Erneut hatte das BAG über einen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO zu entscheiden (Urteil vom 8. Mai 2025 – 8 AZR 209/21; dazu Pressemitteilung). Ein Beschäftigter sah in der Übertragung einiger seiner personenbezogener Daten in die Workday Software einen Datenschutzverstoß und verklagte seine Arbeitgeberin auf Schadensersatz.
Die Beklagte verarbeitete personenbezogene Beschäftigtendaten, insbesondere zu Abrechnungszwecken, ursprünglich mit der Software SAP. Der Konzern, zu dem die Beklagte gehörte, wollte 2017 aber konzernweit die Workday Software einführen. Zu Testzwecken sollte die Software vorläufig mit einigen Beschäftigtendaten befüllt werden.
Die Beklagte und der zuständige Betriebsrat schlossen als Grundlage für die Datenverarbeitung eine Betriebsvereinbarung, nach der einige Beschäftigtendaten zu Testzwecken in Workday übertragen werden durften. Der Kläger rügte, dass die Beklagte im Folgenden jedoch auch einige in der Betriebsvereinbarung nicht genannte sensible Daten übertrug, u.a. seine privaten Kontaktdaten, seine Steuernummer und seine Staatsangehörigkeit.
Ursprünglich sah der Kläger die Datenübertragung an Workday sogar insgesamt als unzulässig an – nicht nur die über die Betriebsvereinbarung hinausgehende Übertragung. Er führte an, dass zur Erprobung der Software keine echten Beschäftigtendaten hätten genutzt werden müssen, da auch fiktive oder jedenfalls anonymisierte Daten hätten verwendet werden können.
Er verlangte von der Beklagten Ersatz eines ihm entstandenen immateriellen Schadens auf Grundlage von Art. 82 Abs. 1 DSGVO.
Die Vorinstanzen hatten die Klage abgewiesen. Das BAG setzte das Revisionsverfahren 2022 zunächst aus legte dem EuGH einige Rechtsfragen zur Vorabentscheidung vor. Konkret ging es darum, ob Betriebsvereinbarungen nur den Anforderungen aus Art. 88 DSGVO genügen müssen oder ob sie auch weiteren Normen der DSGVO, insbesondere Art. 5, 6 und 9, entsprechen müssen, damit sie als Grundlage für Datenverarbeitung dienen können. Zudem stellte das BAG die Frage, ob die Gerichte aufgrund eines Spielraums der Betriebsparteien nur eine eingeschränkte Kontrolle von Betriebsvereinbarungen vornehmen dürfen.
Der EuGH beantwortete diese Fragen mit Urteil vom 19. Dezember 2024 (Az. C-65/23). Die Erkenntnisse aus der Antwort des EuGH und die Konsequenzen für Betriebsvereinbarungen, die als Grundlage von Datenverarbeitungen dienen sollen, haben wir im Februar in diesem Beitrag zusammengefasst.
Das BAG gab der Klage daraufhin teilweise statt und sprach dem Kläger einen Schadensersatz in Höhe von EUR 200,00 zu.
Dabei hatte das BAG allerdings die Frage, ob die abgeschlossene Betriebsvereinbarung eine taugliche Grundlage für die Testbefüllung von Workday war, nicht mehr zu beurteilen. Der Kläger hatte in der mündlichen Verhandlung klargestellt, dass er sich nicht mehr darauf berufe, dass auch die von der Betriebsvereinbarung erfassten Daten unrechtmäßig verarbeitet worden seien. Am Ende ging es also allein um die Übertragung der über die Betriebsvereinbarung hinausgehenden Daten des Klägers.
Hinsichtlich dieser weitergehenden Datenverarbeitung entschied das BAG, dass die Übertragung nicht „erforderlich“ i.S.d. Art. 6 Abs. 1 lit. f DSGVO gewesen sei. Der immaterielle Schaden liege im Kontrollverlust des Klägers über seine personenbezogenen Daten.
Leider hatte das BAG in diesem Fall nicht die Gelegenheit, sich zu den durch den EuGH konkretisierten Anforderungen an Betriebsvereinbarungen, die als Grundlage für Datenverarbeitungen dienen, zu äußern. Dies hätte wertvolle Klarheit in Bezug auf die datenschutzrechtlichen Anforderungen an Datenverarbeitungen auf Grundlage von Betriebsvereinbarungen bringen können.