Schadensersatz nach Art. 82 DSGVO bei Kontrollverlust von Beschäftigtendaten

Schadensersatz nach Art. 82 DSGVO: BAG-Urteil mit Signalwirkung 2025

Facebook
LinkedIn
WhatsApp
X
Threads

Das BAG konkretisiert die Voraussetzungen für Schadensersatz nach Art. 82 DSGVO im Arbeitsverhältnis und stärkt damit die Rechte von Beschäftigten bei Datenschutzverstößen. Anlass war die unzulässige Weitergabe personenbezogener Daten an eine US-basierte Cloudlösung durch die Arbeitgeberin. Das Gericht stellt klar, dass bereits ein Kontrollverlust über personenbezogene Daten einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründen kann und sendet damit ein deutliches Signal an Unternehmen und Betriebsräte.

 

Der Sachverhalt: Datenübermittlung an US-Cloud

Die Arbeitgeberin führte einen Systemwechsel von SAP zum cloudbasierten HR-Programm „Workday“ durch, dessen Server in den USA stehen. Wie häufig in solchen Fällen wurden nicht nur Test-, sondern auch Echtdaten verwendet. Generell unterliegt die Einführung neuer IT-Systeme der Pflicht der Zustimmung des Betriebsrates, welche auch eingeholt wurde. Diese Zustimmung wurde zudem auch näher konkretisiert, sodass die zugelassenen Daten explizit aufgelistet wurden. Dazu zählten beispielsweise der Name und Vorname sowie Personalnummer, geschäftliche E-Mail-Adresse und Arbeitsort. Letztlich übermittelt wurden jedoch weitere Daten, für dessen Verwendung der Betriebsrat keine Zustimmung gegeben hatte. Unter anderem auch sehr sensible und persönliche Daten wie beispielsweise die private Adresse, Gehaltsinformationen, Familienstand und Steuernummer. Diese gingen weit über die von der Duldungs-Betriebsvereinbarung (DBV) gedeckten Daten hinaus. Der Kläger sah darin einen Kontrollverlust seiner Daten und forderte eine Schadensersatzzahlung von 3.000 €.

 

LAG 2021: Kein ersatzfähiger Schaden

Das Landesarbeitsgericht (LAG) Baden-Württemberg wies die Schadensersatzklage des Arbeitnehmers im Jahr 2021 mit der Begründung ab, dass der Anwendungsbereich der DSGVO im konkreten Fall nicht eröffnet sei. Nach Auffassung des Gerichts unterliegen nur Datenverarbeitungen, die ab dem 25. Mai 2018 erfolgen, den Regelungen der DSGVO. Da die Datenübermittlung an das cloudbasierte System Workday bereits vor diesem Stichtag erfolgt sei, sah das Gericht die Voraussetzungen für eine Anwendung der Verordnung nicht als gegeben an.

Zwar hielt das LAG fest, dass die Speicherung von Daten außerhalb der in der Duldungs-Betriebsvereinbarung (DBV) geregelten Zwecke unzulässig sei. Ein Verstoß allein genüge jedoch nicht für die Zuerkennung eines Schadensersatzes nach Art. 82 DSGVO. Der Kläger hatte lediglich eine abstrakte Missbrauchsgefahr durch den Zugriff von US-Behörden oder Konzernmitarbeitern angeführt. Diese bloße Möglichkeit eines Datenmissbrauchs reiche laut Gericht nicht aus. Ein tatsächlicher Schaden, etwa durch konkrete Weitergabe, Profilerstellung oder sonstige Beeinträchtigungen, sei nicht erkennbar gewesen.

Das LAG stellte darüber hinaus klar, dass ein bloßer Verstoß gegen datenschutzrechtliche Vorschriften nicht automatisch einen Anspruch auf Schadensersatz begründet. Auch die Tatsache, dass die betroffenen Daten sowohl im alten System (SAP) als auch im neuen System (Workday) gespeichert wurden, wurde nicht als schadenserhöhend gewertet. Die parallele Speicherung rechtmäßig erhobener Daten allein lasse keinen eigenständigen Schadensersatzanspruch entstehen.

 

BAG 2025: Kontrollverlust genügt für Schadensersatz nach Art. 82 DSGVO

Das BAG war dagegen anderer Ansicht. Der Senat sah den Schaden des Klägers, im Übrigen der Vorsitzende des Betriebsrats, bereits durch den Kontrollverlust gegeben. Schließlich sei die Übertragung der Daten auch nicht erforderlich gewesen. Allerdings wurden dem Kläger lediglich 200 € statt der geforderten 3.000 € zugesprochen. Damit folgt das BAG der Rechtsprechung des EuGHs, welcher erst kürzlich feststellte, dass Schadensansprüche nach Art. 82 DSGVO weder eine Straffunktion erfüllen noch übermäßig abschrecken sollen. Damit bestätigte das Gericht: Bereits der Kontrollverlust kann einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründen, auch wenn der Betrag mit 200 € deutlich unter der Klageforderung lag. Für mögliche Kläger heißt das wiederum, dass sich der langwierige Weg der Klage wohl weniger lohnt.

