1). Dieser Vertrag bzw. dieses andere Regelungsinstrument sieht nach Art. 28 Abs. 3 Satz 2 DSGVO insbesondere die in Buchst. a bis h genannten Inhalte bzw. Garantien vor.
85

(bb) Falls kein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vorliegt, darf ein Verantwortlicher oder ein Auftragsdatenverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsdatenverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Art. 46 Abs. 1 DSGVO. Nach Art. 46 Abs. 2 DSGVO können die in Absatz 1 genannten Garantien, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, nach Buchst. c in Standardvertragsklauseln bestehen, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden. Zudem bestimmt Art. 46 Abs. 5 DSGVO, dass von einem Mitgliedsstaat oder einer Aufsichtsbehörde auf der Grundlage von Art. 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen so lange gültig bleiben, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden (Satz 1). Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des Art. 46 DSGVO erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
86

(cc) Die Beklagte hat am Vortag des Inkrafttretens der DSGVO umfangreiche Verträge mit der Konzernmutter unterzeichnet und im Rechtsstreit vorgelegt (in deutscher Übersetzung: Bl. 253 bis 312 d. Akte ArbG), die sich gliedern in die „D. Corporation Globale Datenschutzvereinbarung“ (GDPA), deren Anlage 1 („Übermittlung zwischen mehreren Verantwortlichen“) und die Anlage 2 („Standardvertragsklauseln 2010 für Auftragsverarbeiter“) nebst deren Zusätzen. Bei der Anlage 2 „Standardvertragsklauseln 2010 für Auftragsverarbeiter“ handelt es sich eindeutig um diejenigen Standardvertragsklauseln der Anlage des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU), wie sie auch der Entscheidung des EuGHs vom 16. Juli 2020 (- C-311/18 -) zugrunde lagen. Die Anlage 2 „Standardvertragsklauseln 2010 für Auftragsdatenverarbeiter“ enthält mit den Klauseln 1 („Begriffsbestimmungen“), Klausel 2 („Einzelheiten der Übermittlung“), Klausel 3 („Drittbegünstigtenklausel“), Klausel 4 („Pflichten des Datenexporteuers“), Klausel 5 („Pflichten des Datenimporteurs“), Klausel 6 („Haftung“), Klausel 7 („Schlichtungsverfahren und Gerichtsstand“), Klausel 8 („Zusammenarbeit und Kontrollstellen“), Klausel 9 („Anzuwendendes Recht“), Klausel 10 („Änderung des Vertrags“), Klausel 11 („Auftragsverarbeitung“), Klausel 12 („Pflichten nach Beendigung der Datenverarbeitungsdienste“) inhaltlich identische Inhalte zur Anlage des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU), welche die Beklagte – wie auch in der Anlage des Beschlusses 2010/87/EU vorgesehen, mit zwei (umfangreichen) Anhängen (in der deutschen Übersetzung Zusätze genannt) ergänzt bzw. ausgefüllt hat. So enthält der Zusatz 1 (Bl. 291 ff. d. Akte ArbG), auf den Artikel 2 („Einzelheiten der Übermittlung“) Bezug nimmt ua. auch sämtliche Datenkategorien, auf die sich die Übermittlung personenbezogener Daten beziehen und nennt dort auch all diejenigen Datenkategorien, denen die vom Kläger übermittelten Daten (bspw. Personenstand oder Sozialversicherungsnummer) zuzuordnen sind. Der Zusatz 2 (Bl. 300 ff. d. Akte ArbG), auf die Klausel 4 („Pflichten des Datenexporteurs“) in Buchst. c zu den vom Datenimporteur zu gewährleistenden hinreichenden Garantien bzgl. der zu beschreibenden technischen und organisatorischen Sicherheitsmaßnahmen führt diese auf nicht weniger als sieben Seiten insb. zu folgenden Sicherheitsmaßnahmen im Einzelnen aus: Zugangskontrollen zu den Verarbeitungsbereichen, Zugriffskontrollen zu den Datenverarbeitungssystemen, Zugriffskontrolle für die Nutzung spezifischer Bereiche des Datenverarbeitungssystems, Verfügbarkeitskontrolle, Kontrolle von Übermittlungen, Eingabekontrolle, Trennung der Verarbeitung für unterschiedliche Zwecke, Dokumentation, Überwachung, Vorschriften zu Sicherheitsverfahren, Verfahrensvorschriften für Sicherungskopien und Wiederherstellung, Tests, Audits der Sicherheitsmaßnahmen, Berichtigung, Löschung und Sperrung von Daten, Informationspflicht. Die Beklagte hat mit der Konzernmutter die Standardvertragsklauseln der Anlage des Beschlusses 2010/87/EU abgeschlossen und die ausfüllungsbedürftigen Regelungsgegenstände durch zwei Zusätze umfänglich einer Regelung zugeführt. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln durch den EuGH hat nichts ergeben, was seine Gültigkeit berühren könnte (EuGH 16. Juli 2020 – C-311/18 – Rn. 122 ff. [149], aaO). Nachdem die von der Beklagten verwendete Standardvertragsklauseln auf einem Beschluss der Kommission beruhen und nur der EuGH berufen ist, solche Durchführungsrechtsakte für ungültig zu erklären, bleiben diese bis zu ihrer Ersetzung/Aufhebung verbindlich, Art. 288 Abs. 4 AEUV (vgl. Lange/Filip in: BeckOK Datenschutzrecht Art. 46 DSGVO Rn. 25a).
87

