Ein Unternehmen übermittelte personenbezogene Daten eines Mitarbeiters aus der betrieblichen SAP-Software an die Konzernmutter in den USA. Mit den Daten sollte eine cloudbasierte Software namens Workday zu Testzwecken befüllt werden. Geregelt war der vorläufige Testbetrieb in einer Betriebsvereinbarung, die es dem Unternehmen erlaubte, Namen, Eintrittsdatum, Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse der Beschäftigten für den Test zu übermitteln. Das Unternehmen hielt sich allerdings nicht an diese Vorgaben und überließ dem Testsystem außerdem Daten wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Kontrollverlust über Daten
Als der betreffende Beschäftigte davon Kenntnis bekam, verklagte er seine Arbeitgeberin. Ihm stehe nach Art. 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO) ein immaterieller Schadenersatz von 3.000 € zu. Das BAG bestätigte einen Schadensersatzanspruch des Mitarbeiters, nachdem es zuvor den Europäischen Gerichtshof (EuGH) in dieser Frage angerufen hatte. Die Richter sprachen dem Arbeitnehmer einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 € zu. Die Arbeitgeberin hatte klar gegen die DSGVO verstoßen. Der immaterielle Schaden des Beschäftigten lag nach Ansicht des Gerichts in dem Kontrollverlust, der sich durch die Überlassung der personenbezogenen Daten an die Konzernmutter ergeben hatte.