 

EuGH-Vorgaben zu Art. 88 DSGVO und Betriebsvereinbarungen

Zugleich setzte das BAG das Verfahren aus und legte dem EuGH Fragen zur Auslegung von Art. 88 DSGVO vor. Es ging um die Frage, ob Betriebsvereinbarungen als Rechtsgrundlage genügen, wenn sie lediglich die Anforderungen von Art. 88 DSGVO erfüllen – oder ob sämtliche DSGVO-Vorgaben beachtet werden müssen.

Der EuGH stellte klar:

  • Betriebsvereinbarungen dürfen keine Schlupflöcher zur Umgehung der DSGVO darstellen.
  • Sie müssen sämtliche Grundsätze der DSGVO, insbesondere aus Art. 5, 6 und Art. 9 DSGVO, erfüllen.
  • Auch wenn den Betriebsparteien ein gewisser Spielraum zusteht, unterliegen Betriebsvereinbarungen einer umfassenden gerichtlichen Kontrolle.

 

Welche Anforderungen gelten für Betriebsvereinbarungen?

Da der Kläger vor dem BAG ausdrücklich klarstellte, sich nicht weiter darauf zu berufen, dass die von der Betriebsvereinbarung gedeckten Daten unzulässig verarbeitet worden seien, musste sich das Gericht nicht näher mit der Vereinbarkeit der Betriebsvereinbarung mit der DSGVO auseinandersetzen.

Somit bleibt eine zentrale Frage offen: Welche Anforderungen müssen Betriebsvereinbarungen erfüllen, um als taugliche Rechtsgrundlage für eine Datenverarbeitung zu gelten? Gerade für die betriebliche Praxis ist dies hochrelevant.

 

Praxisfolgen für Arbeitgeber und Betriebsräte

Das BAG-Urteil zeigt deutlich, dass Betriebsvereinbarungen weiterhin eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Arbeitsverhältnis sein können, allerdings nur, wenn sie die Anforderungen der DSGVO vollständig erfüllen. Zugleich senkt die Entscheidung die Hürden für Schadensersatz nach Art. 82 DSGVO, weil bereits ein Kontrollverlust über personenbezogene Daten als immaterieller Schaden anerkannt werden kann. Dadurch steigt das Risiko für Unternehmen auch dann, wenn kein konkreter Datenmissbrauch nachweisbar ist.

Unternehmen und Betriebsräte sollten deshalb folgende Punkte dringend beachten:

 

1. Prüfung bestehender Betriebsvereinbarungen

  • Sind alle Regelungen mit den Grundprinzipien der DSGVO (Art. 5 ff.) vereinbar?
  • Wurde der Umfang der Datenverarbeitung präzise und nachvollziehbar definiert?
  • Deckt die Vereinbarung auch besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sachgerecht ab?

 

2. Sorgfalt bei künftigen Vereinbarungen

  • Neue Betriebsvereinbarungen sollten im Entwurfsstadium datenschutzrechtlich geprüft werden.
  • Die Notwendigkeit („Erforderlichkeit“) jeder einzelnen Datenverarbeitung muss begründbar sein.
  • Transparenz für die betroffenen Beschäftigten muss durch klare und verständliche Regelungen gewährleistet sein.

 

3. Vermeidung von Risiken

  • Verlassen auf Betriebsvereinbarungen allein ist risikobehaftet, wenn keine zusätzliche Rechtsgrundlage (z. B. aus dem BDSG oder der DSGVO) vorhanden ist.
  • Fehlt eine rechtssichere Grundlage, drohen:
    • Bußgelder durch Aufsichtsbehörden,
    • gerichtliche Schadensersatzforderungen (Art. 82 DSGVO),
    • sowie ein Imageschaden für das Unternehmen.

 

4. Gemeinsame Verantwortung

  • Auch Betriebsräte tragen Verantwortung für den rechtskonformen Inhalt von Vereinbarungen.
  • Die Einhaltung datenschutzrechtlicher Standards sollte fester Bestandteil jeder betrieblichen Mitbestimmung sein.