(dd) Zudem ist davon auszugehen, dass die Beklagte durch die Verwendung der Standardvertragsklauseln der Anlage des Beschlusses vom 5. Februar 2010 (2010/87/EU) und deren Ergänzung durch weitere Verträge und Bestimmungen (insb. im GDPA) gleichzeitig auch die Anforderungen des Art. 28 DSGVO zur Auftragsverarbeitung, der gleichzeitig eine privilegierte Datenverarbeitung, dh. ohne weitergehende Notwendigkeit der Prüfung der Art. 6 ff. DSGVO begründet (vgl. Hartung in: Kühling/Buchner Art. 28 DSGVO Rn. 15 ff.; Paal/Pauly Art. 28 DSGVO Rn. 8a), erfüllt hat.
88

(aaa) Zwar erfüllen die Standardvertragsklauseln des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) nicht sämtliche Anforderungen des Art. 28 Abs. 3 DSGVO (vgl. dazu: von dem Bussche/Voight/Voight/v.d. Bussche Konzerndatenschutz Teil 4 Kap. 3 Rn. 27; Lange/Filip in: BeckOK Datenschutzrecht Art. 46 DSGVO Rn. 43; Schröder in: Kühling/Buchner Art. 46 DSGVO Rn. 33a). Zu beachten ist jedoch, dass nach Art. 46 Abs. 5, wonach die von der Kommission auf der Grundlage von Art. 26 Absatz 4 der Richtlinie 95/46/EG erlassenen Feststellungen so lange in Kraft bleiben, bis sie erforderlichenfalls mit einem nach Art. 46 Abs. 2 DSGVO erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden, eine die Anforderungen von Art. 28 Abs. 3 DSGVO überlagernde Bestimmung getroffen wurde, mit der Folge, dass die bisherigen Standardvertragsklauseln genügen, um die DSGVO-Anforderungen zu erfüllen (vgl. von dem Bussche/Voight/Voight v.d. Bussche Konzerndatenschutz Teil 4 Kap. 3 Rn. 28; aA Lange/Filip in: BeckOK Datenschutzrecht Art. 46 DSGVO Rn. 43).
89

(bbb) Aber selbst dann, wenn man es wegen der weiterreichenden Inhalte des Art. 28 Abs. 3 DSGVO für erforderlich halten sollte, dass die Standardvertragsklauseln für eine zulässige Auftragsdatenverarbeitung zu ergänzen sind (vgl. Lange/Filip in: BeckOK Datenschutzrecht Art. 46 aaO), hat die Beklagte in ausreichender Weise die Standardvertragsklauseln durch die weiteren Vertragswerke bzw. Zusätze ergänzt, um auch den Anforderungen des Art. 28 Abs. 3 DSGVO gerecht zu werden.
90

(aaaa) So bestimmt bereits Ziffer 2.2.1 GDPA, dass sich die Auftragsverarbeitung der personenbezogenen Daten ausschließlich gemäß der dokumentierten Weisung der anweisenden Gesellschaft und ihrer Anweisung beschränken, sofern aufgrund anzuwendenden Rechts keine anderweitige Pflicht besteht. Damit ist eine Bestimmung iSv. Art. 28 Abs. 3 Buchst. a DSGVO getroffen.
91

