BAG: Schadensersatz bei DSGVO-Verstoß

Was war passiert?

Im zugrundeliegenden Fall übermittelte ein Unternehmen personenbezogene Daten eines Beschäftigten – darunter Gehaltsangaben, Geburtsdatum und Steuer-ID – an die Konzernobergesellschaft, um eine neue Personalsoftware testweise mit Daten zu versorgen. Die Datenweitergabe erfolgte auf Grundlage einer zuvor geschlossenen Betriebsvereinbarung. Diese gestattete jedoch nur die Übertragung bestimmter Daten, etwa Name, Eintrittsdatum und geschäftliche Kontaktdaten.

Der von der testweisen Übertragung betroffene Arbeitnehmer machte einen immateriellen Schaden in Anwendung des Art. 82 Abs. 1 DSGVO geltend. Die vorinstanzlichen Gerichte wiesen die Klage ab, das Bundesarbeitsgericht sprach ihm nun einen sehr moderaten Betrag von 200 Euro als Schadenersatz zu.

So entschied das Bundesarbeitsgericht

Nach Auffassung des BAG war jedenfalls die Verarbeitung der von der Betriebsvereinbarung nicht autorisierten Daten nicht erforderlich zur Begründung, Durchführung bzw. Beendigung des Arbeitsverhältnisses im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Damit war die Verarbeitung unrechtmäßig – ein Verstoß gegen die DSGVO lag vor.

Für eine zulässige Datenverarbeitung müssen, sofern die Verarbeitung nicht bereits zur Begründung, Durchführung bzw. Beendigung des Arbeitsverhältnisses erforderlich ist, drei Voraussetzungen erfüllt sein:

• Ein berechtigtes Interesse des Verantwortlichen oder eines Dritten,
• die Erforderlichkeit der Verarbeitung zur Wahrung dieses Interesses,
• kein Überwiegen der Interessen oder Freiheiten der betroffenen Person.

Diese Abwägung fiel hier zulasten der Arbeitgeberin aus – insbesondere, weil die Weitergabe sensibler personenbezogener Daten zu Testzwecken nicht als zwingend notwendig bewertet wurde. Zur Erprobung einer neuen HR-Software war es aus Sicht der Erfurter Richterinnen und Richter nicht erforderlich, mit Echtdaten zu arbeiten. Es wäre nicht erforderlich gewesen, Echtdaten zu verwenden. Vielmehr hätte es genügt, zu Testzwecken unechte Daten zu verwenden. Das BAG erkannte ausdrücklich einen Schadenersatzanspruch wegen des eingetretenen Kontrollverlusts über die eigenen Daten an – eine Linie, die sich an der Rechtsprechung des Europäischen Gerichtshofs (EuGH) orientiert. Nach Art. 82 DSGVO kann bereits ein immaterieller Schaden ohne konkrete wirtschaftliche Folgen einen Entschädigungsanspruch begründen.

Was bedeutet das für Arbeitgeber?

Das Urteil zeigt, dass sich Arbeitgeber auch bei internen Softwaretests nicht auf vordergründig harmlose Datenübertragungen verlassen dürfen. Auch innerhalb eines Konzerns ist die DSGVO voll anwendbar – und eine Betriebsvereinbarung ersetzt keine datenschutzrechtliche Einwilligung oder Notwendigkeit im rechtlichen Sinne.

Es gilt also:

• Eine Betriebsvereinbarung kann die Datenverarbeitung nicht beliebig legitimieren.
• Es müssen klare Grenzen gesetzt werden, welche Daten für welche Zwecke verarbeitet werden dürfen. Geht es nur um Tests, sind in der Regel keine Echtdaten erforderlich
• Verstöße können zu immateriellen Schadenersatzansprüchen führen – auch bei kleineren Datenpannen.

Fazit und Praxishinweis

Das Urteil unterstreicht die Bedeutung eines verantwortungsvollen Umgangs mit Beschäftigtendaten – auch im Rahmen interner Tests. Werden personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet, drohen dem Arbeitgeber Schadenersatzforderungen. Auch wenn die Höhe des nun ausgeurteilten Schadensersatzes mit 200 Euro moderat erscheint, dürften im Wiederholungsfalle bzw. bei größeren bzw. sensibleren Datenmengen schnell größere Summen festgesetzt werden.

Arbeitgeber sollten bei jeder Softwareeinführung oder Testphase eine sorgfältige DSGVO-Prüfung durchführen – die Nutzung synthetischer Testdaten kann hier in der Regel eine praktikable Alternative sein.

Foto: CL STOCK / Shutterstock.com