Im verhandelten Fall plante ein Unternehmen, ein konzernweit einheitliches Personal-Informationsmanagementsystem einzuführen. Aus diesem Grund übertrug der Arbeitgeber personenbezogene Daten des Mitarbeiters aus der bisher genutzten Personalverwaltungs-Software an die Konzernobergesellschaft, um das neue System testweise damit zu befüllen. Der vorläufige Testbetrieb war in einer Betriebsvereinbarung geregelt. Demnach sollte es dem Arbeitgeber erlaubt sein, unter anderem den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Der Arbeitgeber übermittelte jedoch darüber hinaus weitere persönliche Daten des Mitarbeiters wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Beschäftigte forderte gemäß Art. 82 Abs. 1 DSGVO einen Schadenersatz in Höhe von 3.000 Euro, weil der Arbeitgeber die Grenzen der Betriebsvereinbarung überschritten habe. In der Revision vor dem BAG hatte die Klage teilweise Erfolg, denn das Gericht wertete das Vorgehen des Arbeitgebers als Verstoß gegen die DSGVO. Das BAG hielt die Weitergabe von anderen als den in der Betriebsvereinbarung festgelegten personenbezogenen Daten für nicht erforderlich im Sinne der DSGVO und sprach dem Arbeitnehmer einen Anspruch auf Schadenersatz in Höhe von 200 Euro zu. Der immaterielle Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust, so das BAG.
BAG, Urteil vom 8. Mai 2025, 8 AZR 209/21