Datenschutz und immaterieller Schadensersatz

Die Verarbeitung personenbezogener Daten zu Testzwecken kann gerechtfertigt sein. Jedoch führt überschüssige Datenübermittlung zu immateriellem Schadensersatz (Bundesarbeitsgericht (BAG), Urteil vom 8. Mai 2025, Aktenzeichen 8 AZR 209/21).

Der Fall

Der Kläger war bei der Beklagten als Programmierer beschäftigt. Die Beklagte plante 2017 die Einführung der cloudbasierten Personalverwaltungssoftware Workday. Es wurden personenbezogene Daten des Klägers auf eine Seite der Konzernobergesellschaft in den USA übertragen, um sie in Workday zu testen. In einer „Duldungs-Betriebsvereinbarung“ wurde vereinbart, dass während der Testphase nur bestimmte Daten (Personalnummer, Name, Eintrittsdatum, Arbeitsort, geschäftliche Telefonnummer und E-Mail-Adresse) verwendet werden dürfen. Der Kläger behauptete, dass die Beklagte über die Betriebsvereinbarung hinaus personenbezogene Daten, wie Gehalt, Anschrift, Staatsangehörigkeit, Familienstand, Sozialversicherungsnummer, Steuer-ID verarbeitet habe. Da er mit dieser umfassenden Übertragung nicht einverstanden war, forderte der Kläger immateriellen Schadensersatz nach Artikel 82 Absatz 1 Datenschutz-Grundverordnung (DSGVO). 

Die Entscheidung

Das BAG stellte fest, dass die Beklagte gegen die DSGVO verstoßen hat. Sie verarbeitete personenbezogene Daten des Klägers, die nicht von der Duldungs-Betriebsvereinbarung erfasst waren. Diese Verarbeitung zu Testzwecken war weder zur Erfüllung eines Vertrags noch wegen berechtigter Interessen gerechtfertigt und wurde nicht durch weitere nationale Vorschriften gedeckt. Die Übertragung der Daten an die Konzernobergesellschaft führte zudem zu einem Kontrollverlust über die personenbezogenen Daten des Klägers. Das begründet einen immateriellen Schaden, auch wenn er geringfügig ist angesichts der Sensibilität der Daten, dem begrenzten Empfängerkreis sowie der Dauer des Kontrollverlustes. Laut Europäischem Gerichtshof müssen Regelungen zur Datenverarbeitung in Betriebsvereinbarungen stets den Vorgaben der DSGVO entsprechen. Insbesondere sind die Grundsätze der Zweckbindung und Speicherbegrenzung einzuhalten, sodass personenbezogene Daten nur für den ursprünglich festgelegten Zweck und zeitlich begrenzt verarbeitet werden dürfen. Betriebsvereinbarungen dürfen nur solche Datenverarbeitungen regeln, die nach den datenschutzrechtlichen Vorgaben gesetzlich zulässig sind. 

Das Fazit

Personenbezogene Daten von Beschäftigten dürfen nur im Rahmen klar definierter Betriebsvereinbarungen und DSGVO-konform verarbeitet werden. Bei darüber hinausgehender Nutzung droht Schadensersatz infolge Kontrollverlusts.