Mit Urteil vom 08.05.2025 (Az. 8 AZR 209/21) hat das Bundesarbeitsgericht (BAG) einem Arbeitnehmer und zugleich Betriebsratsvorsitzenden einen immateriellen Schadensersatz in Höhe von 200 Euro wegen eines Datenschutzverstoßes zugesprochen. Gemäß der veröffentlichen Pressemitteilung war Anlass die unzulässige konzerninterne Weitergabe personenbezogener Daten der Beschäftigten im Rahmen eines Testbetriebs der cloudbasierten HR-Software „Workday“. Als Schaden ist der Kontrollverlust über eigene personenbezogene Daten vom BAG anerkannt worden. Das BAG positioniert sich damit im Einklang mit der Rechtsprechung des Bundesgerichtshofs (BGH). Der BGH hatte in dem vielbeachteten „Scraping“-Urteil gegen Facebook die Hürden für den immateriellen Schadensersatz gesenkt, indem er den Schaden allein wegen des Verlusts der Kontrolle über die eigenen Daten bejahte.
Zugrundeliegender Sachverhalt
Im Zentrum des Verfahrens stand die konzernweite Einführung von „Workday“ als einheitliches Personal-Informationsmanagementsystem. Vor der offiziellen Einführung der Software sollten Echtdaten der Mitarbeiter und Mitarbeiterinnen zu Testzwecken verwendet werden. Hierzu übermittelte der Arbeitgeber in Deutschland personenbezogene Daten der Beschäftigten an die Konzernobergesellschaft in den USA. Der Arbeitgeber schloss zur vorläufigen Inbetriebnahme von „Workday“ zu Testzwecken eine „Duldungs-Betriebsvereinbarung“ mit dem Betriebsrat. Die Betriebsvereinbarung erlaubte den Datentransfer bestimmter Basisdaten (Name, Eintrittsdatum, Arbeitsort). Tatsächlich übermittelte der Arbeitgeber zusätzlich jedoch weitere personenbezogene – teils besonders sensible – Informationen an die Konzernobergesellschaft in den USA. Betroffen waren Gehaltsinformationen, Sozialversicherungsnummer, Steuer-ID, private Wohnanschrift, Geburtsdatum, Alter und Familienstand.
Der Kläger und zugleich Betriebsratsvorsitzende erhob Klage auf Zahlung immateriellen Schadensersatzes in Höhe von 3.000 Euro. Zur Begründung führte er an, die Verarbeitung sei insgesamt nicht erforderlich gewesen – weder für das Arbeitsverhältnis, da die Daten zuvor in SAP gepflegt worden waren, noch für den Testbetrieb von Workday, für den anonymisierte oder fiktive Daten ausgereicht hätten. Zudem sei der erlaubte Umfang des Datentransfers nach der Betriebsvereinbarung überschritten worden, da deutlich mehr personenbezogene Daten in die USA an die Konzernobergesellschaft übermittelt worden waren. Durch den unzulässigen Datentransfer habe er einen Kontrollverlust über seine Daten erlitten.
Vorinstanzen wiesen ab – BAG erkennt Schadensersatzanspruch an
Die Vorinstanzen verneinten einen Schadensersatzanspruch. Das BAG hingegen sprach dem Kläger einen Schadensersatz in Höhe von 200 Euro zu. Es bestätigte die Verletzung personenbezogener Daten durch den Datentransfer an die Konzernobergesellschaft in den USA. Die Weitergabe der Daten ging über den erlaubten Umfang der Betriebsvereinbarung hinaus und war damit nicht erforderlich im Sinne von Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (DSGVO). Das BAG begründete sodann den immateriellen Schaden mit dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
Die Höhe von 200 Euro bewertet das BAG als verhältnismäßig und angemessen. Die ursprünglich eingeklagten 3.000 Euro erachteten die Richter in diesem Umfang als unbegründet.
Keine Prüfung der Betriebsvereinbarung erforderlich
Das BAG musste sich letztlich nicht zur datenschutzrechtlichen Rechtmäßigkeit der Betriebsvereinbarung selbst äußern. Zwar hatte es dem EuGH im Vorfeld zwei Fragen zur datenschutzrechtlichen Zulässigkeit von Kollektivvereinbarungen gemäß Art. 88 Abs. 1 und 2 DSGVO vorgelegt (Rechtssache C-65/23 – K GmbH). In der mündlichen Verhandlung verzichtete der Kläger jedoch ausdrücklich auf die weitere Geltendmachung der Unrechtmäßigkeit auch der von der Betriebsvereinbarung gedeckten Datenverarbeitung. Damit war dieser Aspekt für die Entscheidung leider nicht mehr relevant.
