Arbeitgeber gibt Personaldaten weiter: Schadensersatz?

Arbeitgeber dürfen Personaldaten von Beschäftigten nicht beliebig für Softwaretests verwenden. Das Bundesarbeitsgericht hat entschieden, dass ein Arbeitnehmer Schadensersatz verlangen kann, wenn der Arbeitgeber mehr Daten in ein cloudbasiertes Personalverwaltungssystem überträgt, als für den Test erforderlich und vereinbart war. Im konkreten Fall erhielt der Arbeitnehmer 200 Euro immateriellen Schadensersatz, weil er die Kontrolle über sensible Beschäftigtendaten vorübergehend verlor.

Anmerkung zu Bundesarbeitsgericht, Urteil vom 8. Mai 2025, Aktenzeichen: 8 AZR 209/21

Der Fall im Überblick

Der Kläger arbeitete seit vielen Jahren bei der Beklagten als Organisationsprogrammierer. Zugleich war er Vorsitzender des dort gebildeten Betriebsrats. Die Arbeitgeberin gehörte zu einem internationalen Konzern, dessen Konzernobergesellschaft ihren Sitz in den USA hatte. Im Unternehmen sollte konzernweit die cloudbasierte Personalverwaltungssoftware Workday eingeführt werden.

Zur Vorbereitung dieser Einführung übertrug die Arbeitgeberin personenbezogene Daten des Klägers zunächst auf eine Sharepoint-Seite der Konzernobergesellschaft. Von dort sollten die Daten in Workday eingespielt und für Testzwecke genutzt werden. Betroffen waren nicht nur Name, Vorname, dienstliche Telefonnummer und dienstliche E-Mail-Adresse. Die Arbeitgeberin übermittelte auch Gehaltsinformationen, private Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID.

Später schlossen Arbeitgeberin und Betriebsrat eine sogenannte Duldungs-Betriebsvereinbarung zur vorläufigen Nutzung von Workday. Diese Vereinbarung erlaubte für den Testbetrieb nur bestimmte Datenkategorien. Dazu gehörten etwa Personalnummer, Name, Eintrittsdaten, Arbeitsort, Firma sowie dienstliche Kontaktdaten. Weitere private oder besonders sensible Personaldaten waren von dieser Vereinbarung nicht umfasst.

Der Kläger verlangte immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO (Datenschutz-Grundverordnung). Er machte geltend, die Arbeitgeberin habe zu viele personenbezogene Echtdaten verarbeitet. Für den Testbetrieb hätten aus seiner Sicht Dummy-Daten ausgereicht. Zuletzt stützte er seinen Anspruch aber nur noch darauf, dass die Arbeitgeberin Daten verarbeitet hatte, die nicht von der Duldungs-Betriebsvereinbarung gedeckt waren.

Die Entscheidung des Gerichts und ihre Begründung

Das Bundesarbeitsgericht gab dem Kläger teilweise Recht. Es sprach ihm einen immateriellen Schadensersatz in Höhe von 200 Euro zu. Ein höherer Betrag wurde nicht zugesprochen. Entscheidend war: Die Arbeitgeberin durfte nicht mehr personenbezogene Daten für den Testbetrieb in Workday verarbeiten, als für diesen Zweck erforderlich und durch die Betriebsvereinbarung abgedeckt war.

Für einen Anspruch nach Art. 82 Abs. 1 DSGVO verlangt das Gericht drei Voraussetzungen. Es muss ein Verstoß gegen die Datenschutz-Grundverordnung vorliegen. Außerdem muss ein materieller oder immaterieller Schaden entstanden sein. Schließlich muss dieser Schaden durch den Datenschutzverstoß verursacht worden sein. Diese Voraussetzungen sah das Bundesarbeitsgericht hier als erfüllt an.

Softwaretests mit Echtdaten sind nicht immer verboten

Das Urteil bedeutet nicht, dass Arbeitgeber niemals echte Beschäftigtendaten für Softwaretests verwenden dürfen. Das Bundesarbeitsgericht stellt vielmehr klar, dass eine solche Verarbeitung im Einzelfall erlaubt sein kann. Das kommt insbesondere dann in Betracht, wenn entpersonalisierte Dummy-Daten den Testzweck nicht erreichen können. Für Arbeitnehmer ist diese Unterscheidung wichtig, weil nicht jeder technische Test automatisch rechtswidrig ist.

Der Arbeitgeber kann sich unter Umständen auf berechtigte Interessen nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO stützen. Dazu muss die Verarbeitung aber erforderlich sein. Außerdem dürfen die Interessen und Grundrechte der betroffenen Beschäftigten nicht überwiegen. Gerade bei Personaldaten verlangt diese Prüfung besondere Sorgfalt.

