Kurz notiert // Datenschutzrecht
Bundesarbeitsrecht
Konzerninterner Kontrollverlust - Zum Anspruch eines Arbeitnehmers auf Schadenersatz nach der DSGVO, wegen der Ãœbertragung personenbezogener Echtdaten innerhalb des Konzerns an eine andere Gesellschaft
BAG, Urteil vom 08.05.2025 - 8 AZR 209/21; Vorinstanz: LAG Baden-Württemberg, Urteil vom 25.02.2021 - 17 Sa 37/20
MIR 2025, Dok. 037, Rz. 1
1
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen. Dies geht aus einer Entscheidung des Bundesarbeitsgerichts (BAG) vom 08.05.2025 (8 AZR 209/21) hervor.
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Anm. der Redaktion: Zu dieser Thematik vgl. auch BGH, Urteil vom 11.02.2025 - VI ZR 365/22 - Personalaktenverwaltung [Zum Schadensersatzanspruch nach der DSGVO wegen der Verwaltung von Personalakten durch nicht befugte Dritte] - http://miur.de/3468 sowie grundlegend u.a.: BGH, Urteil vom 18.11.2024 - VI ZR 10/24 - Facebook-Scraping [Bloßer und kurzzeitiger Kontrollverlust als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO] - http://miur.de/3427
Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Was Sie noch interessieren könnte...
SEPA-Lastschrift - Ein Online-Shop darf Verbrauchern mit Wohnsitz in Deutschland die Lastschriftzahlung von einem in Luxemburg unterhaltenen Konto nicht verwehren
BGH, Urteil vom 06.02.2020 - I ZR 93/18, MIR 2020, Dok. 037
Elektronisches Dokument; einfache Signatur - Für die einfache Signatur eines Schriftsatzes gemäß § 130a Abs. 3 Satz 1 Alt. 2 ZPO genügt der maschinenschriftlich wiedergegebene Name des Verfassers
BGH, Beschluss vom 30.11.2023 - III ZB 4/23, MIR 2024, Dok. 003
Parodie braucht Humor und Spott - Eine Parodie liegt nicht vor, wenn sich ein Wort- und/oder Bildbeitrag in der Kritik am Gegenstand eines Lichtbild(werk)s erschöpft
OLG Frankfurt a.M., Urteil vom 02.02.2023 - 11 U 101/22, MIR 2023, Dok. 019
Sonntagsverkauf im Gartencenter - Die Zulässigkeit der Öffnung einer Verkaufsstelle an Sonn- und Feiertagen nach § 5 Abs. 1 Nr. 1 Satz 1 LÖG NW bestimmt sich nach deren Kernsortiment
BGH, Urteil vom 05.12.2024 - I ZR 38/24, MIR 2025, Dok. 003
Vorsicht Falle - Zur Zulässigkeit der Veröffentlichung eines gegen einen Mitbewerber erwirkten Urteils unter seiner namentlichen Nennung
BGH, Urteil vom 06.05.2021 - I ZR 167/20, MIR 2021, Dok. 058
BGH, Urteil vom 06.02.2020 - I ZR 93/18, MIR 2020, Dok. 037
Elektronisches Dokument; einfache Signatur - Für die einfache Signatur eines Schriftsatzes gemäß § 130a Abs. 3 Satz 1 Alt. 2 ZPO genügt der maschinenschriftlich wiedergegebene Name des Verfassers
BGH, Beschluss vom 30.11.2023 - III ZB 4/23, MIR 2024, Dok. 003
Parodie braucht Humor und Spott - Eine Parodie liegt nicht vor, wenn sich ein Wort- und/oder Bildbeitrag in der Kritik am Gegenstand eines Lichtbild(werk)s erschöpft
OLG Frankfurt a.M., Urteil vom 02.02.2023 - 11 U 101/22, MIR 2023, Dok. 019
Sonntagsverkauf im Gartencenter - Die Zulässigkeit der Öffnung einer Verkaufsstelle an Sonn- und Feiertagen nach § 5 Abs. 1 Nr. 1 Satz 1 LÖG NW bestimmt sich nach deren Kernsortiment
BGH, Urteil vom 05.12.2024 - I ZR 38/24, MIR 2025, Dok. 003
Vorsicht Falle - Zur Zulässigkeit der Veröffentlichung eines gegen einen Mitbewerber erwirkten Urteils unter seiner namentlichen Nennung
BGH, Urteil vom 06.05.2021 - I ZR 167/20, MIR 2021, Dok. 058
