Im Blickpunkt

Veröffentlicht am von _red

Im Blickpunkt

Abbildung 18

Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung “Workday” zu testen (PM Nr. 20/2025 zu BAG, Urteil vom 8.5.2025 – 8 AZR 209/21). Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten u. a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug ihr vorliegende personenbezogene Daten des Klägers an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, u. a. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID. Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25.5.2018 geltenden DSGVO i. H. v. 3 000 Euro zu, da die Beklagte die Grenzen der Betriebsvereinbarung überschritten habe. Die Vorinstanzen haben die Klage abgewiesen. Der Senat hatte das Revisionsverfahren ausgesetzt und den EuGH um die Beantwortung von Rechtsfragen ersucht (dazu EuGH, Urteil vom 19.12.2024 – C-65/23). Die Revision des Klägers hatte nunmehr vor dem Achten Senat des BAG insoweit Erfolg, als dass der Kläger gegen die Beklagte einen Anspruch auf immateriellen Schadenersatz i. H. v. 200 Euro hat. Andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft zu übertragen sei nicht erforderlich gewesen i. S. d. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO. Der immaterielle Schaden des Klägers liege insofern in dem durch die Überlassung der personenbezogenen Daten verursachten Kontrollverlust.

Prof. Dr. Christian Pelke, Ressortleiter Arbeitsrecht

BB 2025, 1203