Wer ohne Rechtsgrundlage sensible Daten mit einer anderen Gesellschaft innerhalb des Konzerns teilt, kann schadenersatzpflichtig werden

Wie üblich in der IT, sollte zunächst ein Test der Software erfolgen. Hierfür schlossen das Unternehmen und der Betriebsrat eine Betriebsvereinbarung, welche es dem Unternehmen gestattete, bestimmte personenbezogene Daten der Beschäftigten (u. a. Namen, Eintrittsdatum, Arbeitsort und geschäftliche Kontaktdaten) für den Testlauf an die Konzernobergesellschaft zu übermitteln. Während der Testphase entdeckte ein Mitarbeiter, dass mehr Daten übermittelt wurden, als in der Betriebsvereinbarung vereinbart. So wurden u. a. auch private Wohnanschriften, Steuer-IDs und Gehaltsdaten an die Konzernmuttergesellschaft weitergegeben. Der betroffene Arbeitnehmer forderte daraufhin Schadensersatz gemäß § 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO). Nachdem die Vorinstanzen die Klage abgewiesen hatten und das Bundesarbeitsgericht (BAG) das Revisionsverfahren aussetzte, um den Europäischen Gerichtshof (EUGH) um Beantwortung von Rechtsfragen betreffend der Auslegung des Unionsrechts in diesem Fall zu befragen, gab das BAG dem Kläger im Revisionsverfahren dahingehend Recht, dass diesem Schadenersatz zusteht. Die Beklagte habe mehr personenbezogene Daten an die Konzernobergesellschaft übermittelt, als es die Betriebsvereinbarung zuließ. Diese Übertragung sei nicht erforderlich gewesen im Sinne von Art. 6 Abs. 1 lit. f DSGVO (Rechtmäßigkeit der Verarbeitung aufgrund berechtigter Interessen) und habe somit gegen die DSGVO verstoßen. Der immaterielle Schaden liege in dem durch die Überlassung der personenbedingten Daten an die Konzernobergesellschaft verursachtem Kontrollverlust (BAG, Urteil vom 8. Mai 2025, Az. 8 AZR 209/21).