BAG-Urteil: Schadenersatz bei unzulässiger Datenweitergabe

Das BAG hatte einen Arbeitgeber zur Zahlung von Schadenersatz verurteilt, weil er personenbezogene Daten unberechtigterweise innerhalb seines Konzerns an eine andere Gesellschaft übertragen hatte, um eine Software für Personalverwaltung zu testen. Das Gericht sah darin einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO).

Ein Unternehmen plante, konzernweit eine Software als einheitliches Personal-Informationsmanagementsystem einzuführen. Daher übertrug der Arbeitgeber personenbezogene Daten des Mitarbeiters aus der bisher genutzten Personalverwaltungs-Software an die Konzernobergesellschaft, um die Software damit zu Testzwecken zu befüllen. Die Datenübermittlung für den vorläufigen Testbetrieb war in einer Betriebsvereinbarung geregelt, die die Übermittlung bestimmter Daten wie Name, Eintrittsdatum, Arbeitsort, Firma sowie geschäftliche Telefonnummer und E-Mail-Adresse erlaubte.

Der Arbeitgeber übermittelte jedoch deutlich mehr als die vereinbarten Daten: Zusätzlich wurden Gehaltsinformationen, private Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID weitergegeben – alles sensible Informationen, die nicht von der Betriebsvereinbarung abgedeckt waren.

Dagegen wehrte sich der Mitarbeiter und forderte gemäß Art. 82 Abs. 1 DSGVO einen immateriellen Schadenersatz in Höhe von 3.000 Euro. Die Klage hatte in der Revision vor dem BAG teilweise Erfolg: Das Gericht sprach dem Arbeitnehmer 200 Euro zu. Nach Ansicht der Erfurter Richter war die Weitergabe von Daten, die in der Betriebsvereinbarung nicht festgelegt waren, nicht erforderlich im Sinne der DSGVO und stelle einen Verstoß dar. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten verursachten Kontrollverlust.