Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen. Das hat das Bundesarbeitsgericht (BAG) mit Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) entschieden.

 Dem Urteil liegt folgender Sachverhalt zugrunde:

 Die Beklagte verarbeitet personenbezogene Daten ihrer Beschäftigten u.a. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit die Software „Workday“ als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit „Workday“ zu Testzwecken zu befüllen. Der vorläufige Testbetrieb war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, u.a. den Namen des Mitarbeiters, das Eintrittsdatum, den Arbeitsort, den Namen des Arbeitgebers sowie die geschäftliche Telefonnummer und E-Mail-Adresse des Mitarbeiters zu übermitteln. Die Beklagte übermittelte zusätzlich weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

 Der Kläger vertrat die Auffassung, die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten. Auf dieser Grundlage forderte er wegen einer Verletzung der ab dem 25. Mai 2018 geltenden DSGVO einen immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO i.H.v. 3.000,00 Euro .

 Die Vorinstanzen haben die Klage abgewiesen.

 Mit Beschluss vom 22. September 2022 (Az. 8 AZR 209/21 (A)) setzte der 8. Senat des BAG das Revisionsverfahren aus und ersuchte den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts. Der EuGH hat diese Fragen mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.

 Im Anschluss an die Entscheidung des EuGH setzte der 8. Senat des BAG das Revisionsverfahren fort und gab dem Kläger im Ergebnis teilweise recht. Danach hat der Kläger gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO i.H.v. 200,00 Euro.

 Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies aus Sicht des BAG nicht erforderlich i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und damit rechtswidrig. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust.

 Der Kläger habe in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf berufe, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hat aus diesem Grund nicht geprüft, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden. Diesbezügliche Hinweise für die Praxis werden also einer zukünftigen Entscheidung vorbehalten bleiben müssen.