Schadenersatz nach DSGVO-Verstoß wegen Test einer cloudbasierten Software für Personalverwaltung

Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der DSGVO haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen.

Der Sachverhalt:
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten u.a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen.

Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, u.a. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger ist der Ansicht, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25.5.2018 geltenden DSGVO i.H.v. 3.000 € zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

ArbG und LAG wiesen die Klage ab. Dagegen wandte sich der Kläger mit seiner Revision. Das BAG setzte das Revisionsverfahren aus und legte dem EuGH mehrere Rechtsfragen betreffend die Auslegung des Unionsrechts zur Vorabentscheidung vor. Nach Beantwortung dieser Fragen durch den EuGH hatte die Revision teilweise Erfolg.

Die Gründe:
Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO i.H.v. 200 €.

Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die DSGVO. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.

Mehr zum Thema:

Aufsatz
Neues vom EuGH zur DSGVO: Von Betriebsvereinbarungen und exzessiven Auskunftsverlangen
Alexander Lentz, Arbeitsrecht Blog 2025
ARBLOG0008439

Aktionsmodul Arbeitsrecht
Optional Otto Schmidt Answers dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Mit den Inhalten der erstklassigen Standardwerke zum Arbeitsrecht. Formulare mit Lawlift. 4 Wochen gratis nutzen!

Rechtsprechung
Ersatz des immateriellen Schadens eines Arbeitnehmers – Verarbeitung personenbezogener Daten durch Software (Workday)
EuGH vom 19.12.2024 - C-65/23
DB 2025, 330
DB1470180

Aufsatz
Was kann man mit einer Betriebsvereinbarung nach dem EuGH-Urteil (C-65/23) noch anfangen?
Manfred Monreal, DB 2025, 940
DB1473216

DER BETRIEB digital
Optional Otto Schmidt Answers dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. DER BETRIEB digital mit wöchentlich neuen Beiträgen aus Steuerrecht, Wirtschaftsrecht, Arbeitsrecht und Betriebswirtschaft. 4 Wochen gratis nutzen!