Haufe Online Redaktion
Haufe Online Redaktion
DSGVO-Verstoß begründet Schadensersatzpflicht des Arbeitgebers
Bild: Daniel Trylski / Pexels Vorsicht beim Umgang mit Beschäftigtendaten: Hier können Datenschutzverletzungen den Arbeitgeber teuer zu stehen kommen.

Das Bundesarbeitsgericht hatte zu entscheiden, ob ein Arbeitgeber wegen eines Datenschutzverstoßes bei einer Datenverarbeitung, die den Regelungen einer Betriebsvereinbarung widersprach, schadensersatzpflichtig ist. Das oberste deutsche Arbeitsgericht bejahte dies und sprach dem klagenden Arbeitnehmer eine Entschädigung zu.

In dem Prozess, mit dem letztlich drei Arbeitsgerichtsinstanzen und zwischenzeitlich sogar der EuGH befasst waren, ging es darum, ob ein Arbeitnehmer einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung  (DSGVO) haben kann, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen.

Datenweitergabe entgegen der Betriebsvereinbarung

Der Arbeitgeber nutzt zur Verarbeitung von personenbezogenen Daten seiner Beschäftigten, unter anderen zum Zwecke der Gehaltsabrechnung eine Personalverwaltungssoftware. Im Jahr 2017 gab es Planungen, konzernweit die Software "Workday" als einheitliches Personal-Informationsmanagementsystem einzuführen. Das beklagte Unternehmen übertrug personenbezogene Daten des klagenden Arbeitnehmers aus der bis dahin genutzten Software an die Konzernobergesellschaft, um damit die Software zu Testzwecken zu befüllen.

Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt worden. Die Betriebsvereinbarung gestattete es dem Arbeitgeber, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse der Beschäftigten zu Testzwecken zu übermitteln. Allerdings hielt sich das Unternehmen nicht an die festgelegten Begrenzungen und  übermittelte darüber hinaus weitere Daten des Beschäftigten, wie beispielsweise Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Anspruch auf immateriellen Schadensersatz?

Der Arbeitnehmer, der davon Kenntnis erlangte, vertrat die Auffassung, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden DSGVO in Höhe von 3.000 Euro zu. Der Arbeitgeber habe die Grenzen der Betriebsvereinbarung überschritten.

Das Arbeitsgericht in erster und das Landesarbeitsgericht in zweiter Instanz hatten die Klage zunächst abgewiesen. Mit Beschluss vom 22. September 2022 hatte der für das Revisionsverfahren zuständige Achte Senat des BAG das Verfahren ausgesetzt und den EuGH um die Beantwortung einer Reihe von ungeklärten Rechtsfragen ersucht, die für die Entscheidung in diesem Verfahren erheblich waren.

BAG legt dem EuGH maßgebliche Rechtsfragen vor

Gefragt hatte das BAG, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG –, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind.

Falls dem so wäre, wollte es wissen, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden darf, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist.

Die dritte Frage war, worauf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden darf. Der EuGH sollte weiterhin beantworten, ob Art. 82 Abs. 1 DSGVO dahin auszulegen sei, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden, oder ob der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraussetze, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt.

In dem Zusammenhang sollte der EuGH auch klären, ob Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen oder des Auftragsverarbeiters berücksichtigt werden müsse. Und schließlich wollte das BAG noch wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankomme. Insbesondere, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden dürfe.

EuGH gibt Auslegung vor

Der EuGH hat diese Fragen des Achten Senats mit Urteil vom 19. Dezember 2024 (Az. C-65/23) beantwortet. Er entschied, dass Art. 88 Abs. 1 und 2 der DSGVO dahin auszulegen sei, dass eine nach dieser Bestimmung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der DSGVO ergeben.

Außerdem sei Art. 88 Abs. 1 DSGVO dahin auszulegen, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der "Erforderlichkeit" einer Verarbeitung personenbezogener Daten im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben.

Kontrollverlust der Daten begründet Schadensersatzpflicht

Diese Vorgaben des EuGH hatte das BAG nun im laufenden Revisionsverfahren zu berücksichtigen und gab der Revision des Arbeitnehmers teilweise statt. Das BAG sprach dem Arbeitnehmer gegen seinen Arbeitgeber einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 Euro zu.

Das Gericht führte aus, dass der Arbeitgeber, soweit er andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, was nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO war, gegen die DSGVO verstoßen habe. Der immaterielle Schaden des Arbeitnehmers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.

Hinweis: Bundesarbeitsgericht, Urteil vom 8. Mai 2025, Az. 8 AZR 209/21


Das könnte Sie auch interessieren:

DSGVO-Mindeststandards in Betriebsvereinbarungen

Was beim Datenschutz im Homeoffice zu beachten ist

Keine Entschädigung wegen verspäteter Datenauskunft



Schlagworte zum Thema:  BAG-Urteil, Datenschutz-Grundverordnung, Datenschutz, Betriebsvereinbarung, HR-Software, EuGH
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Arbeitsrecht
EuGH-Urteil: DSGVO-Mindeststandards in Betriebsvereinbarungen
EuGH Gebäude und Tafel

Betriebsvereinbarungen, in denen Fragen zur Verarbeitung von Mitarbeiterdaten geregelt werden, müssen den Vorgaben der europäischen DSGVO entsprechen. Sie dürfen nicht negativ davon abweichen, entschied der EuGH und gibt damit strengere Anforderungen bei der Gestaltung vor.
BAG-Urteil: DSGVO-Schadensersatzanspruch wegen heimlicher Mitarbeiterüberwachung
Überwachung

Wegen einer mutmaßlich vorgetäuschten Arbeitsunfähigkeit ließ ein Arbeitgeber einen Mitarbeiter durch eine Detektei überwachen. Das BAG hat diesem aufgrund der rechtswidrigen und heimlichen Überwachung einen Schadensersatz nach § 82 DSGVO zugesprochen.
Beschäftigtendatenschutz: Auftrag für den Gesetzgeber
Videochat
Auftrag für den Gesetzgeber
digital

In die immer wieder aufkeimende Diskussion über ein Beschäftigtendatenschutzgesetz ist erneut Bewegung gekommen. Seit einer Entscheidung des Europäischen Gerichtshofs (EuGH) Ende März 2023 bestehen erhebliche Zweifel, ob der deutsche Arbeit­­nehmer­datenschutz mit Europarecht in Einklang gebracht werden kann.  
Den eigenen Erfolg gestalten: Was du nicht hören willst
Was du nicht hören willst

Wer ganz nach oben will, braucht mehr als nur Talent. Das Buch gibt einen schonungslosen Einblick in die Realität der Businesswelt und zeigt anschaulich, wie man sich ihre Mechanismen und unsichtbaren Spielregeln auf dem Weg nach oben geschickt zunutze macht.
BAG 8 AZR 209/21 (A)
BAG 8 AZR 209/21 (A)

  Entscheidungsstichwort (Thema) Vorabentscheidungsersuchen. Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung im Folgenden DSGVO). Verarbeitung personenbezogener Daten. Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis. ...

4 Wochen testen