Das Bundesarbeitsgericht (Urt. v. 08.05.2025, Az. 8 AZR 209/21).hat klargestellt: Arbeitgeber machen sich schadensersatzpflichtig, wenn sie personenbezogene Daten in einem Umfang verarbeiten, der über die Grenzen einer Betriebsvereinbarung hinausgeht – selbst zu Testzwecken.
Im konkreten Fall hatte ein Arbeitgeber personenbezogene Daten eines Mitarbeiters an die Konzernmutter übermittelt, um die cloudbasierte HR-Software „Workday“ vor deren konzernweiter Einführung zu testen. Eine Betriebsvereinbarung regelte diese Testphase und erlaubte die Weitergabe bestimmter beruflicher Daten wie Name, Arbeitsort und geschäftliche Kontaktdaten.
Allerdings übertrug das Unternehmen auch sensible Informationen – darunter Gehaltsdaten, private Anschrift, Geburtsdatum und Steuer-ID. Diese waren nicht von der Betriebsvereinbarung gedeckt. Der betroffene Mitarbeiter klagte auf immateriellen Schadensersatz nach Art. 82 DSGVO in Höhe von 3.000 €.
Nachdem das BAG dem EuGH vorab Fragen zur Auslegung der DSGVO vorgelegt hatte (EuGH, Urt. v. 19.12.2024 – C-65/23), erkannte es dem Kläger einen Anspruch in Höhe von 200 € zu. Die Weitergabe nicht erforderlicher Daten verstieß gegen Art. 6 Abs. 1 lit. f DSGVO. Der Schaden lag im Kontrollverlust über die eigenen Daten – ein immaterieller Schaden, der ersatzfähig ist.
Quellen:
Das Beitragsbild sowie der Beitragstext wurden mithilfe von KI-Systemen generiert, wobei die Kontrolle über das Ergebnis bei natürlichen Personen lag. Sämtliche Eingaben in KI-Systemen verfolgten Zwecke der wissenschaftlichen Forschung.