PFGC,
DSGVO & Workday: BAG erkennt Kontrollverlust als Schaden an
Das BAG hat entschieden: Die unzulässige Verarbeitung personenbezogener Echtdaten zu Testzwecken kann einen immateriellen Schaden darstellen – auch bei nur kurzzeitigem Kontrollverlust. Arbeitgeber müssen Datenschutzvereinbarungen strikt einhalten.
(BAG, Urteil vom 08.05.2025 – 8 AZR 209/21)
Hintergrund: Ein Betriebsratsvorsitzender klagte auf immateriellen Schadensersatz, weil seine personenbezogenen Daten – darunter Gehalt, Steuer-ID und Familienstand – ohne ausreichende Rechtsgrundlage in eine cloudbasierte Testumgebung (Workday) übertragen wurden.
Entscheidung: Das BAG sprach dem Kläger 200 € Schadensersatz zu. Die Übertragung personenbezogener Daten, die nicht von der Betriebsvereinbarung gedeckt war, stellte einen Verstoß gegen die DSGVO dar. Der Verlust der Kontrolle über die eigenen Daten – auch wenn nur kurzzeitig – sei ein ersatzfähiger immaterieller Schaden.
Bedeutung für die Praxis:
- Testzwecke rechtfertigen keine übermäßige Datenverarbeitung.
- Betriebsvereinbarungen müssen DSGVO-konform ausgestaltet sein.
- Unternehmen sollten bei Softwaretests auf „Dummy-Daten“ zurückgreifen und Datenschutzfolgenabschätzungen durchführen.