Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.
Die Arbeitgeberin verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Arbeitgeberin übertrug personenbezogene Daten des Arbeitnehmers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Arbeitgeberin erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Arbeitgeberin übermittelte darüber hinaus weitere Daten des Arbeitnehmers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Arbeitnehmer hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung in Höhe von 3.000,00 € zu. Die Arbeitgeberin habe die Grenzen der Betriebsvereinbarung überschritten.
In den Vorinstanzen haben sowohl das Arbeitsgericht wie auch das Landesarbeitsgericht Baden-Württemberg1 die Klage abgewiesen. Auf die Revision des Arbeitnehmers hat das Bundesarbeitsgericht zunächst das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht2. Der Unionsgerichtshof hat diese Vorlagefragen zwischenzeitlich beantwortet3. In Umsetzung dieser Entscheidung des Unionsgerichtshofs hatte die Revision des Arbeitnehmers nun vor dem Bundesarbeitsgericht teilweise Erfolg:
Der Arbeitnehmer hat gegen die Arbeitgeberin einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200,00 Euro. Soweit die Arbeitgeberin andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung.
Der immaterielle Schaden des Arbeitnehmers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
Der Arbeitnehmer hat in der mündlichen Verhandlung vor dem Bundesarbeitsgericht klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Das Bundesarbeitsgericht Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21