Im konkreten Fall half dieser Gedanke der Arbeitgeberin nur begrenzt. Die Arbeitgeberin und der Betriebsrat hatten ausdrücklich festgelegt, welche Daten für den Test übermittelt werden dürfen. Dadurch lag nahe, dass nur diese Daten für den Testzweck erforderlich waren. Für die zusätzlichen Daten behauptete die Arbeitgeberin nicht ausreichend, dass sie ebenfalls gebraucht wurden.

Zu viele Personaldaten waren nicht erforderlich

Das Bundesarbeitsgericht sah den Datenschutzverstoß darin, dass die Arbeitgeberin über die erlaubten Daten hinausging. Private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummer, Steuer-ID, Staatsangehörigkeit und Familienstand waren nicht von der Duldungs-Betriebsvereinbarung erfasst. Diese Daten sind eindeutig personenbezogen und betreffen den Arbeitnehmer unmittelbar.

Das Gericht prüfte auch, ob die Verarbeitung auf andere Rechtsgrundlagen gestützt werden konnte. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) half der Arbeitgeberin nicht weiter. Nach der Entscheidung erfüllt diese Vorschrift im hier relevanten Zusammenhang nicht die Anforderungen der DSGVO an eine spezielle Beschäftigtendatenschutzregelung. Deshalb musste die Verarbeitung unmittelbar an den Maßstäben der DSGVO gemessen werden.

Auch eine Rechtfertigung über den Arbeitsvertrag kam nicht in Betracht. Die zusätzlichen Daten wurden nicht zur Durchführung des Arbeitsverhältnisses verarbeitet. Sie dienten vielmehr einem anderen Zweck, nämlich dem Test einer neuen Software. Für diesen Zweck waren die überschießenden Daten nach Auffassung des Gerichts nicht erforderlich.

Kontrollverlust reicht als immaterieller Schaden

Besonders wichtig ist die Aussage zum immateriellen Schaden. Das Bundesarbeitsgericht erkennt an, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen Schaden darstellen kann. Der Arbeitnehmer muss zwar darlegen, dass er tatsächlich einen Schaden erlitten hat. Dieser Schaden muss aber nicht besonders schwerwiegend sein.

Im konkreten Fall lag der Schaden in der Weitergabe und weiteren Verarbeitung der Daten in Workday. Der Kläger konnte nicht mehr vollständig kontrollieren, was mit den nicht erlaubten Daten geschah. Das genügte dem Gericht für einen immateriellen Schaden. Es grenzte den Fall ausdrücklich von bloßen Auskunftsverzögerungen ab, bei denen nicht automatisch ein Kontrollverlust vorliegt.

Bei der Höhe des Schadensersatzes blieb das Gericht zurückhaltend. Es hielt 200 Euro für erforderlich, aber auch ausreichend. Dabei berücksichtigte es die Sensibilität der Daten, den im Konzern begrenzten Empfängerkreis und die Dauer des Kontrollverlustes. Eine mögliche Datenübertragung in ein Drittland spielte bei der Bemessung keine Rolle, weil der Kläger sich darauf zuletzt nicht mehr gestützt hatte.

Welche Folgen hat das für Arbeitnehmer?

Das Urteil ist für Arbeitnehmer wichtig, deren Arbeitgeber neue Personalsoftware einführen oder bestehende HR-Systeme testen. Beschäftigtendaten werden dabei häufig in großer Menge verarbeitet. Dazu gehören oft nicht nur Kontaktdaten, sondern auch Vergütung, Steuerdaten, Familienstand oder Sozialversicherungsnummer. Gerade solche Informationen betreffen die private und wirtschaftliche Sphäre von Arbeitnehmern erheblich.

Arbeitnehmer können aus dem Urteil mitnehmen: Ein Arbeitgeber darf Daten nicht allein deshalb umfassend übertragen, weil ein Softwaretest praktisch einfacher wird. Er muss prüfen, welche Daten wirklich erforderlich sind. Wenn Dummy-Daten ausreichen, spricht viel dagegen, echte Personaldaten zu verwenden. Wenn Echtdaten nötig sind, muss der Arbeitgeber den Umfang auf das Erforderliche begrenzen.

Besonders relevant wird das Urteil bei cloudbasierten Personalverwaltungssystemen. Viele Unternehmen nutzen internationale Softwarelösungen, bei denen Daten konzernintern oder an Dienstleister weitergegeben werden. Arbeitnehmer sollten aufmerksam werden, wenn private Daten, Gehaltsdaten oder Identifikationsnummern für Testzwecke verwendet werden. Solche Daten sind deutlich sensibler als bloße dienstliche Kontaktdaten.

In der Praxis kann auch eine Betriebsvereinbarung eine wichtige Rolle spielen. Sie kann regeln, welche Daten für einen Testbetrieb verarbeitet werden dürfen. Überschreitet der Arbeitgeber diese Grenzen, kann das ein starkes Indiz für eine unzulässige Datenverarbeitung sein. Arbeitnehmer sollten deshalb prüfen, ob es im Betrieb Vereinbarungen zur Einführung neuer Software gibt und welche Daten dort genannt werden.

Das Urteil zeigt aber auch: Schadensersatz wegen Datenschutzverstößen führt nicht automatisch zu hohen Beträgen. Der Anspruch dient dem Ausgleich des konkreten immateriellen Schadens. Gerichte berücksichtigen daher genau, welche Daten betroffen waren, wie lange der Kontrollverlust dauerte und wer Zugriff erhalten hat. Auch ein vergleichsweise niedriger Betrag kann aber ein wichtiges Signal sein, wenn der Arbeitgeber Datenschutzgrenzen überschreitet.

Wer vermutet, dass der Arbeitgeber unzulässig Personaldaten verarbeitet hat, sollte zunächst die verfügbaren Informationen sichern. Dazu gehören Mitteilungen zur Softwareeinführung, Betriebsvereinbarungen, Datenschutzhinweise, E-Mails und Auskünfte des Arbeitgebers. Arbeitnehmer können zudem Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen. Auf dieser Grundlage lässt sich prüfen, ob ein Datenschutzverstoß und ein Schadensersatzanspruch in Betracht kommen.

Über die Kanzlei Hoang in Dortmund

Die Kanzlei Hoang in Dortmund unterstützt Arbeitnehmer bundesweit bei arbeitsrechtlichen Fragen zum Beschäftigtendatenschutz, zur Verarbeitung von Personaldaten und zu Ansprüchen auf Schadensersatz bei Datenschutzverstößen. Gerade bei der Einführung neuer Personalsoftware kommt es darauf an, welche Daten verarbeitet werden, ob eine tragfähige Rechtsgrundlage besteht und ob der Arbeitgeber die Grenzen des Erforderlichen eingehalten hat.

Häufig gestellte Fragen (FAQ)

Der Arbeitgeber darf Personaldaten nicht beliebig an eine Software oder einen externen Dienst weitergeben. Eine Verarbeitung kann nur zulässig sein, wenn es dafür eine tragfähige Rechtsgrundlage gibt und die Daten für den konkreten Zweck erforderlich sind. Gerade bei sensiblen Beschäftigtendaten muss der Arbeitgeber den Umfang der Verarbeitung sorgfältig begrenzen.

Ein Schadensersatzanspruch kann in Betracht kommen, wenn der Arbeitgeber gegen die Datenschutz-Grundverordnung verstößt und dadurch ein materieller oder immaterieller Schaden entsteht. Ein solcher immaterieller Schaden kann auch in einem Kontrollverlust über personenbezogene Daten liegen. Ob ein Anspruch besteht, hängt immer von den konkreten Umständen ab.

Ein Softwaretest mit echten Personaldaten ist nicht automatisch verboten. Der Arbeitgeber muss aber prüfen, ob der Test auch mit anonymisierten oder fiktiven Dummy-Daten möglich ist. Echtdaten dürfen grundsätzlich nur verwendet werden, wenn sie für den Testzweck wirklich erforderlich sind und die Interessen der Beschäftigten ausreichend berücksichtigt werden.

Ja, die Art der betroffenen Daten ist wichtig. Dienstliche Kontaktdaten sind regelmäßig weniger sensibel als private Anschrift, Gehaltsdaten, Steuer-ID oder Sozialversicherungsnummer. Je sensibler die Daten sind, desto genauer muss geprüft werden, ob die Verarbeitung erforderlich und rechtlich zulässig war.

Sie sollten zunächst Unterlagen sichern, etwa Datenschutzhinweise, E-Mails, Betriebsvereinbarungen oder Mitteilungen zur Softwareeinführung. Außerdem können Sie Auskunft darüber verlangen, welche personenbezogenen Daten verarbeitet wurden und an wen sie weitergegeben wurden. Danach lässt sich prüfen, ob ein Datenschutzverstoß und ein möglicher Schadensersatzanspruch bestehen.

Ihr Ansprechpartner

Bild von Rechtsanwalt Van Hoang

Rechtsanwalt Van Hoang

Rechtsanwalt Van Hoang ist Gründer der Kanzlei Hoang und spezialisiert auf Arbeitsrecht. Er vertritt bundesweit Arbeitnehmer und Betriebsräte insbesondere bei Kündigungen, Abmahnungen, Aufhebungsverträgen sowie bei Streitigkeiten über Vergütung, Versetzung und andere arbeitsrechtliche Fragen.

Unverbindlich einschätzen lassen

Kostenlose Ersteinschätzung

Weitere aktuelle Urteile & News

Das könnte Sie auch interessieren