Home Blog Kontrollverlust über Ech…
Zurück
seitz.digital

Kontrollverlust über Echtdaten: BAG spricht Schadensersatz nach Art. 82 DSGVO bei konzerninterner Testdatenübermittlung bei „Workday“ zu

Home Blog Kontrollverlust über Ech…
Zurück
Autoren
Profilbild von Dr. Kevin Leibold
Dr. Kevin Leibold
Datum

20. August 2025

Diesen Beitrag teilen

Mit Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) hat das Bundesarbeitsgericht („BAG“) einem Arbeitnehmer immateriellen Schadensersatz nach Art. 82 Datenschutz-Grundverordnung („DSGVO“) zugesprochen. Grund war die unzulässige Übermittlung echter Beschäftigtendaten an die Konzernobergesellschaft in den USA zu Testzwecken. Nach Auffassung des Gerichts reicht bereits der Verlust der Kontrolle über personenbezogene Daten aus, um einen ersatzfähigen immateriellen Schaden zu begründen.

I. Der Fall

Der Kläger war langjähriger Mitarbeiter und Betriebsratsvorsitzender. Sein Arbeitgeber testete die Einführung von „Workday“ und übermittelte hierfür Daten an die Konzernobergesellschaft in Washington D.C. Grundlage war eine sogenannte Duldungs-Betriebsvereinbarung („BV Duldung“), die nur bestimmte Daten – wie Personalnummer, Name, Eintrittsdatum oder geschäftliche Kontaktdaten – freigab.

Tatsächlich wurden jedoch auch sensible Daten wie Gehalt, Privatanschrift, Geburtsdatum, Familienstand, Steuer-ID und Sozialversicherungsnummer übermittelt. Diese waren von der BV Duldung nicht gedeckt.

Der Kläger verlangte 3.000 Euro immateriellen Schadensersatz wegen unzulässiger Datenübermittlung. Er argumentierte, es hätte für Testzwecke ausgereicht, Dummy-Daten zu verwenden. Mögliche Verstöße gegen Art. 28 und Art. 44 ff. DSGVO wegen der Übermittlung der Daten in die USA verfolgte der Kläger im Revisionsverfahren nicht mehr weiter.

Die Beklagte bestritt Verstöße gegen Datenschutzrecht und das Vorliegen eines immateriellen Schadens. Die Vorinstanzen hatten die Klage abgewiesen. Das Bundesarbeitsgericht setzte mit Beschluss vom 22. September 2022 (8 AZR 209/21 (A)) das Revisionsverfahren aus und legte dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Auslegung des Unionsrechts vor, insbesondere zu den Anforderungen einer Betriebsvereinbarung (vgl. hierzu unseren Blogbeitrag vom 20. März 2025) unter der DSGVO und den Anforderungen an einen immateriellen Schaden nach Art. 82 DSGVO. Die Fragen zu Art. 82 DSGVO zog das BAG nach einem Hinweis des EuGH auf in der Zwischenzeit ergangene Urteile des EuGH dann jedoch wieder zurück. Über das Vorabentscheidungsersuchen des BAG hat der EuGH mit Urteil vom 19. Dezember 2024 (C-65/23) entschieden.

II. Entscheidung

Das BAG sprach dem Kläger einen Schadensersatz in Höhe von 200 Euro nach Art. 82 Abs. 1 DSGVO zu. Das Gericht stellte zunächst die gefestigte Rechtsprechung dar, wonach ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO (1) einen Verstoß gegen die DSGVO, (2) das Vorliegen eines materiellen oder immateriellen Schadens sowie (3) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraussetzt, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen.

1. Verstoß gegen die DSGVO

Zunächst stellte das BAG fest, dass die Beklagte gegen die DSGVO verstoßen habe, indem sie personenbezogene Daten des Klägers, die nicht von der BV Duldung erfasst waren, in das Testsystem übermittelte. Ausdrücklich offengelassen hat das Gericht, ob die BV Duldung mit den Anforderungen des Art. 88 DSGVO im Einklang stand, da der Kläger sich nicht mehr darauf beruft hatte, dass ein Verstoß gegen die DSGVO auch in Bezug auf diejenigen Daten vorliege, deren Übertragung in Einklang mit der BV Duldung steht.

