Kurz notiert // Datenschutzrecht
Bundesarbeitsrecht
Konzerninterner Kontrollverlust - Zum Anspruch eines Arbeitnehmers auf Schadenersatz nach der DSGVO, wegen der Ãœbertragung personenbezogener Echtdaten innerhalb des Konzerns an eine andere Gesellschaft
BAG, Urteil vom 08.05.2025 - 8 AZR 209/21; Vorinstanz: LAG Baden-Württemberg, Urteil vom 25.02.2021 - 17 Sa 37/20
MIR 2025, Dok. 037, Rz. 1
1
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen. Dies geht aus einer Entscheidung des Bundesarbeitsgerichts (BAG) vom 08.05.2025 (8 AZR 209/21) hervor.
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Anm. der Redaktion: Zu dieser Thematik vgl. auch BGH, Urteil vom 11.02.2025 - VI ZR 365/22 - Personalaktenverwaltung [Zum Schadensersatzanspruch nach der DSGVO wegen der Verwaltung von Personalakten durch nicht befugte Dritte] - http://miur.de/3468 sowie grundlegend u.a.: BGH, Urteil vom 18.11.2024 - VI ZR 10/24 - Facebook-Scraping [Bloßer und kurzzeitiger Kontrollverlust als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO] - http://miur.de/3427
Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Was Sie noch interessieren könnte...
test.net - Zur Irreführung durch die Verwendung der Domain "test.net" für die Veröffentlichung algorithmusbasierter Produktvergleiche und die Bezeichnung dieser Vergleiche als "Tests"
OLG Köln, Urteil vom 30.10.2020 - 6 U 136/19, MIR 2021, Dok. 011
cusanus.de - Neben der Domain (hier cusanus.de) kann auch der Domainname (bzw. die Second-Level-Domain; hier Cusanus) in Alleinstellung als Hinweis auf den Geschäftsbetrieb des Inhabers im Sinne von § 5 Abs. 2 Satz 1 MarkenG dienen
BGH, Beschluss vom 02.06.2022 - I ZR 154/21, MIR 2022, Dok. 062
Ordnungsmittelantrag gegen GmbH-Geschäftsführer - Ist allein das Organ einer juristischen Person Titelschuldner, sind etwaige Ordnungsmittel (allein) gegen das Organ festzusetzen
BGH, Beschluss vom 18.04.2024 - I ZB 55/23, MIR 2024, Dok. 047
Michael Wächter: Datenschutz im Unternehmen
Rechtsanwalt Thomas Ch. Gramespacher, MIR 2022, Dok. 015
Riptide II - Die besonderen Umstände des Einzelfalls nach § 97a Abs. 3 Satz 4 UrhG müssen die bereits nach § 97a Abs. 3 Satz 2 UrhG tatbestandlich zu berücksichtigenden Merkmale überwiegen, um von einer Begrenzung des Gegenstandswerts absehen zu können
BGH, Urteil vom 01.09.2022 - I ZR 108/20, MIR 2022, Dok. 095
OLG Köln, Urteil vom 30.10.2020 - 6 U 136/19, MIR 2021, Dok. 011
cusanus.de - Neben der Domain (hier cusanus.de) kann auch der Domainname (bzw. die Second-Level-Domain; hier Cusanus) in Alleinstellung als Hinweis auf den Geschäftsbetrieb des Inhabers im Sinne von § 5 Abs. 2 Satz 1 MarkenG dienen
BGH, Beschluss vom 02.06.2022 - I ZR 154/21, MIR 2022, Dok. 062
Ordnungsmittelantrag gegen GmbH-Geschäftsführer - Ist allein das Organ einer juristischen Person Titelschuldner, sind etwaige Ordnungsmittel (allein) gegen das Organ festzusetzen
BGH, Beschluss vom 18.04.2024 - I ZB 55/23, MIR 2024, Dok. 047
Michael Wächter: Datenschutz im Unternehmen
Rechtsanwalt Thomas Ch. Gramespacher, MIR 2022, Dok. 015
Riptide II - Die besonderen Umstände des Einzelfalls nach § 97a Abs. 3 Satz 4 UrhG müssen die bereits nach § 97a Abs. 3 Satz 2 UrhG tatbestandlich zu berücksichtigenden Merkmale überwiegen, um von einer Begrenzung des Gegenstandswerts absehen zu können
BGH, Urteil vom 01.09.2022 - I ZR 108/20, MIR 2022, Dok. 095
