Zum Hauptinhalt springen Zur Suche springen Zur Hauptnavigation springen
Silhouetten von Personen in einer abstrahierten Szenerie mit leuchtenden Farbfeldern und weichen Lichtkreisen im Hintergrund

Anm. zu BAG: Schadensersatzanspruch eines Arbeitnehmers wegen Verletzung der DSGVO

Datenschutzgrundverordnung

Das BAG hat mit Urteil v. 8.5.2025 (8 AZR 209/21) entschieden, dass ein Arbeitnehmer einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben kann, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen (Entscheidungszusammenfassung mit Praxishinweisen der Kanzlei Friedrich Graf von Westphalen & Partner mbB).

Sachverhalt:

Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den EuGH um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024, C-65/23 – [K GmbH], beantwortet.

Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg.

Entscheidungsgründe:

Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro.

(Die zitierte Bestimmung lautet: »Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.«)

Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung.

(Die zitierte Bestimmung lautet: »Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: …..f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.«)

Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.

Hinweis für die Praxis:

Nicht alles, was technisch aktuell möglich ist, ist auch erlaubt! Für die Verarbeitung von Arbeitnehmerdaten (Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwenden, Offenlegen, Übermittlung, Verbreitung, Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung) bedarf es einer materiell- rechtlichen Rechtsgrundlage. Wie das BAG in dieser Entscheidung in einer Randbemerkung durchblicken lässt, reicht dazu die bloße Existenz einer Betriebsvereinbarung nicht aus; auch wenn es eine solche Betriebsvereinbarung gibt, ist diese im Streitfall daraufhin zu prüfen, ob darin zulässigerweise die Datenvereinbarung erlaubt wird. Sind diese Voraussetzungen nicht erfüllt, kann dies nicht nur zu Schadensersatzansprüchen, sondern auch zu Unterlassungsansprüchen führen.

Arbeitgeber sollten dies vor der Anschaffung und Installation entsprechender Tools sorgfältig prüfen. Insbesondere gilt dies in Fällen, in denen durch eine technische Einrichtung teilweise in Erfüllung gesetzlicher Pflichten (beispielsweise nach dem Fahrpersonalgesetz) Daten erhoben werden, wobei teilweise Daten erfasst werden, wofür es datenschutzrechtlich keine Rechtsgrundlage gibt. Ist in diesem Fall eine technische Anpassung des eingesetzten Tools nicht möglich, befindet sich der Arbeitgeber in der »Zwickmühle«, bis zum Austausch des Tools seiner Verpflichtung zur Datenerhebung nicht nachkommen zu können, ohne zugleich gegen bestehenden Datenschutz zu verstoßen.

Autor: Rechtsanwalt Dr. Christoph Fingerle, Friedrich Graf von Westphalen & Partner mbB, Freiburg

Quelle: Pressemitteilung des BAG Nr. 20/2025 v. 8.5.2025