Das Gerichte bejahte dahingehend einen Verstoß gegen die DSGVO, dass die Beklagte die von der BV Duldung nicht erfassten personenbezogenen Daten des Klägers auf eine Sharepoint-Seite der Konzernobergesellschaft übertragen hatte, um damit Daten in die Software Workday einzuspeisen und diese dort zu verarbeiten. Für diese Übermittlung und nachfolgende Verarbeitung bestand keine Rechtsgrundlage.

a. Unanwendbarkeit des § 26 Abs. 1 BDSG

Die Übermittlung konnte nach Ansicht des BAG nicht auf die Rechtsgrundlage des Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG gestützt werden, da § 26 Abs. 1 BDSG unangewendet bleiben müsse.

§ 26 Abs. 1 BDSG erfülle die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht. Spezifischere Vorschriften i.S.d. Art. 88 DSGVO müssten über eine bloße Wiederholung der DSGVO hinausgehen, einen eigenständigen Regelungsgehalt haben und besondere Maßnahmen zum Schutz der Rechte und Freiheiten der Beschäftigten vorsehen. Daran fehle es bei § 26 Abs. 1 BDSG, da er keine besonderen Schutzmaßnahmen nach Art. 88 Abs. 2 DSGVO enthalte.

§ 26 Abs. 1 BDSG stelle auch keine Rechtsgrundlage i.S.v. Art. 6 Abs. 3 DSGVO dar. Die Beklagte hatte weder geltend gemacht noch sei sonst ersichtlich, dass die Verarbeitung der personenbezogenen Daten des Klägers in Workday zur Erfüllung einer rechtlichen Pflicht i.S.v. Art. 6 Abs. 1 S. 1 lit. c DSGVO, oder für die Wahrnehmung einer Aufgabe, die i.S.v. Art. 6 Abs. 1 S. 1 lit. e DSGVO im öffentlichen Interesse liegt, erforderlich gewesen sei.

b. Keine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO

Eine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO sei ebenfalls ausgeschlossen. Zwar könne ein vorläufiger Testbetrieb mit Echtdaten grundsätzlich zulässig sein, wenn entpersonalisierte sog. Dummy-Versuchsdaten nicht ausreichen. Doch hatten Beklagte und Betriebsrat in der BV Duldung genau festgelegt, welche Daten für den Testbetrieb erforderlich seien. Dass darüberhinausgehende Daten – wie private Kontaktdaten oder Vergütungsdetails – notwendig gewesen wären, habe die Beklagte nicht behauptet. Das BAG scheint damit davon ausgehen, dass eine Betriebsvereinbarung eine Indizwirkung für die Erforderlichkeit einer Datenverarbeitung habe.

Wichtig ist jedoch die Feststellung des Gerichts, dass die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungs-Software zu testen, nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein kann, sofern entpersonalisierte „Dummy-Daten“ zur Erreichung des Testzwecks nicht ausreichen.

c. Keine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO

Auch Art. 6 Abs. 1 S. 1 lit. b DSGVO (Arbeitsvertrag) rechtfertige die Datenübermittlung an die Konzernobergesellschaft nicht. Die Nutzung von personenbezogenen Echtdaten zu Testzwecken für eine Softwareumstellung stelle nach Ansicht des BAG aber wohl eine Weiterverarbeitung i.S.v. Art. 5 Abs. 1 lit. b DSGVO dar, die einem anderen Zweck dient als demjenigen, für den die Daten ursprünglich erhoben worden sind. Die Verarbeitung diene daher nicht mehr der Erfüllung des Arbeitsvertrags und sei zudem auch dafür nicht erforderlich.

2. Kausaler Schaden in Form eines Kontrollverlusts

Das BAG bejahte – in Übereinstimmung mit der Rechtsprechung des EuGH – einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO. Bereits der kurzfristige Verlust der Kontrolle über personenbezogene Daten könne einen solchen kausalen Schaden begründen, „so geringfügig er auch sein mag“. Der Schaden habe hier im Kontrollverlust über die unzulässig übermittelten Daten an die Konzernobergesellschaft und deren weitere Verarbeitung in „Workday“ bestanden.

