FEHLER!

Bundesarbeitsgericht stärkt Datenschutz: Schadensersatzansprüche bei DSGVO-Verstößen

Ein Arbeitnehmer kann aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) Schadensersatzansprüche geltend machen, wenn sein Arbeitgeber personenbezogene Daten über ihn in die Cloud transferiert, insbesondere wenn dies in überhöhter Menge erfolgt oder unzulässige Informationen mit übertragen werden. Das Bundesarbeitsgericht hat diese Rechtsgrundlage jüngst in einem Urteil vom Donnerstag (Az.: 8 AZR 209/21) präzisiert und deutlichgestellt, dass eine solche Datenübertragung im Widerspruch zur DSGVO steht, wenn sie über die in einer Betriebsvereinbarung festgelegten Grenzen hinausgeht.

Im konkreten Fall hatte ein Unternehmen Personalinformationen seiner Mitarbeiter für den Testbetrieb einer cloudbasierten Software (Workday) transferiert. Während die Betriebsvereinbarung die Verarbeitung bestimmter Daten für diesen Zweck erlaubte, überstiegen die tatsächlich übertragenen Informationen diese Grenzen. Das Gericht sah dies als Verletzung der DSGVO und entschied zugunsten des Klägers, der durch diesen Datentransfer einen Kontrollverlust über seine persönlichen Daten erfahren hatte. Dieser Kontrollverlust stellt eine immaterielle Schädigung dar, für die Schadensersatzansprüche geltend gemacht werden können.

Die Entscheidung unterstreicht die Bedeutung einer detaillierten und DSGVO-konformen Ausgestaltung von Betriebsvereinbarungen im Bereich der Arbeitnehmerdatenverarbeitung. Es reicht nicht aus, lediglich oberflächlich die Pflichten des Unternehmens anzugeben; klare Vorgaben zur Verarbeitung müssen getroffen werden, wobei die DSGVO als Leitfaden dienen muss. Der EuGH hatte zuvor in diesem Zusammenhang bereits betont, dass eine Betriebsvereinbarung präzise und umfassend sein muss, um den Anforderungen der DSGVO gerecht zu werden.

Das Bundesarbeitsgericht reichte die Klärung offener Fragen zum EU-Recht durch einen Antrag beim Europäischen Gerichtshof (EuGH) ein, der im Zuge des Verfahrens klargestellt hat, dass eine Betriebsvereinbarung konkrete und detaillierte Regelungen zur Datenverarbeitung von Arbeitnehmern enthalten muss, wobei die DSGVO als maßgebliche Grundlage dienen soll. Die oberflächliche Angabe der Pflichten des Unternehmens in einer Betriebsvereinbarung reicht nicht aus.

Das Urteil verdeutlicht somit, dass sowohl Arbeitgeber als auch Betriebsräte besondere Aufmerksamkeit auf eine sorgfältige und DSGVO-konforme Gestaltung von Regelungen im Bereich der Arbeitnehmerdatenverarbeitung legen müssen, um Verstöße zu vermeiden und den Schutz der Persönlichkeitsrechte der Arbeitnehmer zu gewährleisten.

Schlagwörter: DSGVO + EuGH + Workday

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 10. Mai 2025