MIR-Newsletter

Der MIR-Newsletter informiert Sie regelmäßig über neue Inhalte in MIR - MEDIEN INTERNET und RECHT!

Schließen Abonnieren
MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Kurz notiert // Datenschutzrecht



Bundesarbeitsrecht

Konzerninterner Kontrollverlust - Zum Anspruch eines Arbeitnehmers auf Schadenersatz nach der DSGVO, wegen der Übertragung personenbezogener Echtdaten innerhalb des Konzerns an eine andere Gesellschaft

BAG, Urteil vom 08.05.2025 - 8 AZR 209/21; Vorinstanz: LAG Baden-Württemberg, Urteil vom 25.02.2021 - 17 Sa 37/20

MIR 2025, Dok. 037, Rz. 1


1
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen. Dies geht aus einer Entscheidung des Bundesarbeitsgerichts (BAG) vom 08.05.2025 (8 AZR 209/21) hervor.

Zur Sache

Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten unter andere zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der DSGVO in Höhe von EUR 3.000,00 zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22.09.2022 (8 AZR 209/21 (A) - BAGE 179, 120) hatte das BAG das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19.12.2024 (C-65/23 – [K GmbH]) beantwortet.

Entscheidung des Bundesarbeitsgerichts: Immaterieller Schaden durch Kontrollverlust - Überlassung von personenbezogenen Daten an Konzernobergesellschaft

Die Revision des Klägers vor dem BAG hatte teilweise Erfolg. Der Kläger habe gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 200,00. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, sei dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gewesen und verstoße damit gegen die DSGVO. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung klargestellt, dass er sich nicht weiter darauf beruft, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten nicht erforderlich gewesen sei. Das Gericht hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.

(tg) - Quelle: PM Nr. 20/25 des BAG vom 08.05.2025

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 13.05.2025
Kurz-Link zum Artikel: http://miur.de/3471
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
dejure.org StellenmarktAnzeige