BAG: Verstoß gegen die DSGVO – Schadensersatz – Betriebsvereinbarung Workday

Das Bundesarbeitsgericht hatte über einen Anspruch auf Schadensersatz zu entscheiden, der aus der Übertragung personenbezogener Arbeitnehmerdaten innerhalb des Konzerns an eine andere Gesellschaft resultierte, um die cloudbasierte Software für Personalverwaltung Workday zu testen.

Folgender Sachverhalt liegt zugrunde:

Die Beklagte (Arbeitgeberin) verarbeitete personenbezogene Daten ihrer Beschäftigten unter anderem zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers (Arbeitnehmer) aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25.05.2018 geltenden Datenschutz-Grundverordnung in Höhe von 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

Das Arbeitsgericht sowie das Landesarbeitsgericht Baden-Württemberg haben die Klage abgewiesen. Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg.

In Art. 82 Abs. 1 DSGVO heißt es wie folgt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Der Kläger, so das BAG, hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutzgrundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.

Hinweise von Rechtsanwalt Adrian Kalb:

Die Entscheidung des BAG (8 AZR 209/21) liegt bislang nur als Pressemitteilung Nr. 20/25 vor. In der Praxis ist festzustellen, dass durch stetige Digitalisierungsprozesse auch der Bedarf an häufig cloudbasierten Personalverwaltungssystemen mit und ohne Self-Service-Modulen weiter wächst. Arbeitgeber sind dabei nicht nur angehalten, die entsprechenden Beteiligungsrechte des (Gesamt-)Betriebsrats, insbesondere aus § 87 Abs. 1 Nr. 6 BetrVG, nach dem vor der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, die Zustimmung des (Gesamt-)Betriebsrats einzuholen ist, einzuhalten, sondern auch die Datenschutzrechtlichen Bestimmungen der DSGVO und des BDSG zu wahren. Die Entscheidung des BAG zeigt völlig zutreffend auf, dass die Einhaltung der Betriebsverfassung eine Voraussetzung der Datenschutzkonformität darstellen kann.

Gericht:               BAG

Az:                       8 AZR 209/21

Datum:                08.05.2025