(bbbb) Der Vertragsinhalt nach Art. 28 Abs. 3 Buchst. b DSGVO findet sich in Ziffer 2.2.3 GDPA. Danach muss im Rahmen der Auftragsdatenverarbeitung der Auftragsdatenverarbeiter, dh. die Konzernmutter gewährleisten, dass alle handelnden Personen, Mitarbeiter und Subunternehmer, die personenbezogenen Daten verarbeiten, zu angemessener Geheimhaltung verpflichtet werden.
92

(cccc) Der Zusatz 2 zu den Standardvertragsklauseln sehen Maßnahmen zur Datensicherheit iSv. Art. 28 Abs. 3 Buchst. c DSGVO vor, auf den Ziffer 2 („Allgemeine Anforderungen an den Datenschutz“) in Ziffer 2.1.4 Bezug nimmt. Danach verpflichten sich alle Gesellschaften zum Treffen technischer und organisatorischer Maßnahmen, um ein Schutzniveau zu gewährleisten, das den bei der Auftragsverarbeitung vorhandenen Risiken angemessen ist, einschließlich der in Zusatz 2 zu den Standardvertragsklauseln genannten technischen und organisatorischen Maßnahmen.
93

(dddd) Die nach Art. 28 Abs. 3 Buchst. d DSGVO vorzusehenden Regelungen ergeben sich bereits aus den Standardvertragsklauseln Klausel 5 und Klausel 11.
94

(eeee) Der nach Art. 28 Abs. 3 Buchst. e DSGVO vorzusehende Inhalt ergibt sich aus Ziffer 2.2.8 GDPA, der nach Art. 28 Abs. 3 Buchst. f DSGVO vorzusehende Inhalt ergibt sich aus Ziffer 2.2, insb. 2.2.7 GDPA, die sich nach Art. 28 Abs. 3 Buchst. g und Buchst. h DSGVO ergeben sich aus Ziffer 7.4.2 GDPA und Klausel 12 der Standardvertragsklauseln bzw. Ziffer 2.2 ff. GDPA, wie sich auch insgesamt nach Art. 28 Abs. 3 DSGVO notwendigen Inhalte aus der Rahmenvereinbarung (GDPA) iVm. den Standardvertragsklauseln und ihren beiden Zusätzen ergeben. Insgesamt hat die Beklagte sich nicht auf den bloßen Abschluss der Standardvertragsklauseln beschränkt, sondern diese sehr umfangreich ergänzt und sämtliche nach Art. 28 Abs. 3 DSGVO notwendige Inhalte vereinbart und gleichzeitig vorgesehen, dass im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und den weiteren Vertragsinhalten die Standardvertragsklauseln vorgehen (Ziffer 2.7 GDPA). Daher findet die Auftragsverarbeitung bei der Konzernmutter auf einer ausreichenden vertraglichen Grundlage iSv. Art. 28 DSGVO statt.
95

d) Das Vorbringen des Klägers ist grundsätzlich geeignet, einen immateriellen Schaden iSv. Art. 82 DSGVO darzulegen.
96

aa) Der Erwägungsgrund 146 Satz 3 führt aus, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Satz 6 des Erwägungsgrundes 146 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 17; Paal MMR 2020, 14, 16; Diekmann r+s 2018, 345, 352). Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, dh. es kommt nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO; vgl. in diesem Zusammenhang auch: BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 20, juris). Allerdings muss der Schaden „erlitten“ (Erwägungsgrund 146) worden, also tatsächlich entstanden sein und darf nicht lediglich befürchtet werden (vgl. Frenzel in: Paal/Pauly Art. 82 DSGVO Rn. 10; Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen eine Bestimmung der DSGVO reicht daher nicht aus (vgl. Frenzel in: Paal/Pauly Art. 82 DSGVO aaO). Mit Geltung des Art. 82 DSGVO ist es aber nicht mehr vertretbar, einen immateriellen Schadensersatz nur bei einer schwerwiegenden Persönlichkeitsrechtsverletzung anzunehmen (vgl. Paal MMR 2020, 14, 16). So findet sich auch in den Erwägungsgründen kein Hinweis darauf, dass geringfügige Schäden (Bagatellschäden) nicht auszugleichen wäre. Vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden. Der Erwägungsgrund 75 führt als mögliche Schäden etwa Diskriminierungen, ein Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteile, aber auch den Verlust, die personenbezogenen Daten kontrollieren zu können, auf (vgl. auch: ArbG Dresden 26. August 2020 – 13 Ca 1046/20 – Rn. 15, ZD 2021, 54; ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18 – Rn. 102, NZA-RR 2020, 409; Klein GRUR-Prax 2020, 433, 434). Der Kontrollverlust kann in diesem Zusammenhang nur einen immateriellen Schaden meinen (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 18b). Bei der Bestimmung des immateriellen Schadens kann ua. auch der Wert der Daten und ihre Nutzung und ihre Nutzung aus Sicht des Verantwortlichen abgestellt werden, insb. in Fällen, in denen die personenbezogenen Daten des Betroffenen kommerzialisiert werden und sich der Verantwortliche bewusst über die Interessen des Betroffenen hinwegsetzt, um eigene Erwerbsinteressen durchzusetzen (vgl. Fuhlrott/Oltmanns ArbRAktuell 2020, 565).
97

