Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

    • 12.05.2025 · IWW-Abrufnummer 248061

    Bundesarbeitsgericht: Urteil vom 08.05.2025 – 8 AZR 209/21

    Die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungs- Software zu testen, kann nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein, sofern entpersonalisierte "Dummy-Daten" zur Erreichung des Testzwecks nicht ausreichen.

    Tenor:

    Auf die Revision des Klägers wird - unter Zurückweisung der Revision im Übrigen - das Urteil des Landesarbeitsgerichts Baden-Württemberg vom 25. Februar 2021 - 17 Sa 37/20 - teilweise aufgehoben.

    Auf die Berufung des Klägers wird - unter Zurückweisung der Berufung im Übrigen - das Urteil des Arbeitsgerichts Ulm vom 14. November 2019 - 5 Ca 18/18 - teilweise abgeändert und zur Klarstellung wie folgt insgesamt neu gefasst:

    Die Beklagte wird verurteilt, an den Kläger Schadenersatz in Höhe von 200,00 Euro zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 26. Mai 2018 zu zahlen.

    Im Übrigen wird die Klage abgewiesen.

    Von den Kosten der Berufung und der Revision haben der Kläger 14/15 und die Beklagte 1/15 zu tragen. Die Kosten des Rechtsstreits erster Instanz hat der Kläger zu tragen.

    Tatbestand

    1

    Die Parteien streiten in der Revision noch über einen Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO wegen einer Übertragung von Personaldaten in eine testweise konzernweit genutzte cloudbasierte Software "Workday".

    2

    Der Kläger ist langjährig zunächst bei der Rechtsvorgängerin der Beklagten und zuletzt bei der Beklagten als Organisationsprogrammierer beschäftigt. Er ist der Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Im hier relevanten Zeitraum gehörte die Beklagte mit Sitz in Deutschland zu einem internationalen Konzern, dessen Konzernobergesellschaft ihren Hauptsitz in Washington D.C. hatte.

    3

    Die Beklagte verarbeitete bestimmte personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als neues einheitliches Personal-Informationsmanagementsystem einzuführen. Zwischen dem 24. April und dem 18. Mai 2017 lud die Beklagte personenbezogene Daten des Klägers aus ihrer Personalverwaltungs-Software auf eine Sharepoint-Seite der Konzernobergesellschaft mit Server-Standort in den USA, um sie in die Software Workday zu übertragen. Neben Informationen wie dem Namen, Vornamen, dienstlicher Telefonnummer und dienstlicher E-Mail-Adresse gehörten zu den übermittelten Daten ua. auch Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers.

    4

    Am 3. Juli 2017 unterzeichneten die Beklagte und der bei ihr bestehende Betriebsrat eine "Duldungs-Betriebsvereinbarung über die Einführung von Workday" (im Folgenden BV Duldung), mit der sie den vorläufigen Betrieb von Workday regelten. Nach der BV Duldung war es ua. untersagt, die Software während des Testzeitraums für die Personalverwaltung zu verwenden. Weiter war dort vereinbart, dass vor der Einführung des Systems als Produktivsystem eine Betriebsvereinbarung abgeschlossen werden muss, die die Anwendung von Workday regelt. In der Anlage 2 zur BV Duldung wurden die zur testweisen Nutzung der Software Workday aus der Personalverwaltungs-Software zu übermittelnden Daten aufgelistet: Personalnummer, Nachname, Vorname, Eintrittsdatum, Eintrittsdatum im Konzern, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse. Die Wirkungen der BV Duldung wurden bis zum Inkrafttreten einer unter dem 23. Januar 2019 im Rahmen eines Einigungsstellenverfahrens geschlossenen endgültigen Betriebsvereinbarung mehrfach verlängert.

