Über eine Entscheidung zum Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) des Bundearbeitsgerichts (BAG) informiert aktuell der Arbeitgeberverband Osthessen e.V..: Danach kann e in Arbeitnehmer einen Anspruch auf Schadenersatz wegen einer Verletzung der DSGVO haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen. Dies hat das BAG in einer aktuellen Entscheidung vom 8. Mai 2025 entschieden.

Sachverhalt
Der beklagte Arbeitgeber verarbeitete personenbezogene Daten seiner Beschäftigten u.a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software namens „Workday“. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt.

Danach sollte es der Beklagten erlaubt sein, u.a. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden DSGVO iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

Die Vorinstanzen haben die Klage abgewiesen. Dagegen wandte sich der Kläger mit seiner Revision. Das BAG setzte mit Beschluss vom 22.09.2022 (Az.: 8 AZR 209/21 (A)) das Revisionsverfahren aus und legte dem Europäischen Gerichtshof (EuGH) mehrere Rechtsfragen betreffend die Auslegung des Unionsrechts zur Vorabentscheidung vor. Der EuGH hat diese mit Urteil vom 19.12.2024 (Az.: C 65/23 [K GmbH]) beantwortet.

Entscheidungsgründe des BAG

Die Revision des Klägers hatte vor dem Achten Senat des BAG teilweise Erfolg. Der Kläger hatte gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO i.Hv. 200 Euro.

Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst, f DSGVO und verstieß damit gegen die DSGVO. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.

Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.

Abschließend betont der AGV-Geschäftsführer Manfred Baumann: „Die Entscheidung zeigt erneut die Brisanz der Problematik auf. In der betrieblichen Praxis ist deshalb unbedingt darauf zu achten, dass die Datenschutzbestimmungen bei der Nutzung derartiger Systeme beachtet werden, da ansonsten ggf. auch wesentlich höhere Schadenersatzansprüche drohen.“