DSGVO-Schadensersatz bei Datenverarbeitung im Konzern

Die Rechtsprechung zur -Grundverordnung () gewinnt zunehmend an Präzision – insbesondere im arbeitsrechtlichen Kontext. In einem bemerkenswerten Verfahren, das seinen Ausgang im Jahr 2018 nahm und schließlich bis vor den Europäischen Gerichtshof (EuGH) gelangte, wurden gleich mehrere Grundsatzfragen aufgeworfen: Wie weit reicht die kollektive Regelungsmacht über Beschäftigtendaten? Wann ist die Verarbeitung personenbezogener Daten im Arbeitsverhältnis zulässig? Und wann löst eine solche Verarbeitung immateriellen Schadensersatz aus?

Der Fall – unter dem Aktenzeichen 8 AZR 209/21 – ist deshalb nicht nur juristisch hochkarätig, sondern auch für das Management relevant, das zunehmend mit der Verzahnung von Datenschutz, HR-Software und Betriebsverfassung konfrontiert ist.

Sachverhalt

Der Kläger ist seit den 1980er Jahren bei der Beklagten – einem Unternehmen der Zahnmedizintechnik – beschäftigt. Im Zuge der Einführung der cloudbasierten HR-Software „Workday“ im damaligen D-Konzern, zu dem die Beklagte damals gehörte, wurden Daten von SAP nach Workday migriert. Dies geschah zunächst testweise und auf Basis einer sogenannten „Duldungs-Betriebsvereinbarung“, die eine vorläufige Nutzung unter engen Bedingungen erlaubte. Enthalten waren klare Vorgaben zur Art und dem Umfang der zulässigen Datenübermittlung.

Tatsächlich aber übermittelte die Arbeitgeberin nicht nur geschäftliche Kontaktdaten, sondern auch sensible persönliche Informationen wie Gehaltsdaten, die Sozialversicherungsnummer und die Steuer-ID – unter anderem auf US-Server. Der Kläger machte geltend, dass die Datenverarbeitung über das zulässige Maß hinausging, nicht erforderlich war und zu einem immateriellen Schaden führte. Seine auf Auskunft, Löschung und insbesondere Schadensersatz nach Art. 82 DSGVO stieß bei den Vorinstanzen auf Ablehnung – unter anderem, weil kein nachweisbarer Schaden vorliege.

Verfahrensgang und Vorlage an den EuGH

Nach der Abweisung seiner Klage durch das Ulm und die Berufung durch das Landesarbeitsgericht Baden-Württemberg, legte der Kläger Revision zum Bundesarbeitsgericht (BAG) ein. Dieses sah erheblichen Klärungsbedarf bei der Anwendung und Auslegung der DSGVO im Beschäftigungskontext und legte am 22.09.2022 sechs Fragen dem EuGH vor. Das BAG reagierte auf zwischenzeitliche Rückfrage des EUGH, indem es mit Beschluss vom 25.04.2024 die Vorlagefragen 4 bis 6 zurückzog, weil sie durch die EuGH-Rechtsprechung inzwischen geklärt seien.

Immaterieller Schadensersatz für Arbeitnehmer bei Datenübermittlung in die USA

Der EuGH entschied am Ende, dass selbst bei kollektivrechtlich geregelter Datenverarbeitung stets sämtliche materiellen Anforderungen der DSGVO – insbesondere aus Art. 5, 6 und 9 – einzuhalten sind. Zudem verwarf er nationale Einschränkungen hinsichtlich eines „Erheblichkeitsschwellenwerts“ für immaterielle Schäden. Damit stellte er klar: Schon ein geringfügiger, aber realer immaterieller Schaden ist ersatzfähig – allerdings muss der Schaden konkret dargelegt sein.

EUGH zu Datenschutz im Beschäftigungskontext: Datenverarbeitung auf Basis einer Kollektivvereinbarung

Juristische Analyse

Kollektivvereinbarungen und die DSGVO: kein Freibrief

Zentrale Frage war, ob eine Betriebsvereinbarung – wie die BV Duldung – ausreicht, um eine rechtmäßige Verarbeitung i.S.d. DSGVO zu legitimieren. Der EuGH hat diese Vorstellung dezidiert zurückgewiesen. Kollektivvereinbarungen stellen lediglich eine formale Rechtsgrundlage dar. Materiell müssen die Verarbeitungen aber erforderlich, zweckgebunden und verhältnismäßig sein. Es genügt also nicht, dass Betriebsparteien sich einig sind – sie müssen sich auch innerhalb des europäischen Rechtsrahmens bewegen.

