Kurz notiert // Datenschutzrecht
Bundesarbeitsrecht
Konzerninterner Kontrollverlust - Zum Anspruch eines Arbeitnehmers auf Schadenersatz nach der DSGVO, wegen der Ãœbertragung personenbezogener Echtdaten innerhalb des Konzerns an eine andere Gesellschaft
BAG, Urteil vom 08.05.2025 - 8 AZR 209/21; Vorinstanz: LAG Baden-Württemberg, Urteil vom 25.02.2021 - 17 Sa 37/20
MIR 2025, Dok. 037, Rz. 1
1
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen. Dies geht aus einer Entscheidung des Bundesarbeitsgerichts (BAG) vom 08.05.2025 (8 AZR 209/21) hervor.
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Zur Sache
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.
Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Ãœberlassung von personenbezogenen Daten an Konzernobergesellschaft
Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025
Anm. der Redaktion: Zu dieser Thematik vgl. auch BGH, Urteil vom 11.02.2025 - VI ZR 365/22 - Personalaktenverwaltung [Zum Schadensersatzanspruch nach der DSGVO wegen der Verwaltung von Personalakten durch nicht befugte Dritte] - http://miur.de/3468 sowie grundlegend u.a.: BGH, Urteil vom 18.11.2024 - VI ZR 10/24 - Facebook-Scraping [Bloßer und kurzzeitiger Kontrollverlust als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO] - http://miur.de/3427
Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Was Sie noch interessieren könnte...
EuGH-Vorlage zum Vertrieb von Arzneimitteln über eine Internet-Verkaufsplattform (Amazon) - Verfolgung eines DSGVO-Verstoßes durch Mitbewerber und Gesundheitsdaten beim Internetvertrieb von (nur) apothekenpflichtigen Medikamenten
Bundesgerichtshof, MIR 2023, Dok. 005
Pizzafoto - Zuständigkeitskonzentration und Rechtsmitteleinlegung beim funktional unzuständigen Gericht bei fehlerhafter Rechtsmittelbelehrung des erstinstanzlichen Gerichts
BGH, Beschluss vom 07.06.2018 - I ZB 48/17, MIR 2018, Dok. 050
Testsiegel auf Produktabbildung - Unabhängig deren Intensität muss in einer Werbung mit einem Testsiegel eine Fundstelle des Tests deutlich erkennbar angegeben werden
BGH, Urteil vom 15.04.2021 - I ZR 134/20, MIR 2021, Dok. 042
Personalaktenverwaltung - Zum Schadensersatzanspruch nach der DSGVO wegen der Verwaltung von Personalakten durch nicht befugte Dritte
BGH, Urteil vom 11.02.2025 - VI ZR 365/22, MIR 2025, Dok. 034
eBay-Abbruchjäger - Ob das Verhalten eines Bieters auf eBay als rechtsmissbräuchlich einzustufen ist, bedarf einer Gesamtwürdigung der konkreten Einzelfallumstände
BGH, Urteil vom 22.05.2019 - VIII ZR 182/17, MIR 2019, Dok. 025
Bundesgerichtshof, MIR 2023, Dok. 005
Pizzafoto - Zuständigkeitskonzentration und Rechtsmitteleinlegung beim funktional unzuständigen Gericht bei fehlerhafter Rechtsmittelbelehrung des erstinstanzlichen Gerichts
BGH, Beschluss vom 07.06.2018 - I ZB 48/17, MIR 2018, Dok. 050
Testsiegel auf Produktabbildung - Unabhängig deren Intensität muss in einer Werbung mit einem Testsiegel eine Fundstelle des Tests deutlich erkennbar angegeben werden
BGH, Urteil vom 15.04.2021 - I ZR 134/20, MIR 2021, Dok. 042
Personalaktenverwaltung - Zum Schadensersatzanspruch nach der DSGVO wegen der Verwaltung von Personalakten durch nicht befugte Dritte
BGH, Urteil vom 11.02.2025 - VI ZR 365/22, MIR 2025, Dok. 034
eBay-Abbruchjäger - Ob das Verhalten eines Bieters auf eBay als rechtsmissbräuchlich einzustufen ist, bedarf einer Gesamtwürdigung der konkreten Einzelfallumstände
BGH, Urteil vom 22.05.2019 - VIII ZR 182/17, MIR 2019, Dok. 025
