Schadenersatz nach Datenschutz-Grundverordnung

Der Kläger ist der Arbeitnehmer und die Beklagte ist die Arbeitgeberin.

Die Beklagte verarbeitete personenbezogene Daten von Beschäftigten, um diese mit der cloudbasierten Software für Personalverwaltung "Workday“ zu verwenden und testen. Hintergrund war, dass „Workday“ als einheitliches Personal-Informationsmanagementsystem verwendet werden soll. Zu diesem Zweck wurden personenbezogene Daten des Klägers an die Konzernobergesellschaft übertragen, damit diese Daten zu Testzwecken in „Workday“ eingefügt werden können. Der Testbestrieb der Software war in einer Betriebsvereinbarung geregelt, wodurch die Beklagte u.a. den Namen, Arbeitsort und die E-Mail-Adresse übermitteln durfte. Darüber hinaus übermittelte die Beklagte auch noch Gehaltsinformationen, die private Wohnanschrift, die SV-Nummer und die Steuer-ID, welche nicht in der Betriebsvereinbarung geregelt waren.

Der Kläger war der Auffassung, dass ihm ein immaterieller Schadensersatzanspruch in Höhe von 3000,00 EUR wegen Verletzung von Art.82 I Datenschutz-Grundverordnung (DSGVO) zustehe, weil der Beklagte die Grenzen der Betriebsvereinbarung überschritten habe.

Die Revision vor dem Bundesarbeitsgericht hatte teilweise Erfolg. Dem Kläger wurden 200,00 EUR zugesprochen. Nicht erforderlich war dabei die Übertragung der personenbezogenen Daten, die nicht in der Betriebsvereinbarung genannt wurden. Der immaterielle Schaden liegt in dem Kontrollverlust, der durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft entstand. Ob die Betriebsvereinbarung selbst DSGVO-konform ist, entschied das Gericht nicht, da sich der Kläger nicht mehr darauf beruft, dass auch die Übertragung der in der Betriebsvereinbarung genannten Daten, die DSGVO verletzen (Quelle: Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 –Vorinstanz: Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20).

Veröffentlicht am 17. Juli 2025.