Datentransfer bedeutet Kontrollverlust
Das Bundesarbeitsgericht hat entschieden: Der Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden nach der DSGVO darstellen. Arbeitgeber haften bei rechtswidrigem Datentransfer in Drittländer.
BAG erkennt Schadensersatz bei Kontrollverlust über Daten an
Ein Mitarbeiter setzte sich erfolgreich dagegen zur Wehr, dass seine Arbeitgeberin personenbezogene Daten über einen Cloud-Dienst auf Server in den USA übermittelt hatte. Das Bundesarbeitsgericht (BAG) entschied, dass Arbeitnehmer unter bestimmten Voraussetzungen Anspruch auf immateriellen Schadensersatz nach der Datenschutz-Grundverordnung (DS-GVO) haben, wenn ihre personenbezogenen Daten im Rahmen eines Personalverwaltungssystems wie Workday in eine Cloud außerhalb der EU übertragen werden. Im entschiedenen Fall sah das Gericht einen immateriellen Schaden bereits im Kontrollverlust über die personenbezogenen Daten und sprach dem klagenden Arbeitnehmer 200 Euro Schadensersatz zuzüglich Zinsen zu.
Workday-Testbetrieb führte zu rechtswidrigem Datentransfer
Dem lag folgender Sachverhalt zugrunde: Die beklagte Arbeitgeberin hatte im Jahr 2017 beschlossen, das Personalverwaltungssystem SAP durch das cloudbasierte Programm Workday zu ersetzen. Die Server des Anbieters befinden sich in den USA. Zur Einführung des Systems wurde mit dem Betriebsrat eine sogenannte „Duldungs-Betriebsvereinbarung“ geschlossen, die eine vorläufige Inbetriebnahme zu Testzwecken erlaubte. Darin war auch geregelt, welche personenbezogenen Echt-Daten der Beschäftigten zu Testzwecken verwendet werden durften – unter anderem Name, Personalnummer, geschäftliche Kontaktdaten und Einsatzort.
Verstoß gegen DS-GVO: Datenweitergabe ohne Grundlage
Im Rahmen des Testbetriebs wurden jedoch darüber hinaus weitere sensible Daten wie Gehaltsinformationen, private Anschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID an die US-Konzernmutter übermittelt. Der klagende Mitarbeiter, zugleich Vorsitzender des Betriebsrats, sah hierin einen Verstoß gegen die DS-GVO, da die zusätzlichen Daten nicht von der Betriebsvereinbarung gedeckt gewesen seien. Er verlangte daraufhin immateriellen Schadensersatz in Höhe von 3.000 Euro.
Gericht betont immateriellen Schaden durch Kontrollverlust
Während die Vorinstanzen die Klage abwiesen, hob das BAG die Entscheidungen teilweise auf und gab dem Kläger in Höhe von 200 Euro recht. Das Gericht stellte klar, dass bereits der Verlust der Kontrolle über die eigenen Daten durch eine unzulässige Weitergabe einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen kann. Da die Übermittlung der nicht vereinbarten Daten nicht erforderlich gewesen sei, liege ein datenschutzrechtlicher Verstoß vor, der den Schadensersatzanspruch begründet.
Gleichzeitig betonte das BAG – in Übereinstimmung mit der jüngeren EuGH-Rechtsprechung –, dass der Anspruch nach Art. 82 DS-GVO keine abschreckende oder strafende Funktion habe. Die zugesprochene Entschädigung blieb daher deutlich unter dem vom Kläger geforderten Betrag.
Arbeitgeber müssen Cloud-Einsätze datenschutzkonform absichern
Ob die zugrunde liegende Betriebsvereinbarung den Anforderungen der DS-GVO genügte, war nicht mehr entscheidungserheblich. Zwar hatte der EuGH im Verfahren „C-65/23“ klargestellt, dass auch Betriebsvereinbarungen vollumfänglich an der DS-GVO zu messen sind und einer gerichtlichen Kontrolle unterliegen. Im vorliegenden Fall verzichtete der Kläger jedoch ausdrücklich auf eine entsprechende Argumentation, sodass das BAG dazu keine Feststellungen treffen musste.
Handlungsempfehlung: |
BAG, Urteil vom 08.05.2025 – 8 AZR 209/21