EuGH: Betriebsvereinbarungen müssen DSGVO-Standards einhalten
Dementsprechend bleibt für die Praxis die EuGH-Entscheidung vom 19.12.2024 (Az. C-65/23 – K GmbH) in Bezug auf die Bewertung von Betriebsvereinbarung und deren datenschutzrechtlicher Vereinbarkeit hochrelevant. Kernaussagen sind, dass Betriebsvereinbarungen als Rechtsgrundlage die allgemeinen Grundsätze der DSGVO spezifizieren, aber nicht ändern oder diesen widersprechen können. Insbesondere müsse nach dem EuGH das hohe Schutzniveau für Freiheiten und Grundrechte der Beschäftigten gewährleistet werden. Bei der Bestimmung der „Erforderlichkeit“ einer Datenverarbeitung durch eine Kollektivvereinbarung besteht eine umfassende gerichtliche Kontrolle nach den Grundsätzen der DSGVO. Das Schutzniveau der DSGVO kann trotz der Sachnähe der Betriebsparteien nicht abgesenkt werden.
Kontrollverlust als Schaden – Vergleich mit der BGH-Entscheidung zum „Scraping“
Obwohl 200 Euro an sich als nicht viel erscheinen, liegt der vom BAG zugrundegelegte Schadensersatz doppelt so hoch wie derjenige, den der BGH gegen Facebook als angemessen angesehen hat. Der BGH hatte deutlich gemacht, dass der Schadensersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne, und für den konkreten Fall „nur“ 100 Euro genannt.
In dem Fall des Scrapings ging es um einen umfangreichen Datendiebstahl bei Facebook mit anschließender Veröffentlichung der abgegriffenen Daten im Internet. Der Kläger trug vor, dass er seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail erhalten habe. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Der BGH urteilte, dass das Vorbringen zum Kontrollverlust durch den Scraping-Vorfall sowie der sich hieraus entwickelnden besonderen Befürchtungen und Bemühungen ausreichend waren.
Da zu dem vom BAG entschiedenen Fall bislang nur eine Pressemitteilung vorliegt, bleibt abzuwarten, was der Kläger konkret zum Kontrollverlust vorgetragen und wie das BAG diesen Vortrag gewertet hat.
Praxisfolgen
Durch die Bejahung eines Schadens wegen bloßen Kontrollverlusts entfaltet die Entscheidung erhebliche praktische Wirkung im arbeitsrechtlichen Kontext. Abzuwarten bleibt allerdings die ausführliche Begründung des Bundesarbeitsgerichts.
Aufgrund der geringen Hürde an den Nachweis eines Schadens ist zu erwarten, dass in Zukunft eine größere Zahl von Mitarbeitern Datenschutzverstöße nutzt, um Schadensersatzforderungen geltend zu machen. Dies erlangt insbesondere bei Trennungsgesprächen und Umstrukturierungen besondere Relevanz. Häufig werden Datenschutzverstöße als strategisches Druckmittel im Rahmen von Kündigungsstreitigkeiten genutzt. Mit der BAG-Entscheidung erhalten Beschäftigte die Möglichkeit, immaterielle Schadensersatzansprüche gegen den Arbeitgeber mit relativ geringem Begründungsaufwand geltend zu machen. Voraussetzung ist, dass es eine Verletzung personenbezogener Daten gegeben hat oder eine solche zumindest nicht ausgeschlossen ist. Dann aber reicht der Kontrollverlust über die eigenen Daten als Schaden.
Eine genaue Prüfung der Erforderlichkeit der Datenverarbeitung ist einer der Kernpunkte bei der Einführung neuer IT-Systeme. Der Fall zeigt, dass die Vorgaben der DSGVO nicht erst bei der finalen Implementierung, sondern bereits in der Erprobungsphase von IT-Systemen gelten. Im Testbetrieb ist zu prüfen, ob anonymisierte oder fingierte Daten bereits ausreichend sind.
Dies gilt unabhängig davon, ob ein Betriebsrat besteht oder nicht. Arbeitgeber wie auch Betriebsräte sollten bei der Planung und Verhandlung von Betriebsvereinbarungen nicht nur Mitbestimmungsfragen, sondern auch datenschutzrechtliche Gesichtspunkte berücksichtigen sowie die rechtlichen Leitplanken des EuGH frühzeitig in ihre Planung mit einbeziehen. Halten Betriebsvereinbarungen einer gerichtlichen Prüfung nicht stand und begründen eine Verletzung personenbezogener Daten, steht der Weg offen für immaterielle Schadensersatzansprüche einer Vielzahl von potentiell Betroffenen.
