Schadensersatzanspruch von Arbeitnehmern nach DSGVO-Verletzung
Arbeitnehmer können einen Schadensersatzanspruch aufgrund einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.
Hintergrund
Die DSGVO ist eine EU-weite Regelung, die den Schutz personenbezogener Daten sicherstellt und klare Vorgaben zur Erhebung, Verarbeitung und Speicherung dieser Daten macht. Arbeitgeber müssen diese Vorgaben auch im Hinblick auf ihre Mitarbeiterdaten beachten, wie ein aktueller Fall des Bundesarbeitsgerichts (BAG) zeigt.
Ein Arbeitgeber plante den Einsatz einer neuen Software für Personalverwaltung. Für den vorläufigen Testbetrieb übermittelte das Unternehmen deshalb personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft.
Dabei handelte es sich um sensible Informationen des klagenden Mitarbeiters, wie
- Gehaltsinformationen,
- die private Wohnanschrift,
- das Geburtsdatum,
- den Familienstand,
- die Sozialversicherungsnummer und
- die Steuer-ID.
Der Mitarbeiter war der Ansicht, dass hier ein Verstoß gegen die DSGVO vorliege und die Grenzen der Betriebsvereinbarung überschritten worden seien. Er klagte auf Schadensersatz.
Entscheidung
Vor dem BAG bekam er teilweise recht: Er erhält 200 EUR, weil er durch die unzulässige Datenweitergabe die Kontrolle über seine persönlichen Informationen verloren hat. Das Urteil zeigt: Arbeitgeber müssen beim Umgang mit Mitarbeiterdaten genau prüfen, was erlaubt ist – und was nicht.