Mitarbeiterdaten an den Mutterkonzern übermittelt: Unternehmen muss Schadensersatz zahlen

BEITRAG TEILEN

Weil sein Arbeit­ge­ber das HR-Sys­tem „Work­day“ imple­men­tie­ren woll­te, gab das Unter­neh­men sen­si­ble Daten der Mit­ar­bei­ten­den an die US-Kon­zern­o­ber­ge­sell­schaft wei­ter. Es geschah nichts wei­ter, doch dem BAG reich­te das: Schon der Ver­lust der Kon­trol­le über sei­ne Daten gebe dem Arbeit­neh­mer einen Scha­dens­er­satz­an­spruch gegen das Unter­neh­men.

Das Bun­des­ar­beits­ge­richt (BAG) in Erfurt hat­te am 8. Mai 2025 über einen Scha­dens­er­satz­an­spruch aus der Daten­schutz­grund­ver­ord­nung zu ent­schei­den. Dabei haben Deutsch­lands höchs­te Arbeits­rich­ter klar­ge­stellt, dass Arbeit­ge­ber auch Ersatz­an­sprü­che wegen Daten­schutz­ver­let­zun­gen mit weni­ger gra­vie­ren­den Fol­gen für die Betrof­fe­nen sehr ernst neh­men soll­ten (Az. 8 AZR 209/21).

Der kla­gen­de Arbeit­neh­mer ver­lang­te imma­te­ri­el­len Scha­dens­er­satz, weil sein Arbeit­ge­ber im Jahr 2017 sei­ne Daten über eine Share­Point-Sei­te an die US-Kon­zern­o­ber­ge­sell­schaft über­tra­gen hat­te. Es ging um Tests und die Imple­men­tie­rung des HR-Sys­tems „Work­day“, die Daten­ver­ein­ba­rung zu die­sem Zweck war auch per Betriebs­ver­ein­ba­rung gere­gelt wor­den. Aller­dings erlaub­te die Ver­ein­ba­rung nur, bestimm­te Daten­ka­te­go­rien zu über­mit­teln. Der Arbeit­ge­ber über­mit­tel­te aber mehr und auch sen­si­ble per­so­nen­be­zo­ge­ne Daten des Mit­ar­bei­ters wie Gehalts­in­for­ma­tio­nen, die pri­va­te Wohn­an­schrift, das Geburts­da­tum, den Fami­li­en­stand, die Sozi­al­ver­si­che­rungs­num­mer und die Steu­er-ID. Der Arbeit­neh­mer woll­te des­halb 3.000 Euro imma­te­ri­el­len Scha­dens­er­satz aus Art. 82 Abs. 1 Daten­schutz­grund­ver­ord­nung (DSGVO). Die Vor­schrift regelt die Haf­tung und das Recht auf den Ersatz von mate­ri­el­len und imma­te­ri­el­len Schä­den durch einen Ver­stoß gegen die Ver­ord­nung.

Vom Arbeits­ge­richt in Ulm bis zum Euro­päi­schen Gerichts­hof

Sowohl das Arbeits­ge­richt Ulm als auch das Lan­des­ar­beits­ge­richt Baden-Würt­tem­berg wie­sen sei­ne Kla­ge zunächst ab. Die Gerich­te stell­ten sich auf den Stand­punkt, dass nicht jeder Ver­stoß gegen die DSGVO auto­ma­tisch einen Ent­schä­di­gungs­an­spruch gebe. Viel­mehr müs­se ein spür­ba­rer Scha­den, eine ech­te Beein­träch­ti­gung des Per­sön­lich­keits­rechts ein­ge­tre­ten sein. Ein blo­ßes Gefühl des Kon­troll­ver­lusts oder eine abs­trak­te Miss­brauchs­ge­fahr durch die Daten­über­mitt­lung ins Aus­land rei­che nicht. Das LAG ver­wies zudem dar­auf, dass der Groß­teil der Daten­über­mitt­lun­gen statt­fand, bevor die DSGVO über­haupt in Kraft trat, also ohne­hin kein Anspruch auf die DSGVO gestützt wer­den kön­ne.

Doch der Mann gab nicht auf, er leg­te Revi­si­on zum BAG ein. Das setz­te das Ver­fah­ren zunächst aus und rief den Euro­päi­schen Gerichts­hof (EuGH) an, um zen­tra­le Fra­gen zur Aus­le­gung der Daten­schutz-Grund­ver­ord­nung (DSGVO) klä­ren zu las­sen. Im Mit­tel­punkt stand dabei, ob eine Betriebs­ver­ein­ba­rung als natio­na­le Rechts­grund­la­ge aus­reicht, um die Ver­ar­bei­tung von Mit­ar­bei­ter­da­ten – etwa im Rah­men eines Soft­ware­tests – zu recht­fer­ti­gen. Außer­dem woll­te das Gericht wis­sen, ob schon ein rei­ner Kon­troll­ver­lust über per­so­nen­be­zo­ge­ne Daten, also ohne dass ein greif­ba­rer Nach­teil ein­tritt, als imma­te­ri­el­ler Scha­den nach der DSGVO bewer­tet wer­den kann.

