Schadenersatz nach DSGVO-Verstoß wegen Test einer cloudbasierten Software für Personalverwaltung (BAG v. 8.5.2025 – 8 AZR 209/21)

Schadenersatz nach DSGVO-Verstoß wegen Test einer cloudbasierten Software für Personalverwaltung (BAG v. 8.5.2025 - 8 AZR 209/21)

Ein Arbeitnehmer kann Schadenersatzansprüche gemäß Art. 82 Abs. 1 DSGVO geltend machen, wenn personenbezogene Daten unzulässig verarbeitet oder übertragen wurden – auch bei der Verwendung einer cloudbasierten Software zur Personalverwaltung.

Sachverhalt:
Im Fall der BAG-Entscheidung vom 8. Mai 2025 (8 AZR 209/21) ging es um die Übertragung von personenbezogenen Daten eines Arbeitnehmers innerhalb eines Konzerns, um das Personalinformationsmanagementsystem „Workday“ zu testen. Die Beklagte hatte im Jahr 2017 beschlossen, Workday konzernweit als einheitliches System zu implementieren. Hierfür wurden personenbezogene Daten des Klägers von der bisherigen Software an die Konzernobergesellschaft übermittelt, um das System zu befüllen. Die Betriebsvereinbarung regelte, welche Daten übermittelt werden durften, darunter beispielsweise Name, Eintrittsdatum und geschäftliche Kontaktdaten. Die Beklagte übermittelte jedoch zusätzlich sensible Daten wie Gehaltsinformationen, die private Wohnadresse und Steuer-IDs, was über die Vereinbarung hinausging.

Anspruch des Klägers:
Der Kläger verlangte Schadenersatz in Höhe von 3.000 € nach Art. 82 Abs. 1 DSGVO, da er der Ansicht war, die Übertragung zusätzlicher Daten habe seine Rechte verletzt und einen immateriellen Schaden verursacht.

Urteil des BAG:
Das BAG entschied, dass der Kläger einen Anspruch auf Schadenersatz in Höhe von 200 € hat. Die Übertragung der über die Betriebsvereinbarung hinausgehenden Daten an die Konzernobergesellschaft war nicht erforderlich und verstieß daher gegen die DSGVO. Der immaterielle Schaden des Klägers ergab sich aus dem Kontrollverlust über seine personenbezogenen Daten, der durch die unzulässige Übertragung verursacht wurde.

Fazit:
Arbeitgeber sollten bei der Verarbeitung personenbezogener Daten und insbesondere bei der Einführung neuer Softwarelösungen strikt auf die Einhaltung der DSGVO achten. Überschreitungen der vereinbarten Datenverarbeitungsgrenzen können zu Schadenersatzansprüchen führen, auch wenn der Arbeitnehmer keine direkten finanziellen Nachteile erlitten hat. Das Urteil stärkt die Rechte von Beschäftigten und verdeutlicht die Bedeutung des Datenschutzes, insbesondere im Hinblick auf sensible personenbezogene Daten.

Quelle 1