Eine Übermittlung solcher Daten kann bei fehlender Berechtigung schadensersatzpflichtig machen.
Bei der Verarbeitung personenbezogener Daten von Beschäftigten stellt sich für den Arbeitgeber stets die Frage der datenschutzrechtlichen Zulässigkeit. Neben einer gesetzlichen Ermächtigungsnorm und der Einwilligung des betroffenen Beschäftigten kann auch eine Betriebsvereinbarung eine Erlaubnisgrundlage für die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses sein. Hält sich der Arbeitgeber nicht an die Vorgaben der jeweiligen Erlaubnisgrundlage, setzt er sich dem Risiko von Schadensersatz und Bußgeldern aus.
In diesem Zusammenhang ist eine aktuelle Entscheidung des BAG vom 08.05.2025 – 8 AZR 209/21 – von Interesse. Danach kann ein Arbeitnehmer einen Anspruch auf Schadensersatz wegen einer Verletzung der DS-GVO haben, wenn der Arbeitgeber ohne Erlaubnisgrundlage personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen. Der immaterielle Schaden liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Das BAG sprach dem Kläger einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO in Höhe von 200,00 Euro zu.
Mitgliedsunternehmen können nähere Informationen dem A-Rundschreiben zum gleichen Thema entnehmen, das im ArbeitgeberNet unter „A-Rundschreiben“ und dort unter „Aktuelles“ gespeichert ist.
