BAG: Schadenersatz bei unrechtmäßiger Datenverarbeitung

(Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 – 8 AZR 209/21)

Ein Schaden im Sinne eines Kontrollverlustes ist anzunehmen, wenn Daten unrechtmäßig an eine andere Gruppengesellschaft überlassen werden.

DSGVO-Prinzipien – insbesondere Art. 6 DSGVO – sind immer einzuhalten

Das Bundesarbeitsgericht sprach einem Arbeitnehmer immateriellen Schadensatz in Höhe von EUR 200,00 zu, nach dem die Arbeitgeberin über die vereinbarten Grenzen einer abgeschlossenen Betriebsvereinbarung hinaus, weitere personenbezogene Daten in die Personalverwaltungssoftware „Workday“ eingepflegt hatte. Diese Datenverarbeitung erfolgte unrechtmäßig. Die Grundsätze des Art. 6 DSGVO waren nicht eingehalten worden. Nach Ansicht des Senats resultiere aus der unrechtmäßigen Überlassung von personenbezogenen Daten innerhalb des Konzerns ein Kontrollverlust, der wiederum einen immateriellen Schaden darstellt. 

Die Betriebsparteien hatten im Zusammenhang mit der Einführung der Personalverwaltungssoftware „Workday“ in einer Betriebsvereinbarung festgelegt, welche Daten zu Testzwecken in „Workday“ eingepflegt werden dürfen. Da die vereinbarten Grenzen überschritten wurden, konnte sich die Arbeitgeberin nicht auf die Betriebsvereinbarung als Rechtsgrundlage für die erfolgte Datenverarbeitung berufen. Da die zusätzlich in „Workday“ eingepflegten Daten bereits zu Abrechnungszwecken in SAP gespeichert worden sind, war es der Arbeitgeberin auch verwehrt, sich zur Legitimierung der erfolgten Datenverarbeitung auf die Erforderlichkeit gemäß Art. 6 Abs. 1 lit. f DSGVO zu berufen.

Der Kläger forderte vor diesem Hintergrund zuletzt Schadensersatz in Höhe von EUR 3.000 Euro. Während die Vorinstanzen den Schadensersatzanspruch verneinten und die Klage abwiesen, obsiegte der Kläger in der Revision teilweise und das Bundesarbeitsgericht sprach einen Schadensersatz in Höhe von EUR 200,00 zu.

Im Verfahrensverlauf hatte das Bundesarbeitsgericht mit Beschluss vom 22. September 2022 dem EuGH unter anderem auch diverse Fragen zur datenschutzrelevanten Ausgestaltung von Betriebsvereinbarungen gestellt, da die Datenübermittlung an „Workday“ zumindest teilweise auf Grundlage einer Betriebsvereinbarung erfolgte. Die klarstellende Entscheidung des EuGH vom 19. Dezember 2024 (Az. C – 65/23) war vom Bundesarbeitsgericht vorliegend jedoch nicht mehr zu berücksichtigen. Da der Kläger in der mündlichen Verhandlung vor dem Senat erklärte, dass er sich für die Begründung seines Schadensersatzanspruchs nach Art. 82 DSGVO nur noch auf die über die bestehende Betriebsvereinbarung hinausgehende Datenverarbeitung berufe, war eine genauere Prüfung, ob die Betriebsvereinbarung den Anforderungen der DSGVO entsprach, vom Bundesarbeitsgericht nicht mehr vorzunehmen.

Ausblick auf die Rechtsprechungsentwicklung

Die Entscheidung des Bundesarbeitsgerichts liegt bislang nur als Pressemitteilung vor. Danach ist nicht zu erwarten, dass die Urteilsbegründung eine grundlegende Aussage zu den datenschutzrechtlichen Anforderungen bei der Ausgestaltung von Kollektivvereinbarung enthalten wird. Allerdings bleibt dies abzuwarten. Eventuell lässt sich das Bundesarbeitsgericht mit Blick auf die bisherige Rechtsprechungsentwicklung die Chance nicht nehmen, sich dennoch – in der gebotenen Kürze – grundlegend zu den datenschutzrechtlichen Anforderungen bei der Gestaltung von Betriebsvereinbarungen zu äußern. Schließlich würde die Praxis eine derartige Klarstellung sicher begrüßen.

Spannend wird auch sein, wie das Bundesarbeitsgericht im vorliegenden Fall den Kontrollverlust als Schadensposition bewerten und die Höhe des ausgeurteilten Betrages begründen wird. 

Zuletzt hatte das Bundesarbeitsgericht (vgl. Urteil vom 20. Februar 2025 – 8 AZR 61/24) festgestellt, dass ein Kontrollverlust regelmäßig nur in einer Situation begründet sein könne, in der „die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt. […] Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. […] Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs.“ Allerdings erging diese Klarstellung zuletzt nur zu einem Schadensersatzanspruch, der mit der Verletzung des Auskunftsanspruchs gemäß Art. 15 DSGVO begründet worden ist. Auch wenn die DSGVO von einer unverzüglichen Erfüllung der Auskunftsforderungen ausgeht, kann in der ungerechtfertigten Verzögerung nach Ansicht des Bundesarbeitsgerichts nicht ohne Weiteres ein Indiz dafür gesehen werden, dass ein Datenmissbrauch zu befürchten sei.

Im Gegensatz dazu hatte der Bundesgerichtshof (vgl. Urteil vom 11. Februar 2025 - VI ZR 365/22) zuletzt scheinbar die Annahme eines Kontrollverlustes großzügiger ausgelegt. Seiner Ansicht nach sei das Vorliegen eines bloßen, vorübergehenden Kontrollverlustes als Schadensposition ausreichend, der bei einer unrechtmäßigen Datenverarbeitung regelmäßig anzunehmen sei. Eine darüberhinausgehende „tatsächliche Persönlichkeitsrechtsverletzung“ oder gar eine Beeinträchtigung, die „über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt“, sei nicht erforderlich, um den Schadensersatzanspruch gemäß Art. 82 DSGVO zu begründen.

Da aber auch der EuGH sehr deutlich klarstellt hat, dass für die Annahme eines Schadensersatzanspruch gemäß Art. 82 DSGVO neben der Darstellung des Verordnungsverstoßes auch gesondert ein darauf beruhender kausaler Schaden dargelegt und bewiesen werden müsse, wird die Rechtsprechung zukünftig sehr genau und differenziert ausführen müssen, welche konkreten Anforderungen an die Annahme eines Kontrollverlustes als Schadensposition zu stellen sind. Die Grenzen und die Reichweite des Begriffes „Kontrollverlust“ müssen klar definiert werden. Andernfalls droht eine uferlose Ausweitung des Schadensersatzrechtes. Der Verordnungsgeber wollte in der Annahme eines Kontrollverlustes wohl keinen Auffangtatbestand begründen. Wird hingegen unter Kontrollverlust jede Form der verordnungswidrigen Datenverarbeitung subsumiert, droht eine systemwidrige Ausweiterung des Sanktionsregimes der Datenschutzgrundverordnung. Gerade wenn in der Feststellung eines Verordnungsverstoßes per se bereits die begründete Annahme für einen Kontrollverlust zu sehen ist, drohen die Grenzen der einzelnen Tatbestandsmerkmale des Art. 82 DSGVO – Verordnungsverstoß, Schadensentstehung und Kausalität – zu verschwimmen. Dies ist jedoch nicht gewollt und der EuGH hat sich insoweit bereits eindeutig positioniert. Daran ist auch die nationale Rechtsprechung gebunden.