    5

    Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO immaterieller Schadenersatz in einer Größenordnung von 3.000,00 Euro zu. Der Beklagten sei es nach der Datenschutz-Grundverordnung und den einschlägigen Bestimmungen des Bundesdatenschutzgesetzes nicht erlaubt gewesen, im Zeitraum vom 25. Mai 2018 bis zum Ende des ersten Quartals 2019 im cloudbasierten Personal-Informationsmanagementsystem Workday personenbezogene Echtdaten zu verarbeiten. Die Datenverarbeitung sei nicht zu Testzwecken für den späteren Betrieb von Workday als konzernweit einheitliches Personal-Informationsmanagementsystem erforderlich gewesen. Vielmehr hätten für die Testphase sog. Dummy-Versuchsdaten ausgereicht. Die Beklagte habe im Übrigen über die in der BV Duldung und deren Anlagen genannten Datenkategorien hinausgehend auch weitere Daten wie seine privaten Kontaktdaten, Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-ID, seine Staatsangehörigkeit und seinen Familienstand übermittelt. Soweit der Kläger zunächst auch beanstandet hatte, es sei überdies nicht rechtmäßig gewesen, seine personenbezogenen Daten auf eine Sharepoint-Seite der Konzernobergesellschaft mit Server-Standort in den USA zu übertragen und er insoweit Verstöße gegen Art. 28 und Art. 44 ff. DSGVO behauptet hatte, hat er sich darauf im Revisionsverfahren ausdrücklich nicht mehr berufen. Zuletzt hat sich der Kläger ausschließlich noch darauf gestützt, dass die Beklagte personenbezogene Daten verarbeitet habe, die von der BV Duldung nicht erfasst gewesen seien.

    6

    Der Kläger hat zuletzt noch beantragt,

    die Beklagte zu verurteilen, ihm den immateriellen Schaden, der ihm wegen der Verstöße der Beklagten gegen die Datenschutz-Grundverordnung entstanden ist, durch Zahlung einer Geldentschädigung, deren Höhe in das Ermessen des Gerichts gestellt wird, nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 25. Mai 2018 zu ersetzen.

    7

    Die Beklagte hat beantragt, die Klage abzuweisen. Sie hat die Auffassung vertreten, nicht gegen datenschutzrechtliche Bestimmungen verstoßen zu haben. Der Kläger habe im Übrigen einen immateriellen Schaden nicht hinreichend dargetan.

    8

    Das Arbeitsgericht hat die ursprünglich auch auf Auskunft, Versicherung an Eides statt und Löschung gerichtete Klage abgewiesen. Das Landesarbeitsgericht hat die nur noch auf immateriellen Schadenersatz gerichtete Berufung des Klägers zurückgewiesen. Mit seiner vom Landesarbeitsgericht zugelassenen Revision verfolgt der Kläger seinen Schadenersatzantrag weiter. Die Beklagte begehrt die Zurückweisung der Revision.

    9

    Der Senat hat mit Beschluss vom 22. September 2022(- 8 AZR 209/21 (A) - BAGE 179, 120)das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) nach Art. 267 AEUV um Vorabentscheidung insbesondere über Rechtsfragen zur Auslegung von Art. 88 Abs. 1 DSGVO im Zusammenhang mit Betriebsvereinbarungen nach § 26 Abs. 4 BDSG ersucht. Über das Vorabentscheidungsersuchen hat der Gerichtshof mit Urteil vom 19. Dezember 2024(- C-65/23 - [K GmbH])entschieden.

    Entscheidungsgründe

    10

    Die Revision des Klägers ist teilweise begründet. Dies führt zur teilweisen Aufhebung des Berufungsurteils und zur teilweisen Abänderung des arbeitsgerichtlichen Urteils. Der Kläger hat gegen die Beklagte einen Anspruch auf einen immateriellen Schadenersatz aus Art. 82 Abs. 1 DSGVO .

    11

    I. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung immateriellen Schadenersatzes in Höhe von 200,00 Euro nebst Zinsen ab dem 26. Mai 2018. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen(vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 140; 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Diese Voraussetzungen sind erfüllt.

    12

    1. Die Beklagte hat gegen Bestimmungen der Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO verstoßen.

    13

    a) Der Kläger hat seinen Schadenersatzanspruch zuletzt ausschließlich noch darauf gestützt, dass die Beklagte personenbezogene Daten verarbeitet hat, die von der BV Duldung nicht erfasst waren. Er hat diese Erklärung in der mündlichen Verhandlung vor dem Senat am 8. Mai 2025 nach der Vorabentscheidung durch den Gerichtshof abgegeben. Der Kläger beruft sich somit nicht mehr darauf, dass ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf diejenigen Daten vorliege, deren Übertragung in Einklang mit der BV Duldung steht. Es kommt daher in Bezug auf die von der BV Duldung erfassten Daten nicht darauf an, ob § 26 Abs. 4 BDSG iVm. der BV Duldung als "spezifischere Vorschriften" iSv. Art. 88 Abs. 1 DSGVO bewirken, dass ihre Adressaten die sich aus Art. 5 , Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und Abs. 2 DSGVO ergebenden Anforderungen erfüllen(vgl. dazu EuGH 19. Dezember 2024 - C-65/23 - [K GmbH] Rn. 34 ff.). Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.

