Kurz notiert // Datenschutzrecht
Bundesarbeitsrecht
Konzerninterner Kontrollverlust - Zum Anspruch eines Arbeitnehmers auf Schadenersatz nach der DSGVO, wegen der Ãœbertragung personenbezogener Echtdaten innerhalb des Konzerns an eine andere Gesellschaft
BAG, Urteil vom 08.05.2025 - 8 AZR 209/21; Vorinstanz: LAG Baden-Württemberg, Urteil vom 25.02.2021 - 17 Sa 37/20
MIR 2025, Dok. 037, Rz. 1
1
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen. Dies geht aus einer Entscheidung des Bundesarbeitsgerichts (BAG) vom 08.05.2025 (8 AZR 209/21) hervor.
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Anm. der Redaktion: Zu dieser Thematik vgl. auch BGH, Urteil vom 11.02.2025 - VI ZR 365/22 - Personalaktenverwaltung [Zum Schadensersatzanspruch nach der DSGVO wegen der Verwaltung von Personalakten durch nicht befugte Dritte] - http://miur.de/3468 sowie grundlegend u.a.: BGH, Urteil vom 18.11.2024 - VI ZR 10/24 - Facebook-Scraping [Bloßer und kurzzeitiger Kontrollverlust als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO] - http://miur.de/3427
Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Was Sie noch interessieren könnte...
Angemessene Reaktionsfrist - Innerhalb der Dringlichkeitsfrist hat der Antragsteller dem späteren Antragsgegner eine Abmahnung zu übersenden und ihm eine angemessene Zeit zur Antwort einzuräumen
OLG Düsseldorf, Beschluss vom 11.05.2023 - I-20 W 36/23, MIR 2023, Dok. 078
Werbung mit Streichpreisen untersagt - Irreführende Preisdarstellung und Verstoß gegen § 11 Abs. 1 PAngV
Landgericht München I, MIR 2022, Dok. 075
Unzulässige E-Mail-Werbung und (verdeckte) Generalleinwilligung - Zum Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb durch unverlangte Werbe-E-Mails
BGH, Urteil vom 14.03.2017 - VI ZR 721/15, MIR 2018, Dok. 001
#vrenifrost - Eine generelle Vermutung, dass unternehmerisch tätige Influencer, die Produkte oder Marken in ihren Beiträge präsentieren, kommerzielle - kennzeichnungspflichtige - Kommunikation betreiben, ist nicht gerechtfertigt
KG, Urteil vom 08.01.2019 - 5 U 83/18, MIR 2019, Dok. 003
Nur keine Eile! - Zur Widerlegung der Dringlichkeitsvermutung durch eine zögerliche Prozessführung
OLG Hamm, Urteil vom 20.04.2021 - 4 U 14/21, MIR 2020, Dok. 039
OLG Düsseldorf, Beschluss vom 11.05.2023 - I-20 W 36/23, MIR 2023, Dok. 078
Werbung mit Streichpreisen untersagt - Irreführende Preisdarstellung und Verstoß gegen § 11 Abs. 1 PAngV
Landgericht München I, MIR 2022, Dok. 075
Unzulässige E-Mail-Werbung und (verdeckte) Generalleinwilligung - Zum Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb durch unverlangte Werbe-E-Mails
BGH, Urteil vom 14.03.2017 - VI ZR 721/15, MIR 2018, Dok. 001
#vrenifrost - Eine generelle Vermutung, dass unternehmerisch tätige Influencer, die Produkte oder Marken in ihren Beiträge präsentieren, kommerzielle - kennzeichnungspflichtige - Kommunikation betreiben, ist nicht gerechtfertigt
KG, Urteil vom 08.01.2019 - 5 U 83/18, MIR 2019, Dok. 003
Nur keine Eile! - Zur Widerlegung der Dringlichkeitsvermutung durch eine zögerliche Prozessführung
OLG Hamm, Urteil vom 20.04.2021 - 4 U 14/21, MIR 2020, Dok. 039