bb) Zur Begründung seines immateriellen Schadens macht der Kläger das Folgende geltend: der Kläger habe sich in dem Zeitraum der unzulässigen Nutzung von Workday einer permanenten Missbrauchsgefahr, nicht nur von Ermittlungsbehörden, sondern vor allem der Beklagten selbst bzw. anderen Gesellschaften des D.-Konzerns gegenübergesehen. Die Daten seien zudem in ein Land übermittelt worden, das letztlich keinen wirksamen Schutz von personenbezogenen Daten gegenüber den dortigen Behörden garantiere. Ein Daten-Abfluss führe in jedem Fall zu einem immateriellen Schaden. Auch liege ein Schaden darin, dass sich der Kläger einer Bloßstellung seiner Person gegenüber anderen (unberechtigten) Personen und Institutionen ausgesetzt sah, was umso mehr gelte, als der Kläger über einen verhältnismäßig langen Zeitraum in einen Stand der Unsicherheit versetzt worden sei. Es sei nicht klar, wer in den USA Zugriff auf die Daten des Klägers hatte. Der vom Kläger breit umschriebene Kontrollverlust ist nach dem Vorstehenden – zumal unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs, wonach die USA kein gleichwertiges, angemessenes Datenschutzniveau bieten, weshalb insb. der Angemessenheitsbeschluss (privacy shield) für ungültig erklärt wurde (vgl. EuGH 16. Juli 2020 – C-311/18 – NJW 2020, 2613), grundsätzlich geeignet, einen auszugleichenden immateriellen Schaden zu bilden.
98

e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.
99

aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache – C-557/12 – Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).
100

bb) Danach hat der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten.
101

(1) Kein Anknüpfungspunkt für den Schaden können (überschießende) Datenübermittlungen (Datentransfer auf die Sharepoint-Seite der Konzernmutter) sein, denn diese Datenübermittlung hat stattgefunden als die DSGVO noch nicht in Geltung war. Insoweit ist es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltet, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden kann. Die Beklagte hat nicht gegen die Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA (bspw. Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) kann einem DSGVO-Verstoß nicht zugeordnet werden. Die Beklagte hat nicht gegen Vorschriften des Kapitels V der DSGVO verstoßen.
102

(2) Ebenso wenig kann Anknüpfungspunkt der Umstand sein, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage iSd. Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Die Beklagte hat nicht gegen Art. 28 DSGVO verstoßen. Daher kann die behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte hat alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten. Dem Kläger wiederum standen bzw. stehen im Verhältnis zur auftragsverarbeitenden Konzernmutter alle Rechte, wie sie nach der DSGVO gegenüber der Beklagten bestehen, zu.
103

