Angestellte können nach der DS-GVO unter Umständen Schadensersatz verlangen, wenn Arbeitgeber und Arbeitgeberinnen ihre personenbezogenen Daten mit einem Personalverwaltungssystem wie Workday in eine Cloud auf einem amerikanischen Server hochladen, sagt das BAG in seiner Entscheidung vom Donnerstag. Das Gericht sah im hier entschiedenen Fall einen immateriellen Schaden durch den Kontrollverlust über personenbezogene Daten und sprach einem klagenden Arbeitnehmer 200 Euro Schadensersatz zuzüglich Zinsen zu (Urteil vom 08.05.2025 - 8 AZR 209/21).

Ist der Testbetrieb Gegenstand einer Betriebsvereinbarung, muss diese nach der Erfurter Entscheidung nicht nur alle Grundsätze der DS-GVO beachten. Arbeitgeber und Arbeitgeberinnen sind zudem an den Inhalt der Betriebsvereinbarung gebunden. Ist dort abschließend vereinbart, welche Daten zu Testzwecken verarbeitet werden dürfen, müssen sie sich daran halten.

Mehr Daten verwendet als vereinbart

Die beklagte Arbeitgeberin hatte im Jahr 2017 entschieden, für die Personalverwaltung statt SAP zukünftig das cloudbasierte Programm Workday in ihrem Unternehmen einzusetzen. Die Server von Workday stehen in den USA. Bei der Einführung solcher Programme ist es in der Regel erforderlich, dass vor dem tatsächlichen Einsatz mehrphasige System-Tests durchgeführt werden, um das IT-System auf Herz und Nieren zu prüfen, etwaige Fehlerquellen zu identifizieren und idealerweise zu eliminieren. Im Rahmen eines solchen Testbetriebs ist es oftmals erforderlich, nicht nur sogenannte Dummy-Daten zu nutzen. Um das zukünftige System unter Live-Bedingungen zu testen, empfiehlt es sich in der Regel, ausgewählte Echt-Daten der Arbeitnehmer und Arbeitnehmerinnen zu verwenden, da so insbesondere Übertragungsfehler von SAP zu Workday vermieden werden können.

Da die Einführung von IT-Systemen der Zustimmung des Betriebsrats bedarf, schloss das Unternehmen mit diesem eine sogenannte "Duldungs-Betriebsvereinbarung über die Einführung von Workday", mit der eine vorläufige Inbetriebnahme von Workday zu Testzwecken genehmigt wurde. Man vereinbarte zudem, dass bestimmte personenbezogene Echtdaten der Arbeitnehmerinnen und Arbeitnehmer (z.B. Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, Arbeitsort, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse) an die in den USA sitzende Konzernobergesellschaft zum Test von Workday übermittelt werden durften.

Im vorliegenden Fall beließ es die Beklagte aber nicht dabei, sondern übermittelte noch weitergehende Daten der Arbeitnehmerinnen und Arbeitnehmer wie z.B. Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID an die Konzernobergesellschaft.

BAG stellt klar: Kontrollverlust über Daten reicht aus

Der klagende Arbeitnehmer, seines Zeichens Vorsitzender des Betriebsrats, nahm dies zum Anlass, vom Unternehmen immateriellen Schadensersatz in Höhe von 3.000 Euro nach der DS-GVO zu verlangen. Er war der Auffassung, es sei datenschutzrechtlich nicht befugt gewesen, ihn betreffende personenbezogene Daten, die nicht in der Betriebsvereinbarung geregelt seien, im Rahmen des Testbetriebs zu verarbeiten.

Die Vorinstanzen hatten die Klage u.a. mit der Begründung abgewiesen, dass bloße Befürchtungen, US-Behörden und Konzerngesellschaften könnten unbefugt auf Daten des Klägers zugreifen, keinen ersatzfähigen Schaden darstellten. Dem widersprach das BAG nunmehr und hob die Entscheidungen teilweise auf. Es stellte klar, dass der Schaden des Arbeitnehmers bereits in dem Kontrollverlust zu sehen sei, der durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursacht worden sei. Da die Übertragung der ungenehmigten Daten zudem nicht erforderlich gewesen sei, liege darin ein für den Schaden kausaler Verstoß gegen die DS-GVO. Allein dies rechtfertige den Anspruch auf Schadensersatz.

DS-GVO-Verstoß bringt keine großen Summen

Mit ihrem Urteil über 200 Euro blieben die Erfurter Richterinnen und Richter allerdings deutlich hinter dem Antrag des Klägers zurück, der insgesamt 3.000 Euro gefordert hatte. Dies entspricht der jüngeren Rechtsprechung des EuGH, der zuletzt entschieden hatte, dass der Schadensersatzanspruch nach Art. 82 DS-GVO keine abschreckende oder Straffunktion erfüllt (Az. C-687/21).

Nicht zu entscheiden hatte das Gericht, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DS-GVO erfüllt waren, obwohl es zuvor extra das Revisionsverfahren ausgesetzt hatte, um den EuGH anzurufen. Dieser sollte zunächst klären, ob eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift (hier: § 26 Abs. 4 BDSG) dahin auszulegen ist, dass beim Abschluss von Betriebsvereinbarungen stets auch die sonstigen Vorgaben der DS-GVO einzuhalten sind. Dies hat der EuGH bejaht (Az. C-65/23) und auf die weitere Frage des BAG klargestellt, dass die Gerichte Betriebsvereinbarungen daraufhin auch voll überprüfen können. Der Kläger ersparte dem BAG nunmehr diese Prüfung, indem er in mündlichen Verhandlung klarstellte, er berufe sich nicht mehr darauf, dass auch die Übertragung der von der Betriebsvereinbarung erfassten Daten einen Verstoß gegen die DS-GVO darstelle.

Dr. Jannis Kamann ist Fachanwalt für Arbeitsrecht und Partner der auf Arbeitsrecht spezialisierten Kanzlei michels.pmks in Köln.