Foto: pixabay.com (KI-generiert)
Ein Arbeitnehmer kann Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn sein Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung “Workday” zu testen.
Das Unternehmen verarbeitete mit der Software personenbezogene Daten unter anderem zu Abrechnungszwecken. Im Jahr 2017 gab es Planungen, konzernweit “Workday” als einheitliches Personal-Informationsmanagementsystem einzuführen. Es übertrug dazu personenbezogene Daten, auch des Klägers, aus der bisher genutzten Software an die Konzernobergesellschaft, um damit das Programm zu Testzwecken zu befüllen.
Der vorläufige Testbetrieb von “Workday” war in einer Betriebsvereinbarung geregelt. Danach sollte es dem Arbeitgeber erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Er übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger sah darin die Grenzen der Betriebsvereinbarung überschritten und somit einen Verstoß gegen die Datenschutz-Grundverordnung. Er forderte einen (immateriellen) Schadenersatz in Höhe von 3000 Euro.
Die Vorinstanzen wiesen seine Klage ab. Das Bundesarbeitsgericht setzte das Revisionsverfahren aus und befragte den Gerichtshof der Europäischen Union (EuGH) betreffend die Auslegung des Unionsrechts in dem Fall. Die Revision des Klägers hatte schließlich teilweise Erfolg; das Gericht sprach im Schadenersatz in Höhe von 200 Euro zu.
Soweit der Arbeitgeber andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich im Sinne der Datenschutz-Grundverordnung (Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO). Er verstieß damit gegen die DSGVO. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
In der mündlichen Verhandlung vor dem Senat stellte der Kläger dar, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
Bundesarbeitsgericht
Urteil vom 8. Mai 2025 – 8 AZR 209/21