Schadensersatz nach DSGVO-Verstoß wegen Test einer cloudbasierten Software für Personalverwaltung
Update Arbeitsrecht Mai 2025
Bundesarbeitsgericht (BAG), Urteil vom 8. Mai 2025 – 8 AZR 209/21
Überträgt ein Arbeitgeber personenbezogene Daten innerhalb des Konzerns an eine andere Gesellschaft, um eine cloudbasierte Software für Personalverwaltung („Workday“) zu testen und übermittelt er diese Informationen (teilweise) ohne eine hinreichende Rechtsgrundlage, verstößt er gegen die Datenschutz-Grundverordnung (DS-GVO). Dies kann einen Anspruch des Arbeitnehmers auf Schadensersatz begründen.
Sachverhalt
Im Jahr 2017 plante das beklagte Unternehmen, konzernweit Workday als einheitliche Personalverwaltungs-Software einzuführen. Zu Testzwecken übertrug die Beklagte personenbezogene Daten ihrer Beschäftigten – u.a. des Klägers – aus der bisher genutzten Software für Personalverwaltung an die Konzernobergesellschaft.
Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse ihrer Beschäftigten zu übertragen.
Die Beklagte übermittelte darüber hinaus jedoch weitere persönliche Daten, deren Übertragung in der Betriebsvereinbarung nicht vorgesehen war. Hierbei handelte es sich insbesondere um Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers.
Der Kläger war mit diesem Vorgehen nicht einverstanden und forderte von der Beklagten nach Art. 82 Abs. 1 DS-GVO einen Schadenersatz in Höhe von 3.000,00 Euro.
Die Vorinstanz hat die Klage abgewiesen (Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20). Es hielt den geltend gemachten Kontrollverlust über die Daten des Klägers nicht für ausreichend, um einen ersatzfähigen Schaden im Sinne der DS-GVO zu begründen.
Vorlageverfahren des BAG
Mit Beschluss vom 22. September 2022 (8 AZR 209/21 (A)) setzte das BAG das Revisionsverfahren aus und bat den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung verschiedener Vorlagefragen.
Im Wesentlichen wollte das BAG wissen, ob eine Betriebsvereinbarung, auf deren Grundlage personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, nicht nur die Anforderungen von Art. 88 Abs. 2 DS-GVO erfüllen, sondern auch umfassend mit anderen Regelungen der DS-GVO vereinbar sein muss.
Der EuGH stellte in seiner Antwort (Urteil vom 19. Dezember 2024 - C-65/23) klar, dass insbesondere Betriebsvereinbarungen alle Rechtmäßigkeitsvoraussetzungen und Grenzen der DS-GVO (namentlich Art. 5, 6 Abs. 1 und Art. 9 Abs. 1 und 2 DS-GVO) einhalten müssten und, dass sie einer umfassenden gerichtlichen Kontrolle unterliegen.
Entscheidung
Die Revision des Klägers hatte vor dem BAG teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO i.H.v. 200,00 Euro.
Soweit die Beklagte personenbezogene Daten, die nicht in der Betriebsvereinbarung geregelt waren, an die Konzernobergesellschaft übertragen habe, sei dies nicht erforderlich i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO. Die entsprechende Datenübermittlung habe somit gegen die DS-GVO verstoßen.
Dieser Verstoß begründe auch einen Schadensersatzanspruch des Klägers, weil durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft ein Kontrollverlust entstanden sei.
Ob die Betriebsvereinbarung selbst – wie vom EuGH gefordert – mit den Vorgaben der DS-GVO im Einklang stand, hatte das BAG im streitgegenständlichen Fall hingegen nicht zu prüfen. Der Kläger hat in der mündlichen Verhandlung vor dem BAG nämlich klargestellt, dass er sich auf einen solchen Verstoß nicht beruft.
Praxishinweise
Die Entscheidungen des EuGH und des BAG zeigen zweierlei:
Erstens hat die Entscheidung des EuGH erheblichen Einfluss auf Betriebsvereinbarungen als eigenständige Grundlage für die Verarbeitung von personenbezogenen Daten. Zwar kann eine solche Betriebsvereinbarung weiterhin als Grundlage für eine Datenverarbeitung herhalten. Allerdings ist der Abschluss einer Betriebsvereinbarung kein „Freifahrtschein“ für die Datenverarbeitung, weil Betriebsvereinbarungen ihrerseits den Vorgaben der DS-GVO entsprechen müssen. Anders gesagt: Durch den Abschluss einer Betriebsvereinbarung kann von dem Schutzniveau der DS-GVO nicht zum Nachteil der Beschäftigten abgewichen werden.
Zweitens zeigt die Entscheidung des BAG, dass – wenn eine Betriebsvereinbarung Grundlage für die Verarbeitung personenbezogener Daten ist – sich die tatsächliche Datenverarbeitung auch im Rahmen der dort vereinbarten Vorgaben halten muss.
Halten Arbeitgeber diese Vorgaben nicht ein, setzen sie sich dem Risiko von Schadensersatz und Bußgeldern aus.
