Seit Jahren steigt die Tendenz, dass Arbeitsgerichte sich auch mit der Frage befassen müssen, ob Arbeitnehmern Schadensersatzansprüche gegen den Arbeitgeber zustehen, wenn dieser allzu leichtfertig mit ihren Daten umgeht. Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) eine für Arbeitnehmer und Arbeitgeber gleichermaßen richtungsweisende Entscheidung zur Anwendung von Art. 82 Abs. 1 DSGVO getroffen. Im Fokus stand die Frage, ob der „Kontrollverlust“ über personenbezogene Daten – verursacht durch die rechtswidrige Weitergabe von Arbeitnehmerdaten im Konzern – als immaterieller Schaden zu qualifizieren ist und eine Ersatzpflicht auslösen kann.
Die Entscheidung bezieht sich auf einen Fall, in dem ein Arbeitgeber über den Rahmen einer Betriebsvereinbarung hinaus sensible Arbeitnehmerdaten an die Konzernmuttergesellschaft übermittelte, um die neue Personalsoftware „Workday“ zu Testzwecken zu befüllen. Der Kläger verlangte 3.000 € Schadensersatz – letztlich sprach das BAG ihm 200 € zu. Dennoch entfaltet die Entscheidung große Wirkung.
Sachverhalt: Datenweitergabe zu Testzwecken
Der beklagte Arbeitgeber hatte zur Vorbereitung eines konzernweiten Rollouts der Software „Workday“ personenbezogene Daten seiner Beschäftigten an die Konzernobergesellschaft übermittelt. Die Übermittlung umfasste neben den in einer Betriebsvereinbarung ausdrücklich benannten Geschäftsdaten (Name, Eintrittsdatum, Arbeitsort etc.) auch eine Vielzahl weiterer personenbezogener Informationen: Gehalt, Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID.
Diese zusätzlichen Daten waren durch die Betriebsvereinbarung nicht gedeckt. Der Kläger sah sich in seinem Recht auf Datenschutz verletzt und klagte auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO.
Die Entscheidung des BAG: Kontrollverlust ist Schaden
In Fortführung der EuGH-Linie erkennt nun auch das Bundesarbeitsgericht in seiner Entscheidung den Kontrollverlust über personenbezogene Daten als immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO an.
Zwar reduzierte das BAG den geforderten Betrag von 3.000 € auf 200 €, es bestätigte aber ausdrücklich, dass die nicht erforderliche Weitergabe personenbezogener Echtdaten – insbesondere sensibler Angaben wie Steuer-ID und Sozialversicherungsnummer – rechtswidrig war. Diese Datenverarbeitung war nicht durch berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Die Betriebsvereinbarung deckte sie nicht ab, und eine zusätzliche Interessenabwägung zugunsten des Arbeitgebers scheiterte an der mangelnden Erforderlichkeit.
Wichtig ist: Der Senat stellte nicht darauf ab, ob ein wirtschaftlicher Schaden eingetreten war. Es genügte, dass der Kläger „die Kontrolle“ über seine sensiblen Daten verloren hatte.
Bedeutung für die Praxis
Die Entscheidung hat weit reichende Bedeutung für die Praxis.
Verantwortung der Arbeitgeber bei konzerninterner Datenverarbeitung
Auch konzerninterne Datenflüsse unterliegen strengen rechtlichen Anforderungen. Selbst innerhalb einer Unternehmensgruppe ist der datenschutzrechtliche Verantwortlichkeitsbegriff nicht aufgeweicht.
Grenzen der Betriebsvereinbarung
Eine Betriebsvereinbarung kann zwar als Rechtsgrundlage dienen, ersetzt aber keine eigenständige Prüfung der Erforderlichkeit nach Art. 6 DSGVO.
Kontrollverlust als Anspruchsgrundlage
Der Begriff des immateriellen Schadens wird ausgeweitet. Auch kleinere Datenschutzverstöße können zu Schadenersatzansprüchen führen – insbesondere bei sensiblen Daten.
Signalwirkung auf Konzerneinsätze von Cloud-Systemen
Cloudbasierte HR-Systeme wie „Workday“ dürfen nur mit anonymisierten oder pseudonymisierten Daten getestet werden – oder bedürfen einer wirksamen Einwilligung.
Fazit: DSGVO-Schadenersatz auch ohne messbaren Nachteil möglich
Mit dem Urteil vom 8. Mai 2025 setzt das Bundesarbeitsgericht die Linie des EuGH fort und stärkt die Rechte von Arbeitnehmern im Datenschutz. Der Kontrollverlust über persönliche Daten – etwa durch unzulässige Weitergabe im Konzern – stellt einen eigenständigen immateriellen Schaden dar. Für Arbeitgeber ist dies ein deutliches Warnsignal: Datenschutzverstöße, auch ohne erkennbare materielle Folgen, können zu haftungsauslösenden Pflichtverletzungen führen.
Unternehmen sind daher gut beraten, interne Datenschutzprozesse und IT-Systeme genau zu prüfen, insbesondere wenn personenbezogene Daten konzernweit verarbeitet oder zu Testzwecken genutzt werden sollen. Die DSGVO bleibt kein zahnloser Tiger – auch nicht im Arbeitsverhältnis.
