Schadensersatz bei Datenschutzverstößen -"Erforderlichkeit"nach DSGVO in Betriebsvereinbarungen
(IINews) - 1. Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaftüberträgt, um eine cloudbasierte Software für Personalverwaltung (hier:"Workday") zu testen.
2. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten verursachten Kontrollverlust.
3. Kollektivvereinbarungen wie Betriebsvereinbarungen, die auf§ 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) beruhen und die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ermöglichen, müssen neben den Anforderungen aus Art. 88 Abs. 2 DSGVO auch diejenigen aus Art. 5, Art. 6 Abs. 1 und Art. 9Abs. 1 und 2 DSGVO erfüllen.
4. Die"Erforderlichkeit"i.S.v. Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO der Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage von Betriebsvereinbarungen unterliegt einem umfassenden gerichtlichen Kontrollmaßstab, der nicht durch die Betriebsparteien eingeschränkt werden kann.
(BAG, Urteil vom 8. Mai 2025 - 8 AZR 209/21 -&EuGH, Urteil vom 19. Dezember 2024 - C-65/23 -; Leitsätze des Verfassers)
Die Arbeitgeberin verarbeitete personenbezogene Daten ihrer Beschäftigten u.a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Arbeitgeberin übertrug personenbezogene Daten der Beschäftigten aus der bisher genutztenSoftware an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Arbeitgeberin erlaubt sein, u.a. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Arbeitgeberin übermittelte aber darüber hinaus weitere Daten der Beschäftigten wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Arbeitnehmer hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadensersatz wegen einer Verletzung der ab dem 25.05.2018 geltenden DSGVO i.H.v. 3.000,00 EUR zu.
In 1. und 2. Instanz wurde die diesbezügliche Klage des Arbeitnehmers abgewiesen, woraufhin dieser Revision zum BAG einlegte. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) -) hat das BAG das Revisionsverfahren ausgesetzt und den (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht.Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 -) beantwortet.
Die Revision des Arbeitnehmers hatte vor dem BAG teilweise Erfolg. Der Arbeitnehmer hat gegen die Arbeitgeberin einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO i.H.v. 200,00 EUR. Soweit die Arbeitgeberin andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Kon-zernobergesellschaftübertragen hat, war dies nicht erforderlich i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. f) DSGVO. Der immaterielle Schaden des Arbeitnehmers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
Der Arbeitnehmer hat sich in der mündlichen Verhandlung vor dem BAG nicht weiter darauf berufen, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Das BAG hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
Der EuGH hatte in seinem Urteil im Vorabentscheidungsverfahren zuvor jedoch klargestellt, dass Art. 88 Abs. 1 und 2 DSGVO so auszulegen sind, dass auf ihrer Grundlage erlassene nationale Rechtsvorschriften und - wiederum auf deren Grundlage erlassene - Kollektivvereinbarungen (u.a. Betriebsvereinbarungen), die die Verarbeitung personenbezogener Daten zu Zwecken von Beschäftigungsverhältnissen regeln, die Anforderungen aus Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO erfüllen müssen. Diese sehen u.a. die"Erforderlichkeit"der Datenverarbeitung vor. Der EuGH hat weiter klargestellt, dass sich die Parteien einer Betriebsvereinbarung zu Datenverarbeitungszwecken trotz ihres Gestal-tungsspielraums im Rahmen der Vorgaben zur"Erforderlichkeit"i.S.v. Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO bewegen müssen. Die Gerichte sind an einer umfassend Kontrolle der"Erforderlichkeit"im Rahmen der Kollektivvereinbarung nicht gehindert.
Fazit:
Das BAG bestätigt mit der vorliegenden Entscheidung die nationale und europäische Rechtsprechung der letzten Jahre zu Darlegung und Bemessung immaterieller Schäden bedingt durch DSGVO-Verstöße nach Art. 82 Abs. 1 DSGVO. Durch diese ist u.a. bereits geklärt, dass die Darlegung eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO grundsätzliche keinen bestimmten Grad an Erheblichkeit voraussetzt und der Schadensersatz eine Ausgleichs-, aber keine Abschreckungs- oder Straffunktion erfüllt (s. BAG, Beschl. v. 25.04.2024 - 8 AZR 209/21 (B) - mit Nachweisen aus der EuGH-Rechtsprechung).
