Go to landing page.
Willkommen bei ADIUVA
Registrierung per Kundennummer

AKTUELLE RECHTSPRECHUNG FÜR DEN BETRIEBSRAT

Schadenersatz nach DSGVO

Sie und Ihre Kolleginnen und Kollegen können nach der Datenschutzgrundverordnung (DSGVO) unter Umständen Schadenersatz verlangen, wenn Ihr Arbeitgeber bzw. Ihre Arbeitgeberin Ihre personenbezogenen Daten mit einem Personalverwaltungssystem in eine Cloud auf einem amerikanischen Server hochlädt. Mit einem entsprechenden Fall musste sich das Bundesarbeitsgericht (BAG) kürzlich auseinandersetzen und es entschied zugunsten der Arbeitnehmerinnen und Arbeitnehmer (8.5.2025, Az. 8 AZR 209/21).

Friederike Becker-Lerchner

30.05.2025 · 2 Min Lesezeit

Arbeitgeberin hält Betriebsvereinbarung nicht ein

Der Fall: Die Arbeitgeberin entschied im Jahr 2017, das cloudbasierte Personalverwaltungssystem „Workday“ konzernweit einzuführen und dieses statt des bis dato genutzten SAP-Systems zu nutzen. Die Server von Workday stehen in den USA.

Wie bei der Einführung komplizierter IT-Systeme üblich, sollte Workday in einem Testbetrieb vorab ausprobiert werden. Bei solchen Testbetrieben ist es zudem üblich, dass nach einer gewissen Phase nicht nur sogenannte Dummy-Daten genutzt werden, sondern vielmehr Echtdaten der Beschäftigten verwendet werden.

Um die Mitbestimmungsrechte des Betriebsrats bei der Einführung von IT-Systemen zu wahren, einigten sich der Arbeitgeber und der Betriebsrat auf eine Betriebsvereinbarung. Diese ermöglichte es dem Arbeitgeber, bestimmte personenbezogene Daten der Arbeitnehmerinnen und Arbeitnehmer an die Software zu übermitteln. Zu den in diesem Rahmen erlaubten Daten gehörten Name, Eintrittsdatum, Arbeitsort sowie geschäftliche Kontaktdaten wie geschäftliche Telefonnummer und E-Mail-Adresse.

Allerdings hielt sich der Arbeitgeber nicht an die Vorgaben. Im Testbetrieb wurden mehr Daten übermittelt, als die Betriebsvereinbarung vorsah.

Arbeitnehmer stellt Missbrauch fest

Ein Arbeitnehmer, der Betriebsratsvorsitzende, fand heraus, dass während des Testbetriebs auch sensible Daten wie Gehaltsdaten, seine private Wohnanschrift und Steuer-IDs an die Konzernmuttergesellschaft weitergegeben wurden. Der Arbeitnehmer war mit der Übertragung nicht einverstanden. Er forderte deshalb Schadenersatz in Höhe von 3.000 € nach Art. 82 Abs. 1 DSGVO.

Seine Forderung begründete er damit, dass der Arbeitgeber nicht befugt gewesen sei, ihn betreffende personenbezogene Daten, die über die Regelungen in der Betriebsvereinbarung hinausgehen, im Rahmen des Testbetriebs zu verarbeiten.

Erfolg vor dem EuGH

Vor dem Landesarbeitsgericht Baden-Württemberg hatte er keinen Erfolg (25.2.2021, Az. 17 Sa 37/20). Das Gericht begründete seine ablehnende Entscheidung damit, dass reine Befürchtungen, US-Behörden und Konzerngesellschaften könnten unbefugt auf Daten zugreifen, keinen ersatzfähigen Schaden darstellen.

Der Arbeitnehmer zog deshalb vor das BAG. Dieses legte die Sache zunächst dem Europäischen Gerichtshof (EuGH) vor, der daraufhin klarstellte, dass Regelungen in Betriebsvereinbarungen stets den Vorgaben der DSGVO entsprechen müssen (EuGH, 19.12.2024, Az. C-65/23).

BAG spricht Schadenersatz für Kontrollverlust zu

Die Entscheidung: Das BAG orientierte sich an der Rechtsprechung des EuGH. Es sprach dem Arbeitnehmer einen Anspruch auf Schadenersatz zu – allerdings nur in Höhe von 200 €. In ihrer Begründung wiesen die Richter darauf hin, dass der Arbeitgeber mehr personenbezogene Daten an die Konzernobergesellschaft übermittelt habe, als es die Betriebsvereinbarung zulasse.

Das Gericht stellte zudem klar, dass die Übertragung im Testbetrieb nicht notwendig gewesen sei. Deshalb habe der Arbeitgeber insoweit gegen die DSGVO verstoßen.

Fazit: Kontrollverlust über Daten reicht aus

Für einen Schadenersatzanspruch nach der DSGVO reicht grundsätzlich der Kontrollverlust über die Daten aus. Die Entscheidung zeigt zudem, dass das BAG der Linie des EuGH auch im Hinblick auf die Höhe des Schadens gefolgt ist. Denn der erreichte Wert von 200 € bleibt weit unter dem Wert der eingeklagten 3.000 €.

Damit stellt das BAG klar, dass es davon ausgeht, dass der Schadenersatzanspruch nach Art. 82 DSGVO keine Straffunktion erfüllt.

§ 82 Abs. 1, 2 DSGVO: Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Wie hat Ihnen dieser Artikel gefallen?

0
0
Friederike Becker-Lerchner
426
0
241
Ich publiziere seit über 20 Jahren im Bereich Arbeitsrecht. Seit 2005 unterstütze ich Betriebsräte in ganz Deutschland Monat für Monat bei ihren fachlichen Herausforderungen. Darüber hinaus bin ich als Rechtsanwältin, […]

Inhaltsverzeichnis

Inhaltsverzeichnis

Mehr interessante Beiträge