Lexikon
Rechtsprechung
Forum
BR-Magazin

ifb.de

Service

Merkliste

mein ifb

Liebe Nutzer,

für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.

Liebe Grüße,
Ihr ifb-Team

Schadenersatz bei Kontrollverlust über Daten

Nutzt ein Arbeitgeber personenbezogene oder gar sensible Daten über das in der Betriebsvereinbarung vereinbarte Maß hinaus, liegt ein Datenschutzverstoß vor. Der daraus resultierende Kontrollverlust über die persönlichen Daten kann einen Schadenersatzanspruch für den Betroffenen begründen.

Bundesarbeitsgericht, Urteil vom 08. Mai 2025, 8 AZR 209/21

ifb-Logo
Redaktion
Stand:  27.5.2025
Lesezeit:  01:15 min
Teilen: 

Das ist passiert

Der Arbeitgeber wollte das Personalverwaltungssystem „Workday“ vor seiner Einführung testen. Dafür benötigte er Echtdaten von Mitarbeitern. Daher schloss er mit dem Betriebsrat eine Betriebsvereinbarung, die es ihm erlaubte, bestimmte personenbezogene Mitarbeiterdaten der Software zur Verfügung zu stellen. Hierzu zählten der Namen, das Eintrittsdatum, der Arbeitsort und die geschäftlichen Kontakte. Im späteren Testbetrieb wurden jedoch wesentlich mehr Daten an die Software übermittelt, als in der Betriebsvereinbarung freigegeben waren. So stellte ein betroffener Arbeitnehmer fest, dass seine Gehaltsdaten, private Wohnanschrift und auch die Steuer-ID an die Muttergesellschaft des Konzerns gesendet wurden. Nachdem der Arbeitnehmer mit der Übermittlung seiner Daten nicht einverstanden war, forderte er gem. Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) Schadenersatz vom Arbeitgeber. 
 

Das entschied das Gericht

Das Bundesarbeitsgericht folgte der Auffassung des Klägers und sprach ihm Schadenersatz zu. Die Betriebsvereinbarung habe nur die Übermittlung klar bestimmter personenbezogener Daten an die Konzernmuttergesellschaft erlaubt, tatsächlich waren aber wesentlich mehr. Der größere Umfang sei auch nicht gem. Art. 6 Abs. 1 lit. F DSGVO für den angestrebten Zweck, den Test des Personalverwaltungssystems, erforderlich gewesen. Nach Ansicht des Gerichts sei es dadurch bei dem Arbeitnehmer zu einem Kontrollverlust über seine personenbezogenen Daten gekommen, worin ein immaterieller Schaden liege. Daher stehe dem Kläger ein Schadenersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu.

Hintergrund und Bedeutung für die Praxis

Das Bundesarbeitsgericht stellt klar, dass der in Betriebsvereinbarungen festgelegte Rahmen zur Verarbeitung von personenbezogenen Daten auch einzuhalten ist. Dabei müssen die Betriebsparteien zwar die Grundsätze der DSGVO berücksichtigen und dürfen den Schutz der DSGVO auch nicht unterwandern. Gleichzeitig können sie aber innerhalb dieses Rahmens wichtige Eckpfeiler zu Gestaltung von Datenverarbeitungen treffen. Dass diese dann (natürlich) vom Arbeitgeber zu respektieren sind und bei nicht Berücksichtigung ggf. Schadenersatzansprüche bei Betroffen auslösen können, ist damit nur konsequent. (sts)

Diese Artikel könnten Sie auch interessieren

BR-Büro Corona Digitaler Wandel
Durch Social Media zur Kündigung | © ra2 studio - Fotolia.com
Datenschutz
Digitaler Wandel | © AdobeStock | stockpics
Digitaler Wandel Arbeit 4.0 Betriebsrat 4.0

Seminarvorschlag