In einem Nebensatz stellt das BAG fest, dass dieser Kontrollverlust nicht mit einer verspäteten Auskunft nach Art. 15 DSGVO gleichzusetzen sei, die für sich genommen keinen Kontrollverlust über Daten i.S.d. Gefahr einer missbräuchlichen Verwendung bedeute, sondern nur einen Zeitverzug hinsichtlich der Auskunft begründet.

3. Bemessung des Schadensersatzes

Bei der Bemessung des Schadensersatzes stellte das BAG zunächst darauf ab, dass die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu beachten seien. Bei der Bemessung des Schadensersatzes stellte das Gericht auf die Sensibilität der betroffenen Daten, den auf den Konzern begrenzten Empfängerkreis und die Dauer des Kontrollverlustes ab. Ein Betrag von 200 Euro sei erforderlich, aber auch ausreichend, um den Schaden auszugleichen. Die Übermittlung in ein Drittland (USA) spielte keine Rolle, da der Kläger dies nicht mehr gerügt hatte.

III. Bedeutung für die Praxis

Das Urteil mahnt zur Vorsicht: Auch Testbetriebe innerhalb eines Konzerns müssen datenschutzrechtlich sauber aufgesetzt sein. Wer über Betriebsvereinbarungen hinausgeht oder Echtdaten ohne klare Erforderlichkeit übermittelt, riskiert nicht nur Verstöße gegen die DSGVO – sondern auch Schadensersatzforderungen. Die Tatsache, dass die Höhe des Schadensersatzes vergleichsweise gering, darf nicht darüber hinwegtäuschen, dass in solchen Konstellationen eine Vielzahl von Beschäftigten betroffen sein können. Die Zahl der Anspruchsteller und die Zahl der möglichen Klagen kann sich daher vervielfachen.

Zusammengefasst können dem Urteil folgende Key Take-aways entnommen werden:

  • § 26 Abs. 1 BDSG nicht mehr anwendbar: § 26 Abs. 1 BDSG kann nicht mehr als Rechtsgrundlage verwendet werden. Hieraus ergeben sich ggf. Anpassungen an Datenschutzhinweisen nach Art. 13, 14 DSGVO und dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
    • Das BAG hat nicht zwischen den Sätzen 1 und 2 des § 26 Abs. 1 BDSG unterschieden. Ob das BAG damit den gesamten Absatz 1 des § 26 BDSG für unanwendbar hält, lässt sich nicht mit Sicherheit sagen. § 26 Abs. 1 S. 2 BDSG, der die Verarbeitung zur Aufdeckung von Straftaten regelt, könnte nach einer strengen Lesart des Urteils damit ebenfalls unanwendbar sein. Verantwortliche sollten daher vorsichtshalber nicht mehr (ausschließlich) auf § 26 Abs. 1 S. 2 BDSG abstellen.
  • Verarbeitung von Echtdaten zum Testbetrieb im Einzelfall zulässig: Ein vorläufiger Testbetrieb mit personenbezogenen Echtdaten kann im Einzelfall zur Wahrung der berechtigten Interessen des Arbeitgebers nach Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich sein, um eine Softwareumstellung vorzubereiten.
  • Verarbeitung zu Testzwecken grds. eine Zweckänderung: Die Nutzung von personenbezogenen Echtdaten von Beschäftigten zu Testzwecken für eine Softwareumstellung stellt wohl eine Zweckänderung i.S.d. Art. 6 Abs. 4 DSGVO dar, sodass zusätzlich zu einer Rechtsgrundlage nach Art. 6 Abs. 1 (und ggf. Art. 9 Abs. 2) DSGVO die Voraussetzungen der Zweckänderung nach Art. 6 Abs. 4 DSGVO zu prüfen sind.
  • Kontrollverlust als Schaden: Ein Schadensersatz in Form eines Kontrollverlustes kann nach Art. 82 DSGVO einen Schadensersatzanspruch begründen. Eine verspäte Auskunft nach Art. 15 DSGVO begründet nach Ansicht des BAG wohl keinen Kontrollverlust und damit grds. keinen Schadensersatzanspruch.

