Das war der Fall
Der Arbeitgeber verarbeitete personenbezogene Daten ihrer Beschäftigten unter anderem zu Abrechnungszwecken mit cloudbasierten Personalverwaltungs-Software »Workday«. Im Jahr 2017 gab es Planungen, dieses Programm konzernweit als einheitliches Personal-Informationsmanagementsystem einzuführen.
Für einen Testbetrieb wurden aus der bisher genutzten Software Beschäftigtendaten an die Konzernobergesellschaft übermittelt, was in einer Betriebsvereinbarung geregelt war. Die Betriebsvereinbarung gestattete die Übermittlung von Namen, Eintrittsdatum, Arbeitsort, Firma sowie geschäftlicher Telefonnummer und E-Mail-Adresse.
Der Arbeigeber übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Das sagt das Gericht
Die Vorinstanzen haben die Klage auf Schdensersatz abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (C-65/23) beantwortet.
Die Revision hatte vor dem BAG teilweise Erfolg. Dem Arbeitnehmer steht Schadenersatz aus Art. 82 Abs. 1 DSGVO von 200 Euro zu.
Die Übertragung von Daten, die nicht der Regelung in der Betriebsvereinbarung entsprochen hat, war nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.
Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
© bund-verlag.de (mst) Foto: © Gina Sanders / Foto Dollar Club
