DER STREITFALL
Der beklagte Arbeitgeber verarbeitete personenbezogene Daten seiner Beschäftigten u. a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Der Arbeitgeber übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft zu Testzwecken.
Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, u. a. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Der Arbeitgeber übermittelte darüber hinaus weitere Daten wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID. Der Kläger verlangte Schadensersatz wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO).
DIE ENTSCHEIDUNG
Der Kläger kann vom Arbeitgeber Schadenersatz nach Art. 82 Abs. 1 DS-GVO verlangen. Soweit der Arbeitgeber andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten übertragen hat, war dies nicht erforderlich im Sinne der DS-GVO. Der Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
BAG, Urteil vom 08.05.2025, Az.: 8 AZR 209/21
DAS BEDEUTET FÜR SIE
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben. Das gilt zumindest dann, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.