BAG, Urt. v. 08.05.2025 – Az. 8 AZR 209/21

Kontrollverlust über Echtdaten: BAG spricht Schadensersatz nach Art. 82 DSGVO bei konzerninterner Testdatenübermittlung bei „Workday“ zu

Mit Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) hat das Bundesarbeitsgericht („BAG“) einem Arbeitnehmer immateriellen Schadensersatz nach Art. 82 Datenschutz-Grundverordnung („DSGVO“) zugesprochen. Grund war die unzulässige Übermittlung echter Beschäftigtendaten an die Konzernobergesellschaft in den USA zu Testzwecken. Nach Auffassung des Gerichts reicht bereits der Verlust der Kontrolle über personenbezogene Daten aus, um einen ersatzfähigen immateriellen Schaden zu begründen.

I. Der Fall

Der Kläger war langjähriger Mitarbeiter und Betriebsratsvorsitzender. Sein Arbeitgeber testete die Einführung von „Workday“ und übermittelte hierfür Daten an die Konzernobergesellschaft in Washington D.C. Grundlage war eine sogenannte Duldungs-Betriebsvereinbarung („BV Duldung“), die nur bestimmte Daten – wie Personalnummer, Name, Eintrittsdatum oder geschäftliche Kontaktdaten – freigab.

Tatsächlich wurden jedoch auch sensible Daten wie Gehalt, Privatanschrift, Geburtsdatum, Familienstand, Steuer-ID und Sozialversicherungsnummer übermittelt. Diese waren von der BV Duldung nicht gedeckt.

Der Kläger verlangte 3.000 Euro immateriellen Schadensersatz wegen unzulässiger Datenübermittlung. Er argumentierte, es hätte für Testzwecke ausgereicht, Dummy-Daten zu verwenden. Mögliche Verstöße gegen Art. 28 und Art. 44 ff. DSGVO wegen der Übermittlung der Daten in die USA verfolgte der Kläger im Revisionsverfahren nicht mehr weiter.

Die Beklagte bestritt Verstöße gegen Datenschutzrecht und das Vorliegen eines immateriellen Schadens. Die Vorinstanzen hatten die Klage abgewiesen. Das Bundesarbeitsgericht setzte mit Beschluss vom 22. September 2022 (8 AZR 209/21 (A)) das Revisionsverfahren aus und legte dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Auslegung des Unionsrechts vor, insbesondere zu den Anforderungen einer Betriebsvereinbarung (vgl. hierzu unseren Blogbeitrag vom 20. März 2025) unter der DSGVO und den Anforderungen an einen immateriellen Schaden nach Art. 82 DSGVO. Die Fragen zu Art. 82 DSGVO zog das BAG nach einem Hinweis des EuGH auf in der Zwischenzeit ergangene Urteile des EuGH dann jedoch wieder zurück. Über das Vorabentscheidungsersuchen des BAG hat der EuGH mit Urteil vom 19. Dezember 2024 (C-65/23) entschieden.

II. Entscheidung

Das BAG sprach dem Kläger einen Schadensersatz in Höhe von 200 Euro nach Art. 82 Abs. 1 DSGVO zu. Das Gericht stellte zunächst die gefestigte Rechtsprechung dar, wonach ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO (1) einen Verstoß gegen die DSGVO, (2) das Vorliegen eines materiellen oder immateriellen Schadens sowie (3) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraussetzt, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen.

1. Verstoß gegen die DSGVO

Zunächst stellte das BAG fest, dass die Beklagte gegen die DSGVO verstoßen habe, indem sie personenbezogene Daten des Klägers, die nicht von der BV Duldung erfasst waren, in das Testsystem übermittelte. Ausdrücklich offengelassen hat das Gericht, ob die BV Duldung mit den Anforderungen des Art. 88 DSGVO im Einklang stand, da der Kläger sich nicht mehr darauf beruft hatte, dass ein Verstoß gegen die DSGVO auch in Bezug auf diejenigen Daten vorliege, deren Übertragung in Einklang mit der BV Duldung steht.

Das Gerichte bejahte dahingehend einen Verstoß gegen die DSGVO, dass die Beklagte die von der BV Duldung nicht erfassten personenbezogenen Daten des Klägers auf eine Sharepoint-Seite der Konzernobergesellschaft übertragen hatte, um damit Daten in die Software Workday einzuspeisen und diese dort zu verarbeiten. Für diese Übermittlung und nachfolgende Verarbeitung bestand keine Rechtsgrundlage.

a. Unanwendbarkeit des § 26 Abs. 1 BDSG

Die Übermittlung konnte nach Ansicht des BAG nicht auf die Rechtsgrundlage des Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG gestützt werden, da § 26 Abs. 1 BDSG unangewendet bleiben müsse.

