Zu viele Daten in Cloud: Arbeitnehmer erhält Schadenersatz nach der DSGVO

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) geltend machen, wenn der Arbeitgeber zu viele personenbezogene Informationen über ihn direkt oder indirekt über eine andere Gesellschaft in die Cloud überträgt. Das hat das Bundesarbeitsgericht mit einem Urteil vom Donnerstag klargestellt (Az.: 8 AZR 209/21). Reich wird der Kläger aber nicht: Er hatte als Ausgleichszahlung für den erlittenen immateriellen Schaden 3000 Euro verlangt. Die Erfurter Richter setzten seinen Anspruch dagegen auf 200 Euro zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem Greifen der DSGVO 2018 fest.

Das beklagte Unternehmen verarbeitete personenbezogene Daten ihrer Beschäftigten unter anderem zu Abrechnungszwecken schon seit vielen Jahren im eigenen Haus mit einer Software zur Personalverwaltung. 2017 plante es, konzernweit auf die cloudbasierte Lösung Workday umzusatteln. Die Firma übertrug dann personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit die Cloud-Variante zunächst für Testzwecke zu befüllen. Der vorläufige Betrieb von Workday war in einer Betriebsvereinbarung duldungsweise geregelt.

Laut der Übereinkunft sollte es der Beklagten erlaubt sein, etwa Namen, Eintrittsdatum, Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse auf einen Server in den USA zu übermitteln. Das Unternehmen ließ es dabei aber nicht bewenden, sondern schickte auch weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID mit.

Kläger hat Kontrollverlust erlitten

Das Landesarbeitsgericht Baden-Württemberg hatte den Schadenersatzanspruch des Betroffenen im Februar 2021 zunächst verneint (Az.: 17 Sa 37/20). Diesem zufolge hätte eine Betriebsvereinbarung eine Datenverarbeitung auch dann rechtfertigen können, wenn letztere auf Basis der gesetzlichen Erlaubnistatbestände gar nicht zulässig gewesen wäre. Die Revision des Klägers gegen dieses Urteil hatte vor dem 8. Senat des Bundesarbeitsgerichts jetzt zumindest teilweise Erfolg. Soweit das beklagte Unternehmen andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen habe, war dies laut den Erfurter Richtern nicht erforderlich und als DSGVO-Verletzung zu werten.

Der immaterielle Schaden des Klägers liege in dem Kontrollverlust, den der Arbeitnehmer durch den Transfer überschießender Informationen an die Konzernmutter erlitten habe, urteilte das Bundesarbeitsgericht. Nicht mehr prüfen musste dieses, ob die Betriebsvereinbarung so ausgestaltet war, dass sie den DSGVO-Anforderungen entsprach: Der Kläger hatte in der mündlichen Verhandlung erklärt, sich nicht weiter darauf zu berufen, ob auch die Übertragung der von der Übereinkunft mit dem Betriebsrat erfassten Daten unnötig gewesen sei.

Um offene Fragen zum EU-Recht klären zu lassen, hatte der 8. Senat zwischenzeitlich den Europäischen Gerichtshof (EuGH) eingeschaltet. Dieser machte unlängst deutlich, dass eine Betriebsvereinbarung klare Vorgaben zur Verarbeitung von Arbeitnehmerdaten enthalten muss. Dabei müsse die DSGVO als Richtschnur beachtet werden. Ferner genüge es nicht, die Pflichten des Unternehmens nur oberflächlich in einer Betriebsvereinbarung anzugeben.

(nen)