Für Unternehmen bedeutet dies: Die Existenz einer Betriebsvereinbarung kann keine Abwägung unterlassen oder rechtswidrige Praxis legitimieren. Betriebsvereinbarungen müssen präzise, datensparsam und transparent formuliert sein.

Datenübermittlung in Drittstaaten: Vorsicht bei US-Servern

Auch wenn der Kläger seine ursprüngliche Kritik an der Übermittlung in die USA im Revisionsverfahren nicht mehr aufrechterhielt, offenbart der Fall doch ein sensibles Problemfeld: die Übermittlung personenbezogener Daten in Drittländer. Das datenschutzrechtliche Risikopotenzial solcher Transfers ist erheblich – nicht nur im Lichte von Schrems II. Unternehmen sind hier gefordert, frühzeitig durch technische, organisatorische und vertragliche Maßnahmen (etwa Standardvertragsklauseln) DSGVO-Konformität sicherzustellen.

EU-US Data Privacy Framework wankt: Wie Trumps Politik europäische Unternehmen bedroht

Schadensersatz nach Art. 82 DSGVO: keine Bagatellgrenze, aber konkrete Darlegung

Nach dem aktuellen Stand der EuGH-Rechtsprechung bedarf es dreier kumulativer Voraussetzungen für den Anspruch aus Art. 82 DSGVO: eines Verstoßes, eines Schadens und eines Kausalzusammenhangs. Der EuGH hat klargestellt, dass eine nationale Praxis, die immaterielle Schäden nur bei „erheblicher Beeinträchtigung“ anerkennt, mit Unionsrecht unvereinbar ist.

Jedoch bleibt es dabei: Unbehagen allein reicht nicht. Der Kläger muss konkret darlegen, wie sich die Datenverarbeitung auf seine Person ausgewirkt hat – sei es durch Kontrollverlust, konkrete Angst vor Missbrauch oder soziale Folgen. Dies erfordert eine stringente und substantiierte Argumentation, insbesondere in Fällen ohne externe Datenlecks.

Spielraum der Betriebsparteien und gerichtliche Kontrolle

Das BAG fragte ferner, ob Betriebsparteien bei der Beurteilung der Erforderlichkeit einen Einschätzungsspielraum genießen, der nur eingeschränkt überprüfbar ist. Auch hier ist der EuGH zurückhaltend: Selbst wenn kollektive Vereinbarungen ein berechtigtes Mittel zur Regelung datenschutzrelevanter Fragen darstellen, entbinden sie die Gerichte nicht von ihrer Prüfpflicht. Dies stärkt die gerichtliche Kontrolle und schützt Beschäftigte vor informellen „Deals“, die hinter dem Rücken der Betroffenen Grundrechte tangieren.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Bewertung: Was ist zu tun?

Der mehrjährige Rechtsstreit um die datenschutzrechtliche Zulässigkeit der Workday-Einführung zeigt exemplarisch, wie anspruchsvoll und komplex die DSGVO im Unternehmenskontext ist. Betriebsvereinbarungen bieten zwar eine notwendige Basis, doch ihre inhaltliche Qualität und Einbettung in die europäischen Datenschutzvorgaben sind entscheidend.

Für das Management ergibt sich daraus:

  • Die Einführung neuer IT-Systeme mit personenbezogenen Daten muss stets datenschutzrechtlich flankiert werden – auch in der Testphase.
  • Betriebsvereinbarungen sind kein Blankoscheck und müssen materiell DSGVO-konform sein.
  • Schadensersatzrisiken bestehen auch bei subjektiv empfundenen Eingriffen – die Schwelle ist niedrig, aber der Schaden muss konkret benannt werden.

Quintessenz

Das Verfahren 8 AZR 209/21 steht stellvertretend für die zunehmende Verzahnung von Arbeitsrecht, Datenschutz und Unternehmenspraxis. Es zeigt, dass Datenschutz nicht als -Bürde, sondern als Gestaltungsaufgabe zu verstehen ist – ein Bereich, in dem Management, IT und Rechtsabteilung gemeinsam (heißt: koordiniert!) agieren müssen. Die DSGVO hat in Deutschland schon längst das arbeitsrechtliche Feld erreicht – was aber nicht heißt, dass alles geklärt ist. Vorliegend wird sehr deutlich, dass auch (scheinbar) einfache Fragen zur DSGVO im Arbeitsverhältnis am Ende gute 7 Jahre Zeit und Geld kosten können.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.