§ 26 Abs. 1 BDSG erfülle die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht. Spezifischere Vorschriften i.S.d. Art. 88 DSGVO müssten über eine bloße Wiederholung der DSGVO hinausgehen, einen eigenständigen Regelungsgehalt haben und besondere Maßnahmen zum Schutz der Rechte und Freiheiten der Beschäftigten vorsehen. Daran fehle es bei § 26 Abs. 1 BDSG, da er keine besonderen Schutzmaßnahmen nach Art. 88 Abs. 2 DSGVO enthalte.

§ 26 Abs. 1 BDSG stelle auch keine Rechtsgrundlage i.S.v. Art. 6 Abs. 3 DSGVO dar. Die Beklagte hatte weder geltend gemacht noch sei sonst ersichtlich, dass die Verarbeitung der personenbezogenen Daten des Klägers in Workday zur Erfüllung einer rechtlichen Pflicht i.S.v. Art. 6 Abs. 1 S. 1 lit. c DSGVO, oder für die Wahrnehmung einer Aufgabe, die i.S.v. Art. 6 Abs. 1 S. 1 lit. e DSGVO im öffentlichen Interesse liegt, erforderlich gewesen sei.

b. Keine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO

Eine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO sei ebenfalls ausgeschlossen. Zwar könne ein vorläufiger Testbetrieb mit Echtdaten grundsätzlich zulässig sein, wenn entpersonalisierte sog. Dummy-Versuchsdaten nicht ausreichen. Doch hatten Beklagte und Betriebsrat in der BV Duldung genau festgelegt, welche Daten für den Testbetrieb erforderlich seien. Dass darüberhinausgehende Daten – wie private Kontaktdaten oder Vergütungsdetails – notwendig gewesen wären, habe die Beklagte nicht behauptet. Das BAG scheint damit davon ausgehen, dass eine Betriebsvereinbarung eine Indizwirkung für die Erforderlichkeit einer Datenverarbeitung habe.

Wichtig ist jedoch die Feststellung des Gerichts, dass die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungs-Software zu testen, nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein kann, sofern entpersonalisierte „Dummy-Daten“ zur Erreichung des Testzwecks nicht ausreichen.

c. Keine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO

Auch Art. 6 Abs. 1 S. 1 lit. b DSGVO (Arbeitsvertrag) rechtfertige die Datenübermittlung an die Konzernobergesellschaft nicht. Die Nutzung von personenbezogenen Echtdaten zu Testzwecken für eine Softwareumstellung stelle nach Ansicht des BAG aber wohl eine Weiterverarbeitung i.S.v. Art. 5 Abs. 1 lit. b DSGVO dar, die einem anderen Zweck dient als demjenigen, für den die Daten ursprünglich erhoben worden sind. Die Verarbeitung diene daher nicht mehr der Erfüllung des Arbeitsvertrags und sei zudem auch dafür nicht erforderlich.

2. Kausaler Schaden in Form eines Kontrollverlusts

Das BAG bejahte – in Übereinstimmung mit der Rechtsprechung des EuGH – einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO. Bereits der kurzfristige Verlust der Kontrolle über personenbezogene Daten könne einen solchen kausalen Schaden begründen, „so geringfügig er auch sein mag“. Der Schaden habe hier im Kontrollverlust über die unzulässig übermittelten Daten an die Konzernobergesellschaft und deren weitere Verarbeitung in „Workday“ bestanden.

In einem Nebensatz stellt das BAG fest, dass dieser Kontrollverlust nicht mit einer verspäteten Auskunft nach Art. 15 DSGVO gleichzusetzen sei, die für sich genommen keinen Kontrollverlust über Daten i.S.d. Gefahr einer missbräuchlichen Verwendung bedeute, sondern nur einen Zeitverzug hinsichtlich der Auskunft begründet.

