Das Bundesarbeitsgericht hat die Möglichkeit für immaterielle Schadensersatzansprüche bei unzulässigem Datentransfer im Rahmen eines neuen Urteils geschaffen. Unternehmen sollten die in diesem Kontext auftretenden Risiken ernst nehmen und geeignete Maßnahmen zur Einhaltung der DSGVO implementieren.
Der Umgang mit personenbezogenen Daten ist für Unternehmen von zentraler Bedeutung. Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) birgt weitreichende Folgen für den Arbeitnehmerdatenschutz. Insbesondere die unzulässige konzerninterne Weitergabe von Mitarbeiterdaten kann nicht nur rechtliche Sanktionen, sondern auch immaterielle Schadensersatzansprüche nach sich ziehen, was Unternehmen in ihrer Haftung erheblich tangiert.
Urteil des Bundesarbeitsgerichts
Am 8. Mai 2025 entschied das BAG in einem Fall, der sich mit der unzulässigen Datenweitergabe im Rahmen der Testphase der HR-Software „Workday“ beschäftigte. Der Kläger, ein Betriebsratsvorsitzender, erhielt aufgrund des unrechtmäßigen Datentransfers personenbezogener Daten an eine US-amerikanische Konzernobergesellschaft einen Schadensersatz von 200 Euro. Dies markiert einen entscheidenden Schritt, da der BAG den Kontrollverlust über persönliche Daten als immateriellen Schaden anerkennt.
Vorgeschichte des Urteils
Der Arbeitgeber hatte während der Testphase von „Workday“ auch sensible Daten wie Gehaltsinformationen und Sozialversicherungsnummern übermittelt, die über den im Rahmen einer „Duldungs-Betriebsvereinbarung“ erlaubten Datenumfang hinausgingen. Das Gericht stellte fest, dass die Weitergabe personenbezogener Daten nicht erforderlich war, was die Entscheidung zugunsten des Klägers begünstigte.
Relevanz für die Unternehmen
Unternehmen sind nun aufgefordert, ihre Datenschutzpraktiken zu überprüfen und gegebenenfalls anzupassen. Die Entscheidung verdeutlicht die Notwendigkeit, nicht nur die Erforderlichkeit der Datenverarbeitung während der Implementierungsphase neuer Systeme zu hinterfragen, sondern auch sicherzustellen, dass die geltenden DSGVO-Vorgaben eingehalten werden. Unzulässige Datentransfers können gravierende rechtliche und finanzielle Konsequenzen nach sich ziehen.
Strategische Maßnahmen zur Verbesserung des Datenschutzes
In Anbetracht der dargestellten Risiken sind Unternehmen gut beraten, grundlegende Maßnahmen zur Verbesserung ihrer Datenschutzstrategie zu implementieren. Dazu zählen:
- Durchführung regelmäßiger Sicherheitsüberprüfungen zur Identifizierung von Schwachstellen.
- Kontinuierliche Schulung der Mitarbeitenden zu den Themen Datenschutz und Datensicherheit.
- Etablierung klar definierter Standards und Richtlinien für den Umgang mit personenbezogenen Daten.
- Einrichtung restriktiver, rollenbasierter Zugriffsrechte auf sensitive Informationen.
- Vorsorgende Planung und Prüfung von IT-Systemen bereits in der Testphase.
- Einbeziehung rechtlicher Aspekte bei der Aufstellung von Betriebsvereinbarungen.
Fazit: Bedeutung für Unternehmen und Risikominderung
Das aktuelle Urteil des BAG zeigt, dass der Kontrollverlust über personenbezogene Daten ein ernst zu nehmendes Risiko darstellt, das sowohl rechtliche Ansprüche als auch wirtschaftliche Schäden nach sich ziehen kann. Unternehmen müssen sich der Bedeutung von Datenschutz und Datensicherheit bewusst werden und geeignete Maßnahmen ergreifen, um sich sowohl rechtlich als auch wirtschaftlich abzusichern.
Rufen Sie uns an
Setzen Sie sich mit Tulos in Verbindung, um Ihre Datenschutzstrategien zu stärken. Erfahren Sie mehr über die Implementierung effektiver Datenschutzaudits und -schulungen auf unserer Website: Datenschutz.