(3) Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP – auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP – bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte. Die Beklagte bedurfte daher der Duldungs-BV als Rechtsgrundlage, um die nach § 26 Abs. 1 BDSG nicht erforderliche Datenverarbeitung nach § 26 Abs. 4 BDSG zu den normierten Testzwecken zu legitimieren. Die Duldungs-BV berechtigte zur Datenverarbeitung der in der Anlage 2 genannten Datenkategorien in dem durch die Betriebsvereinbarung normierten Umfang (§§ 2, 3 Duldungs-BV). Allerdings berechtigte auch die Duldungs-BV nicht dazu, Daten, die nicht in der Anlage 2 genannt sind, zu verarbeiten (betrifft insb. Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers). Diese Daten wiederum durfte die Beklagte aber – unstreitig – außerhalb der Plattform Workday, insb. in SAP zu anderen Zwecken verarbeiten, da die Verarbeitung dieser Daten nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einen „erlittenen“ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday – bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken – fußt, macht der Kläger nicht geltend und ein solcher „Schaden“ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke gem. Duldungs-BV ist nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers auch in Workday gespeichert und zu Testzwecken verarbeitet wurden, löst nach Auffassung der Kammer keinen Schaden aus. Auch der Kläger behauptet einen solchen nicht. Die Speicherung der Daten in Workday bei der Konzernmutter stellt keinen Datenabfluss dar, sondern erfolgte auf der Grundlage einer rechtmäßigen Auftragsverarbeitung nach Art. 28 DSGVO. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet wurden, so hat die Beklagte doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter sicherzustellen. Soweit der Kläger darüber spekuliert, dass es die Daten unbefugt nach Speicherung in Workday hätten verwendet werden könnten, fehlt es an jedem tatsächlichen Anhaltspunkt hierfür, vor allem aber an einem zuordenbaren Verordnungsverstoß („wegen“). Vielmehr ergibt sich aus den vertraglichen Garantien iSv. Art. 28 DSGVO, die es auch einschließen, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einzuhalten haben (insb. auch: D. Corporation Global Data Protection Agreement Protocol and Power of Attorney) und damit auch der Ausschluss von Missbrauch durch Konzerngesellschaften. Jedenfalls hat die Beklagte sich verordnungskonform verhalten, um jedweden Missbrauch auszuschließen. In diesem Zusammenhang ist auch ein Kontrollverlust nicht ersichtlich, da die mit der Konzernmutter getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte, die er gegenüber der Beklagten hat, auch im Rahmen der Auftragsverarbeitung zustehen. Der Kläger konnte daher seine Daten insb. auch löschen lassen, was die Beklagte auch tatsächlich im Verlaufe des Rechtsstreits bzgl. der nach der BV Workday in Workday nicht zu speichernden Daten – trotz Auftragsverarbeitung – veranlasst hat. Der Kläger macht einen verordnungswidrigen Zustand mit Abschluss der BV Workday und BV IT auch nicht geltend; mit anderen Worten: der Kläger war tatsächlich in der Lage, seine überschießend übermittelten Daten löschen zu lassen und konnte sie insoweit kontrollieren. Dabei kann auch nicht davon ausgegangen werden, der tatsächliche Verordnungsverstoß (im Verhältnis zur Duldungs-BV überschießende Datenspeicherung in Workday) habe den gesamten Datenverarbeitungsvorgang „infiziert“, so dass die Beklagte für jeden Schaden in Anspruch genommen werden könnte. Dergleichen könnte allenfalls dann angenommen werden, wenn jede Datenverarbeitung von personenbezogenen Daten des Klägers in Workday verordnungswidrig gewesen wäre. Infolge der Regelungen der Duldungs-BV durfte die Beklagte allerdings diejenigen Datenkategorien der Anlage 2 und damit auch die entsprechenden personenbezogenen Daten des Klägers verarbeiten. Es verbleibt damit dabei, dass die gegenüber der Anlage 2 der Duldungs-BV überschießende Datenverarbeitung von ansonsten rechtmäßig verarbeiteten Daten zu anderen (Test-)Zwecken beim Kläger keinen Schaden ausgelöst hat, der einem der Beklagten zurechenbaren Verordnungsverstoß zugeordnet werden könnte. Bloße Befürchtungen, ein Schaden könnte eintreten, stellen keinen Schaden dar.
104

(4) Ob dem Kläger ein Schadensersatz nach Art. 82 DSGVO deshalb zusteht, weil die Beklagte ggf. gegen Bestimmungen der DSGVO bei der Auskunftserteilung verstoßen hat (vgl. dazu etwa: ArbG Neumünster 11. August 2020 – 1 Ca 247 c/20 – Rn. 36 ff., ReckRS 2020, 29998; ArbG Düsseldorf 5. März 2020 – 9 Ca 6557/18 – Rn. 94 ff., NZA-RR 2020, 409), hatte die Berufungskammer nicht zu entscheiden.
105

C. Der Kläger hat die Kosten des Berufungsverfahrens zu tragen, § 97 Abs. 1 ZPO.
106

D. Da die Voraussetzungen eines Anspruchs auf (immateriellen) Schadensersatz nach Art. 82 DSGVO weder unmittelbar der DSGVO entnommen werden können noch höchstrichterlich geklärt sind (vgl. auch: BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 20, juris), war nach Maßgabe von § 72 Abs. 2 Nr. 1 ArbGG die Revision wegen grundsätzlicher Bedeutung zuzulassen.