3. Bemessung des Schadensersatzes

Bei der Bemessung des Schadensersatzes stellte das BAG zunächst darauf ab, dass die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu beachten seien. Bei der Bemessung des Schadensersatzes stellte das Gericht auf die Sensibilität der betroffenen Daten, den auf den Konzern begrenzten Empfängerkreis und die Dauer des Kontrollverlustes ab. Ein Betrag von 200 Euro sei erforderlich, aber auch ausreichend, um den Schaden auszugleichen. Die Übermittlung in ein Drittland (USA) spielte keine Rolle, da der Kläger dies nicht mehr gerügt hatte.

III. Bedeutung für die Praxis

Das Urteil mahnt zur Vorsicht: Auch Testbetriebe innerhalb eines Konzerns müssen datenschutzrechtlich sauber aufgesetzt sein. Wer über Betriebsvereinbarungen hinausgeht oder Echtdaten ohne klare Erforderlichkeit übermittelt, riskiert nicht nur Verstöße gegen die DSGVO – sondern auch Schadensersatzforderungen. Die Tatsache, dass die Höhe des Schadensersatzes vergleichsweise gering, darf nicht darüber hinwegtäuschen, dass in solchen Konstellationen eine Vielzahl von Beschäftigten betroffen sein können. Die Zahl der Anspruchsteller und die Zahl der möglichen Klagen kann sich daher vervielfachen.

Zusammengefasst können dem Urteil folgende Key Take-aways entnommen werden:

  • § 26 Abs. 1 BDSG nicht mehr anwendbar: § 26 Abs. 1 BDSG kann nicht mehr als Rechtsgrundlage verwendet werden. Hieraus ergeben sich ggf. Anpassungen an Datenschutzhinweisen nach Art. 13, 14 DSGVO und dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
    • Das BAG hat nicht zwischen den Sätzen 1 und 2 des § 26 Abs. 1 BDSG unterschieden. Ob das BAG damit den gesamten Absatz 1 des § 26 BDSG für unanwendbar hält, lässt sich nicht mit Sicherheit sagen. § 26 Abs. 1 S. 2 BDSG, der die Verarbeitung zur Aufdeckung von Straftaten regelt, könnte nach einer strengen Lesart des Urteils damit ebenfalls unanwendbar sein. Verantwortliche sollten daher vorsichtshalber nicht mehr (ausschließlich) auf § 26 Abs. 1 S. 2 BDSG abstellen.
  • Verarbeitung von Echtdaten zum Testbetrieb im Einzelfall zulässig: Ein vorläufiger Testbetrieb mit personenbezogenen Echtdaten kann im Einzelfall zur Wahrung der berechtigten Interessen des Arbeitgebers nach Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich sein, um eine Softwareumstellung vorzubereiten.
  • Verarbeitung zu Testzwecken grds. eine Zweckänderung: Die Nutzung von personenbezogenen Echtdaten von Beschäftigten zu Testzwecken für eine Softwareumstellung stellt wohl eine Zweckänderung i.S.d. Art. 6 Abs. 4 DSGVO dar, sodass zusätzlich zu einer Rechtsgrundlage nach Art. 6 Abs. 1 (und ggf. Art. 9 Abs. 2) DSGVO die Voraussetzungen der Zweckänderung nach Art. 6 Abs. 4 DSGVO zu prüfen sind.
  • Kontrollverlust als Schaden: Ein Schadensersatz in Form eines Kontrollverlustes kann nach Art. 82 DSGVO einen Schadensersatzanspruch begründen. Eine verspäte Auskunft nach Art. 15 DSGVO begründet nach Ansicht des BAG wohl keinen Kontrollverlust und damit grds. keinen Schadensersatzanspruch.

BAG, Urt. v. 08.05.2025 – Az. 8 AZR 209/21

News
Aktuelle News
Deal News
Molkerei-Schachzug: Müller sichert sich Premiummarken „Elinas“ und „L...
28. November 2025
Deal News
Seitz berät die NRW.BANK und die neoteq ventures bei Finanzierungsrunde von OMMM
10. November 2025
Newsroom
Effizienz und Innovation in der Mandatsarbeit neu definiert: Seitz und Legora verkünden...
29. Oktober 2025
E-Mail Tel
Footer Mood

Bitte warten...