Für die betriebliche Praxis von weit größerer Bedeutung als die Entscheidung des BAG sind die Klarstellungen des EuGH im Vorabentscheidungsverfahren. Denn individualrechtlich bleibt der Abschreckungseffekt für Arbeitgeber:innen bei den geringen, eher symbolischen Schadenersatzsummen, diedie Gerichte trotz erheblicher und lang andauernder DSGVO-Verstöße zusprechen, marginal. Allerdings hat die Vorlage des BAG an den EuGH im vorliegenden Verfahren Klarheit über das Datenschutzniveau und die Regelungsmacht der Betriebsparteien über diese gebracht: Betriebsvereinbarungen müssen insbesondere die"Erforderlichkeit"der von ihnen vorgesehenen Datenverarbeitung i.S.d. DSGVO-Normen berücksichtigen. Eine Absenkung dieses Schutzniveaus durch Vereinbarung ist unzulässig. Die Gerichte können dies umfassend kontrollieren. Hierauf sollten Betriebsräte unbedingt eingestellt sein und bei Verhandlungen zu EDV-Betriebsvereinbarungen ein besonderes Augenmerk auf die Zweckbestimmung der Datenverarbeitung im Sinne von Art. 5 Abs. 1 Buchst. b) DSGVO legen.
Jan Potthoff, Rechtsanwalt
Anwaltsbüro* Windirsch, Britschgi&Wilden
Themen in diesem Fachartikel:
schadensersatz
dsgvo
immaterieller-schaden
kontrollverlustuebertragung-echtdaten-zwecks-test-cloudbasierte-software
workday-regelung-in-betriebsvereinbarung-erforderlichkeit-der-datenverarbeitung
Unternehmensinformation / Kurzprofil:
Anwaltsbüro* Windirsch, Britschgi& Wilden - seitüber 30 Jahren im Herzen von Düsseldorf. Die Rechtsanwältinnen und Rechtsanwälte von Windirsch, Britschgi& Wilden sind auf Arbeitsrecht spezialisiert und legen zudem Wert auf ihr soziales Engagement.
Seit 1983 setzt sich unser Anwaltsbüro ausschließlich für die Belange von Arbeitnehmerinnen und Arbeitnehmern ein. Wir betreuen insbesondere Betriebsräte, Personalräte, Schwerbehindertenvertretungen und Mitarbeitervertretungen.
Die jahrzehntelange Qualifizierung unserer Rechtsanwältinnen und Rechtsanwälte garantiert unseren Mandanten die bestmögliche Beratung und Vertretung im Arbeitsrecht.
Betriebsräte, Personalräte, Schwerbehindertenvertretungen und Mitarbeitervertretungen finden Unterstützung beim Verhandeln von Betriebsvereinbarungen, Dienstvereinbarungen und Sozialplänen oder bei der Einleitung gerichtlicher Beschlussverfahren und Unterstützung in Einigungsstellenverfahren als Beisitzer oder Verfahrensbevollmächtigte.
Wir legen Wert auf eine persönliche Betreuung, sei es in unseren Räumlichkeiten,über moderne Kommunikationsmittel oder vor Ort - denn manchmal ist es erforderlich, sich von den betrieblichen Verhältnissen selbst ein Bild zu machen.
Arbeitnehmerinnen und Arbeitnehmer werden von unseren Rechtsanwälten und Rechtsanwältinnen umfassend beraten und sowohl gerichtlich als auch außergerichtlich vertreten. Dies gilt z.B., wenn Sie eine Kündigung erhalten haben, eine Abfindung aushandeln möchten oder sich gegen Abmahnungen und ungerechtfertigte Versetzungen zur Wehr setzen wollen.
Als Anwaltsbüro Windirsch, Britschgi& Wilden stehen wir mit unserem guten Namen dafür ein, dass Sie zu Ihrem Recht gelangen. Für unsere Rechtsanwältinnen und Rechtsanwälte sind Ihre Anliegen die Verpflichtung zu einer umfassenden und engagierten Vertretung.
PUBLIC TUNE Agentur für Kommunikation& PR
Melanie Schrader
Achenbachstr. 40
40237 Düsseldorf (Düsseltal)
schrader(at)public-tune.de
+4921159815159
www.public-tune.de
Datum: 07.07.2025 - 10:20 Uhr
Sprache: Deutsch
News-ID 2183156
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Fabian Wilden
Stadt:
Düsseldorf
Telefon: (0211) 863 20 20
Kategorie:
Politik & Gesellschaft
Dieser Fachartikel wurde bisher 3 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Schadensersatz bei Datenschutzverstößen -"Erforderlichkeit"nach DSGVO in Betriebsvereinbarungen"
steht unter der journalistisch-redaktionellen Verantwortung von
Anwaltsbüro Windirsch, Britschgi& Wilden (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).