Das Bundesarbeitsgericht hat einem Arbeitnehmer Schadensersatz zugesprochen, weil sein Arbeitgeber bei der Einführung einer neuen HR-Software mehr personenbezogene Daten übermittelt hatte, als erlaubt war. In seiner Entscheidung betonte das Gericht, dass bereits ein Verlust der Kontrolle über persönliche Daten einen immateriellen Schaden darstellen kann. Für Unternehmen bedeutet dieses Urteil: Datenschutz muss auch bei internen Tests höchste Priorität haben. Im Folgenden erfahren Sie, was Arbeitgeber daraus lernen sollten und warum ein sensibler Umgang mit Mitarbeiterdaten rechtlich geboten ist.
1. Hintergrund des Falls: Softwaretest mit echten Personaldaten
Im Rahmen der Einführung einer neuen Personalsoftware entschied sich ein international tätiger Konzern im Jahr 2017 dazu, die Software zunächst mit realen Personaldaten zu testen. Ziel war es, die Funktionalität des cloudbasierten Systems „Workday“ in der Praxis zu erproben. Dazu zog die deutsche Tochtergesellschaft Mitarbeiterdaten aus dem bestehenden SAP-System und übermittelte sie an ihre Konzernzentrale.
Für dieses Vorgehen hatte die deutsche Gesellschaft eine Betriebsvereinbarung mit dem Betriebsrat geschlossen. Sie erlaubte die Übermittlung ausgewählter Informationen: Name, Eintrittsdatum, Arbeitsort sowie dienstliche Kontaktdaten – explizit nur für Testzwecke.
2. Erheblicher Datenschutzverstoß: Umfang der Daten und USA-Übertragung
Tatsächlich wurden jedoch weit mehr Daten übermittelt. Neben den vereinbarten Informationen wurden unter anderem Gehaltsdaten, Geburtsdatum, private Anschrift, Familienstand sowie Sozialversicherungs- und Steuer-ID weitergegeben – also auch besonders sensible personenbezogene Daten. Diese landeten in einer Cloud-Struktur, deren Server sich in den USA befanden – und das ohne zusätzliche rechtliche Grundlage oder ausdrückliche Einwilligung der betroffenen Person.
Ein betroffener Mitarbeiter, der auch Vorsitzender des Betriebsrats war, klagte gegen seinen Arbeitgeber und forderte Schadensersatz nach Artikel 82 der DSGVO. Sein Argument: Durch die erweiterte Datenweitergabe sei ihm die Kontrolle über seine persönlichen Informationen entzogen worden – ein erheblicher Eingriff in seine Datenschutzrechte.
3. Erste Entscheidungen der Gerichte: Unterschiedliche Auffassungen
Das zuständige Landesarbeitsgericht in Baden-Württemberg sah ursprünglich keinen ersatzfähigen immateriellen Schaden und wies die Klage ab. Die Richter argumentierten, dass ein Kontrollverlust allein nicht ausreiche, um eine Entschädigung nach der DSGVO zu begründen.
Das Bundesarbeitsgericht (BAG) hingegen legte den Fall dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vor. Es wollte unter anderem geklärt wissen, ob eine Betriebsvereinbarung als rechtliche Grundlage für solche Testzwecke dienen kann und ob ein Kontrollverlust allein bereits einen immateriellen Schaden darstellen kann – selbst wenn keine konkreten negativen Folgen entstanden sind.
4. Entscheidung des EuGH: Datenschutzgrundsätze gelten kompromisslos
Der EuGH stellte klar, dass eine Betriebsvereinbarung zwar grundsätzlich eine Rechtsgrundlage sein kann, aber nur dann, wenn sie den strengen Anforderungen der DSGVO vollständig entspricht. Zudem bestätigte das Gericht, dass bereits ein Verlust der Kontrolle über die eigenen Daten als immaterieller Schaden gilt.
5. Urteil des BAG: Schadensersatz auch ohne konkrete Nachteile
Daraufhin entschied das Bundesarbeitsgericht, dass die über den Rahmen der Betriebsvereinbarung hinausgehende Datenweitergabe rechtswidrig war. Die Verarbeitung sei nicht erforderlich im Sinne der DSGVO gewesen, da das Interesse an einem „realistischen“ Test nicht die Persönlichkeitsrechte der betroffenen Person überwiegt.
Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 200 Euro zu – weniger als die geforderten 3.000 Euro, aber mit klarem Signal: Auch bei scheinbar harmlosen Testverfahren ist der strikte Rahmen des Datenschutzes zu respektieren. Der Kläger erhielt die Entschädigung insbesondere wegen des erlittenen Kontrollverlusts über seine sensiblen Daten.
6. Handlungsempfehlung für Unternehmen in Rheinstetten und Umgebung
Dieses Urteil unterstreicht, dass datenschutzrechtliche Vorgaben selbst bei internen Testläufen verbindlich einzuhalten sind. Für Unternehmen bedeutet das:
– Betriebsvereinbarungen müssen datenschutzkonform ausgestaltet sein.
– Sensible Daten dürfen nur mit geeigneter Rechtsgrundlage verarbeitet werden.
– Der Einsatz von Echtdaten sollte wohlüberlegt und möglichst vermieden werden.
– Cloud-Übertragungen – insbesondere ins EU-Ausland – bedürfen besonderer Prüfung.
Mit anderen Worten: Datenschutz ist kein Nebenschauplatz, sondern eine verbindliche Pflicht. Kontrollverluste über personenbezogene Daten können Schadenersatzansprüche nach sich ziehen – auch ohne konkreten finanziellen oder beruflichen Nachteil.
7. Ihre Unterstützung vor Ort: Rechtsberatung im Datenschutz
Für Verbraucher, Arbeitnehmer und Unternehmen aus Rheinstetten und Umgebung ist es wichtig, die Rechte und Pflichten im Datenschutz genau zu kennen. Ob Softwaretest, Mitarbeiterverwaltung oder Datenweitergabe ins Ausland – rechtliche Fallstricke lauern überall.
Als erfahrene Kanzlei stehen wir Ihnen bei allen Fragen rund um das Datenschutzrecht zur Seite. Wir prüfen Ihre internen Prozesse, Betriebsvereinbarungen oder auch geplante Softwaretests auf DSGVO-Konformität. Nutzen Sie unsere lokale Expertise für eine rechtssichere und praxisnahe Beratung. Vereinbaren Sie gerne einen Termin – wir sind für Sie da.