Pressemitteilung von Anwaltsbüro Windirsch, Britschgi & Wilden

Schadensersatz bei Datenschutzverstößen - "Erforderlichkeit" nach DSGVO in Betriebsvereinbarungen

---

---

1. Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um eine cloudbasierte Software für Personalverwaltung (hier: "Workday") zu testen.
2. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten verursachten Kontrollverlust.
3. Kollektivvereinbarungen wie Betriebsvereinbarungen, die auf § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) beruhen und die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ermöglichen, müssen neben den Anforderungen aus Art. 88 Abs. 2 DSGVO auch diejenigen aus Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO erfüllen.
4. Die "Erforderlichkeit" i.S.v. Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO der Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage von Betriebsvereinbarungen unterliegt einem umfassenden gerichtlichen Kontrollmaßstab, der nicht durch die Betriebsparteien eingeschränkt werden kann.
(BAG, Urteil vom 8. Mai 2025 - 8 AZR 209/21 - & EuGH, Urteil vom 19. Dezember 2024 - C-65/23 -; Leitsätze des Verfassers)

Die Arbeitgeberin verarbeitete personenbezogene Daten ihrer Beschäftigten u.a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Arbeitgeberin übertrug personenbezogene Daten der Beschäftigten aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Arbeitgeberin erlaubt sein, u.a. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Arbeitgeberin übermittelte aber darüber hinaus weitere Daten der Beschäftigten wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Arbeitnehmer hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadensersatz wegen einer Verletzung der ab dem 25.05.2018 geltenden DSGVO i.H.v. 3.000,00 EUR zu.
In 1. und 2. Instanz wurde die diesbezügliche Klage des Arbeitnehmers abgewiesen, woraufhin dieser Revision zum BAG einlegte. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) -) hat das BAG das Revisionsverfahren ausgesetzt und den (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 -) beantwortet.
Die Revision des Arbeitnehmers hatte vor dem BAG teilweise Erfolg. Der Arbeitnehmer hat gegen die Arbeitgeberin einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO i.H.v. 200,00 EUR. Soweit die Arbeitgeberin andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Kon-zernobergesellschaft übertragen hat, war dies nicht erforderlich i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. f) DSGVO. Der immaterielle Schaden des Arbeitnehmers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
Der Arbeitnehmer hat sich in der mündlichen Verhandlung vor dem BAG nicht weiter darauf berufen, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Das BAG hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
Der EuGH hatte in seinem Urteil im Vorabentscheidungsverfahren zuvor jedoch klargestellt, dass Art. 88 Abs. 1 und 2 DSGVO so auszulegen sind, dass auf ihrer Grundlage erlassene nationale Rechtsvorschriften und - wiederum auf deren Grundlage erlassene - Kollektivvereinbarungen (u.a. Betriebsvereinbarungen), die die Verarbeitung personenbezogener Daten zu Zwecken von Beschäftigungsverhältnissen regeln, die Anforderungen aus Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO erfüllen müssen. Diese sehen u.a. die "Erforderlichkeit" der Datenverarbeitung vor. Der EuGH hat weiter klargestellt, dass sich die Parteien einer Betriebsvereinbarung zu Datenverarbeitungszwecken trotz ihres Gestal-tungsspielraums im Rahmen der Vorgaben zur "Erforderlichkeit" i.S.v. Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO bewegen müssen. Die Gerichte sind an einer umfassend Kontrolle der "Erforderlichkeit" im Rahmen der Kollektivvereinbarung nicht gehindert.

Fazit:
Das BAG bestätigt mit der vorliegenden Entscheidung die nationale und europäische Rechtsprechung der letzten Jahre zu Darlegung und Bemessung immaterieller Schäden bedingt durch DSGVO-Verstöße nach Art. 82 Abs. 1 DSGVO. Durch diese ist u.a. bereits geklärt, dass die Darlegung eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO grundsätzliche keinen bestimmten Grad an Erheblichkeit voraussetzt und der Schadensersatz eine Ausgleichs-, aber keine Abschreckungs- oder Straffunktion erfüllt (s. BAG, Beschl. v. 25.04.2024 - 8 AZR 209/21 (B) - mit Nachweisen aus der EuGH-Rechtsprechung).
Für die betriebliche Praxis von weit größerer Bedeutung als die Entscheidung des BAG sind die Klarstellungen des EuGH im Vorabentscheidungsverfahren. Denn individualrechtlich bleibt der Abschreckungseffekt für Arbeitgeber:innen bei den geringen, eher symbolischen Schadenersatzsummen, die die Gerichte trotz erheblicher und lang andauernder DSGVO-Verstöße zusprechen, marginal. Allerdings hat die Vorlage des BAG an den EuGH im vorliegenden Verfahren Klarheit über das Datenschutzniveau und die Regelungsmacht der Betriebsparteien über diese gebracht: Betriebsvereinbarungen müssen insbesondere die "Erforderlichkeit" der von ihnen vorgesehenen Datenverarbeitung i.S.d. DSGVO-Normen berücksichtigen. Eine Absenkung dieses Schutzniveaus durch Vereinbarung ist unzulässig. Die Gerichte können dies umfassend kontrollieren. Hierauf sollten Betriebsräte unbedingt eingestellt sein und bei Verhandlungen zu EDV-Betriebsvereinbarungen ein besonderes Augenmerk auf die Zweckbestimmung der Datenverarbeitung im Sinne von Art. 5 Abs. 1 Buchst. b) DSGVO legen.

Jan Potthoff, Rechtsanwalt
Anwaltsbüro* Windirsch, Britschgi & Wilden

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt