Datenübertragung bedeutet Kontrollverlust

Erfolg vor dem Bundesarbeitsgericht: Mitarbeiter wehrt sich gegen Datenübertragung in die USA

Hintergrund der Entscheidung des Bundesarbeitsgerichts (BAG) war, dass sich ein Mitarbeiter gegen die Datenübertragung seiner persönlichen Daten auf einen Server in den USA durch seine Arbeitgeberin wehrte. In letzter Instanz hat er nunmehr gewonnen.

DS-GVO und Schadensersatz: Rechtslage bei Datenübertragung auf amerikanische Server

Das Bundesarbeitsgericht urteilte am Donnerstag, dass Beschäftigte unter bestimmten Umständen gemäß der Datenschutz-Grundverordnung (DS-GVO) Schadensersatz verlangen können, wenn Arbeitgeber ihre personenbezogenen Daten mit einem Personalverwaltungssystem auf einen amerikanischen Cloud-Server hochladen. Das Gericht erkannte in diesem Fall einen immateriellen Schaden durch den Kontrollverlust über die personenbezogenen Daten und sprach dem klagenden Mitarbeiter 200 Euro Schadensersatz plus Zinsen zu (BAG, Urteil vom 08.05.2025 – 8 AZR 209/21).

Cloudbasierte Personalverwaltung

Die Arbeitgeberin entschied im Jahr 2017, das cloudbasierte System „Workday“ für die Personalverwaltung einzuführen und SAP abzulösen. Workdays Server befinden sich in den USA. Vor dem Einsatz solcher Programme ist es notwendig, mehrphasige Systemtests durchzuführen, um das IT-System zu überprüfen, Fehlerquellen zu identifizieren und zu beheben. Während solcher Testphasen ist es oft erforderlich, nicht nur fiktive Daten zu verwenden. Um das System realistisch zu testen, empfiehlt es sich, echte Mitarbeiterdaten zu nutzen, um Übertragungsfehler von SAP nach Workday zu vermeiden.

Zusätzliche Datenübertragung ohne Genehmigung / Einwilligung

Da die Einführung eines solchen IT-Systems die Zustimmung des Betriebsrats und gegebenenfalls der einzelnen Mitarbeiter bedarf, schloss das Unternehmen eine sogenannte „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ ab, die eine vorläufige Inbetriebnahme zu Testzwecken genehmigte. Es wurde vereinbart, dass bestimmte personenbezogene Echtdaten wie Personalnummer, Name, Telefonnummer und geschäftliche E-Mail-Adresse an die Konzernobergesellschaft in den USA übermittelt werden dürfen.

Im vorliegenden Fall hat die Beklagte jedoch nicht nur diese Daten übermittelt, sondern auch zusätzliche Informationen wie Gehalt, private Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID.

Urteil des Bundesarbeitsgerichts: Kontrollverlust über Daten als immaterieller Schaden

Der Kläger forderte daraufhin von dem Unternehmen eine Entschädigung in Höhe von 3.000 Euro nach der Datenschutz-Grundverordnung. Er argumentierte, dass die Verarbeitung zusätzlicher, nicht in der Betriebsvereinbarung geregelter Daten datenschutzrechtlich nicht gestattet gewesen sei.

Die Vorinstanzen hatten die Klage abgewiesen, da sie der Meinung waren, dass bloße Befürchtungen über unbefugten Zugriff keinen ersatzfähigen Schaden darstellen. Das Bundesarbeitsgericht sah dies jedoch anders und betonte, dass der Schaden bereits im Kontrollverlust über die Daten liege. Da die ungenehmigte Datenübertragung unnötig war, lag ein Verstoß gegen die Datenschutz-Grundverordnung vor, der den Schadensersatzanspruch rechtfertigte.

Kleine Entschädigungen trotz DS-GVO-Verstoß: EuGH-Rechtsprechung und ihre Auswirkungen

Mit dem Urteil über 200 Euro blieb das Bundesarbeitsgericht deutlich hinter der Forderung des Klägers von 3.000 Euro zurück. Dies steht im Einklang mit der jüngeren Rechtsprechung des Europäischen Gerichtshofs, der entschieden hat, dass der Schadensersatzanspruch nach Artikel 82 der Datenschutz-Grundverordnung keine abschreckende oder strafende Funktion erfüllt (Az. C-687/21).

Wir helfen weiter!

Sollten auch Sie von einer unbefugten Datenübertragung betroffen sein, können Sie sich direkt, unkompliziert und vertrauensvoll an uns wenden. Wir sorgen dafür, dass Ihre Rechte gewahrt bleiben und setzen uns für Sie ein.

Selbstverständlich stehen wir Ihnen auch per E-Mail oder telefonisch zur Verfügung.