Ein scheinbar technischer Testlauf wird zur rechtlichen Brisanz: Das Bundesarbeitsgericht (BAG) hat einem Arbeitnehmer Schadenersatz in Höhe von 200 Euro zugesprochen – wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) durch seinen Arbeitgeber.
Was war passiert? Ein Unternehmen plante 2017 die konzernweite Einführung der cloudbasierten Personalsoftware „Workday“. Um das System zu testen, wurden Echtdaten von Mitarbeitern – darunter auch sensible Informationen wie Gehalt, Wohnanschrift, Familienstand, Sozialversicherungsnummer und Steuer-ID – an die Konzernobergesellschaft übermittelt. Eine Betriebsvereinbarung regelte zwar die Testphase, allerdings war der Umfang der erlaubten Datenübermittlung deutlich eingeschränkt: Lediglich arbeitsbezogene Kontaktdaten wie Name, Eintrittsdatum oder dienstliche E-Mail sollten genutzt werden.
Immaterieller Schadenersatz wegen Verletzung der Datenschutzrechte?
Ein betroffener Arbeitnehmer klagte – und verlangte 3.000 Euro Schadenersatz wegen immateriellen Schadens gemäß Art. 82 DSGVO. Seine Argumentation: Die Weitergabe überschritt den Rahmen der Vereinbarung und verletzte seine Datenschutzrechte. Die Vorinstanzen wiesen die Klage ab. Doch der Europäische Gerichtshof (EuGH) stellte im Dezember 2024 klar: Auch ein geringer Kontrollverlust über persönliche Daten kann einen ersatzfähigen immateriellen Schaden darstellen.
Das BAG folgte der Linie des EuGH und entschied: Die Weitergabe nicht vereinbarter Daten war nicht erforderlich im Sinne von Art. 6 Abs. 1 lit. f DSGVO – und damit rechtswidrig. Auch wenn der Schaden mit 200 Euro gering bemessen wurde, ist das Signal deutlich: Datenschutz ist ein ein einklagbares Recht.
BAG, Urteil vom 08.05.2025 – Az: 8 AZR 209/21
- Anmelden, um Kommentare verfassen zu können
