Datenweitergabe: Arbeitgeber zu Schadenersatz verurteilt

Ein Unternehmen plante, konzernweit ein einheitliches Personal-Informationsmanagementsystem einzuführen. Aus diesem Grund wurden personenbezogene Daten aus der Personalverwaltungssoftware an die Konzernobergesellschaft übertragen, um damit die neue Software zu Testzwecken zu befüllen. Der vorläufige Testbetrieb war in einer Betriebsvereinbarung geregelt. Demnach sollte es dem Arbeitgeber erlaubt sein, unter anderem den Namen, das Eintrittsdatum und den Arbeitsort sowie die geschäftliche Telefonnummer und eMail-Adresse zu übermitteln. Darüber hinaus wurden jedoch weitere Daten wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, der Familienstand, die Sozialversicherungsnummer und die Steuer-ID übertragen.

Ein Mitarbeiter wehrte sich dagegen und forderte gemäß Art. 82 Abs. 1 DSGVO einen immateriellen Schadenersatz in Höhe von 3.000 EUR. In der Revision vor dem BAG hatte die Klage teilweise Erfolg. Das BAG sprach dem Kläger einen Anspruch auf Schadenersatz in Höhe von 200 EUR zu. Nach Ansicht der Erfurter Richter war die Weitergabe von anderen Daten als den in der Betriebsvereinbarung festgelegten nicht erforderlich im Sinne der DSGVO, sie werteten das Vorgehen des Arbeitgebers im vorliegenden Fall als Verstoß gegen die Datenschutzbestimmungen. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten verursachten Kontrollverlust.