 

Unternehmen müssen künftig verstärkt damit rechnen, dass Schadensersatz nach Art. 82 DSGVO auch ohne konkreten Missbrauch zugesprochen wird.

 

Bedeutung der EuGH-Entscheidung: Was Unternehmen jetzt tun sollten

Die Entscheidung des EuGH hat erhebliche Auswirkungen:

  • Eine Betriebsvereinbarung kann eine Datenverarbeitung nur dann rechtfertigen, wenn sie alle Vorgaben der DSGVO vollständig erfüllt.
  • Unzulässige Verarbeitungen lassen sich nicht durch nationale Regelungen oder kollektive Absprachen legitimieren.
  • Betriebsparteien können datenschutzrechtliche Vorgaben im Sinne eines „Feintunings“ konkretisieren, aber nicht abschwächen.

Ungeklärt bleibt hingegen, ob Datenverarbeitungen auf Basis unwirksamer Betriebsvereinbarungen ein Beweisverwertungsverbot auslösen – ein Thema, das derzeit in anderen Verfahren beim EuGH anhängig ist.

 

Fragen zum Schadensersatz nach Art. 82 DSGVO?

Sie sind unsicher, ob in Ihrem Unternehmen Schadensersatz nach Art. 82 DSGVO droht, etwa durch unzulässige Datenübermittlungen, unklare Rechtsgrundlagen oder lückenhafte Betriebsvereinbarungen? Unsere erfahrenen Rechtsanwälte unterstützen Sie bei der rechtssicheren Prüfung Ihrer Datenverarbeitung im Arbeitsverhältnis – von HR-Systemen und Cloud-Transfers bis zur DSGVO-konformen Ausgestaltung von Betriebsvereinbarungen und Informationspflichten. Vereinbaren Sie ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage – wir helfen Ihnen, Risiken zu minimieren und Ansprüche zu vermeiden.

❓ FAQ zum Schadensersatz nach Art. 82 DSGVO

Was war der Auslöser für das BAG-Urteil zum Schadensersatz nach Art. 82 DSGVO?

Ein Unternehmen übermittelte sensible Beschäftigtendaten an eine US-Cloud, obwohl die Betriebsvereinbarung dies nicht vollständig abdeckte. Ein Arbeitnehmer verlangte daraufhin Schadensersatz nach Art. 82 DSGVO wegen des Kontrollverlusts über seine personenbezogenen Daten.

Ein Anspruch besteht, wenn personenbezogene Daten rechtswidrig verarbeitet werden und dadurch ein materieller oder immaterieller Schaden entsteht. Nach dem BAG genügt bereits ein Kontrollverlust über die eigenen Daten, ohne dass ein konkreter Missbrauch nachgewiesen werden muss.

Die Höhe richtet sich nach Art, Umfang und Dauer des Datenschutzverstoßes. Im entschiedenen Fall sprach das BAG 200 € zu. Maßgeblich ist die konkrete Beeinträchtigung des Betroffenen; eine Straf- oder Abschreckungsfunktion besteht nicht.

Ja, das kann ausreichen. Schadensersatz nach Art. 82 DSGVO setzt einen materiellen oder immateriellen Schaden voraus. Nach aktueller Rechtsprechung kann bereits der Kontrollverlust über personenbezogene Daten als immaterieller Schaden anerkannt werden – auch ohne nachgewiesenen Datenmissbrauch. Entscheidend sind Umfang, Sensibilität der Daten und die konkrete Beeinträchtigung.

Ja. Schadensersatz nach Art. 82 DSGVO gilt auch im Arbeitsverhältnis. Beschäftigte können Ansprüche geltend machen, wenn der Arbeitgeber personenbezogene Daten rechtswidrig verarbeitet und dadurch ein materieller oder immaterieller Schaden entsteht. Das kann etwa bei unzulässiger Weitergabe, fehlender Rechtsgrundlage oder mangelnder Transparenz der Datenverarbeitung der Fall sein.

Nein. Eine Betriebsvereinbarung kann Schadensersatz nach Art. 82 DSGVO nicht wirksam ausschließen. Sie darf die Anforderungen der DSGVO nicht unterschreiten und muss insbesondere die Grundsätze und Rechtsgrundlagen der Datenverarbeitung einhalten. Liegt ein Datenschutzverstoß vor und entsteht ein Schaden, bleibt ein Anspruch auf Schadensersatz grundsätzlich möglich.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Name(erforderlich)
Nachrichtentext
Datenschutz(erforderlich)
Als Interessent registrieren
Als Interessent registrieren
Login
Login
Warenkorb
Nach oben scrollen
+49 (0) 731 140 557 810
info@legalcloud24.de
Als Interessent registrieren