Mit Urteil vom 19. Dezem­ber 2024 (Az. C‑65/23) beant­wor­te­te der EuGH bei­de Fra­gen im Grund­satz posi­tiv. Er stell­te klar, dass Betriebs­ver­ein­ba­run­gen zwar grund­sätz­lich eine recht­li­che Grund­la­ge für Daten­ver­ar­bei­tun­gen schaf­fen kön­nen – aber nur dann, wenn sie die Vor­ga­ben und Schutz­zie­le der DSGVO ein­hal­ten. Zudem erkann­te der EuGH an, dass ein blo­ßer Kon­troll­ver­lust über die eige­nen Daten schon einen imma­te­ri­el­len Scha­den begrün­den kann – selbst wenn die­ser nicht zu wei­te­ren kon­kre­ten Nach­tei­len geführt hat.

Daten­ver­ar­bei­tung nicht erfor­der­lich: Scha­den schon durch Kon­troll­ver­lust

Im Anschluss an die­se Ent­schei­dung aus Luxem­burg gelang­te das BAG zu dem Ergeb­nis, dass die Wei­ter­ga­be der­je­ni­gen per­so­nen­be­zo­ge­nen Daten des kla­gen­den Arbeit­neh­mers, die in der Betriebs­ver­ein­ba­rung nicht gere­gelt waren, unzu­läs­sig war. Nach Auf­fas­sung des BAG war die Daten­ver­ar­bei­tung nicht „erfor­der­lich“ im Sin­ne von Art 6 Abs. 1 Nr. 1f DSGVO: Das Inter­es­se des Arbeit­ge­bers an pra­xis­na­hen Soft­ware­tests recht­fer­ti­ge es nicht, die Rech­te der betrof­fe­nen Ange­stell­ten zu beein­träch­ti­gen.

Ent­schei­dend war aus Sicht des Gerichts, dass der Arbeit­neh­mer durch die nicht hin­rei­chend kon­trol­lier­te Wei­ter­ga­be sei­ner Daten die Kon­trol­le und Ver­fü­gungs­macht über sei­ne per­so­nen­be­zo­ge­nen Infor­ma­tio­nen ein­büß­te. Das genüg­te dem BAG, um einen imma­te­ri­el­len Scha­den fest­zu­stel­len. Den vom Klä­ger gel­tend gemach­ten Scha­dens­er­satz von 3.000 Euro sprach das Gericht zwar nicht zu, erkann­te aber einen Ent­schä­di­gungs­an­spruch in Höhe von 200 Euro an. Hier­bei stütz­te sich die Erfur­ter Rich­ter auf die Recht­spre­chung des EuGH: Danach soll der der zuge­spro­che­ne Scha­den­er­satz maß­geb­lich den indi­vi­du­ell erlit­te­nen Nach­teil kom­pen­sie­ren; eine – für den Ver­ant­wort­li­chen oder Drit­ten — abschre­cken­de Höhe muss er nicht errei­chen.

Pra­xis­tipp

Damit ist klar, dass Unter­neh­men das Risi­ko von – auch klei­ne­ren – imma­te­ri­el­len Scha­dens­er­satz­an­sprü­chen sehr ernst neh­men soll­ten. Arbeit­neh­mer und ande­re Anspruch­stel­ler müs­sen kei­ne schwe­re Per­sön­lich­keits­ver­let­zung nach­wei­sen, son­dern schon eine spür­ba­re per­sön­li­che Beein­träch­ti­gung genügt, wie sie etwa durch den blo­ßen Ver­lust der Kon­trol­le über die eige­nen Daten ent­ste­hen kann. Ande­re Recht­spre­chung deut­scher Gerich­te, die eine Baga­tell­schwel­le ver­lang­ten, ist damit über­holt.

Die Ent­schei­dung des BAG sorgt  recht­lich gese­hen für den von der DSGVO beab­sich­tig­ten „voll­stän­di­gen und wirk­sa­men“ Rechts­schutz. Sie soll­te auch in der betrieb­li­chen Pra­xis für neue Sen­si­bi­li­tät im Beschäf­tig­ten­da­ten­schutz sor­gen.

BEITRAG TEILEN