    14

    b) Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die von der BV Duldung nicht erfassten personenbezogenen Daten des Klägers auf eine Sharepoint-Seite der Konzernobergesellschaft übertragen hat, um damit Daten in die Software Workday einzuspeisen und diese dort zu verarbeiten. Dem steht nicht entgegen, dass die Beklagte die personenbezogenen Daten des Klägers bereits in der Zeit zwischen dem 24. April und dem 18. Mai 2017 und damit vor Geltung der Datenschutz-Grundverordnung ab dem 25. Mai 2018( Art. 99 Abs. 2 DSGVO )in Workday übertragen hat. Auch nach der Übertragung war die Beklagte weiterhin Verantwortliche iSv. Art. 4 Nr. 7 DSGVO . Hierfür ist es nicht erforderlich, dass der Verantwortliche allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, dies kann nach Art. 4 Nr. 7 DSGVO auch gemeinsam mit anderen erfolgen. Die Beklagte hat sich ab dem Zeitpunkt der Geltung der Datenschutz-Grundverordnung nicht um eine Rückübertragung oder Löschung der Daten des Klägers in Workday bemüht, eine solche hat auch nicht stattgefunden. Vielmehr hat die Beklagte - im Gegenteil - durch die mehrfache Verlängerung des Geltungs- und Nachwirkungszeitraums der BV Duldung, zuletzt bis zum 31. Januar 2019, zu erkennen gegeben, dass sie fortgesetzt aktiv als Verantwortliche iSv. Art. 4 Nr. 7 DSGVO gehandelt hat, um den vorläufigen Betrieb von Workday durch den Abschluss weiterer Betriebsvereinbarungen sicherzustellen( BAG 22. September 2022 - 8 AZR 209/21 (A) - Rn. 20, BAGE 179, 120).

    15

    c) Soweit die Beklagte von der BV Duldung nicht erfasste Daten wie private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummer, Steuer-ID, Staatsangehörigkeit und Familienstand übertragen hat, handelt es sich um personenbezogene Daten des Klägers iSv. Art. 4 Nr. 1 DSGVO .

    16

    d) Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.

    17

    aa) § 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO . Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet. Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen(vgl. EuGH 30. März 2023 - C-34/21 - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 65, 71, 74; BAG 9. Mai 2023 - 1 ABR 14/22 - Rn. 63, BAGE 181, 1). Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt( BAG 9. Mai 2023 - 1 ABR 14/22 - Rn. 64, aaO).

    18

    bb) Nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext müssen unangewendet bleiben, wenn sie nicht die in Art. 88 Abs. 1 und Abs. 2 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage iSv. Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt( EuGH 30. März 2023 - C-34/21 - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 76 ff.).

    19

    cc) In Bezug auf die Verarbeitung von personenbezogenen Daten in dem vorliegend infrage stehenden Personal-Informationsmanagementsystem Workday stellt § 26 Abs. 1 BDSG keine Rechtsgrundlage iSv. Art. 6 Abs. 3 DSGVO dar(vgl. dagegen für Datenverarbeitung, um ein gesetzliches Recht der Arbeitnehmervertretungen zu erfüllen BAG 9. Mai 2023 - 1 ABR 14/22 - Rn. 65 ff., BAGE 181, 1). Die Beklagte hat weder geltend gemacht noch ist sonst ersichtlich, dass die Verarbeitung der personenbezogenen Daten des Klägers in Workday zur Erfüllung einer rechtlichen Pflicht iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO , oder für die Wahrnehmung einer Aufgabe, die iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO im öffentlichen Interesse liegt, erforderlich gewesen sei.

    20

    e) Soweit spezifischere Vorschriften fehlen, die die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen erfüllen, wird die Verarbeitung personenbezogener Daten im Beschäftigungskontext unmittelbar durch die Bestimmungen der Datenschutz-Grundverordnung geregelt( EuGH 19. Dezember 2024 - C-65/23 - [K GmbH] Rn. 53; 30. März 2023 - C-34/21 - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 82 ff.). Nach den Bestimmungen der Datenschutz-Grundverordnung ist die Übertragung der von der BV Duldung nicht erfassten personenbezogenen Daten des Klägers in die Software Workday zu Testzwecken nicht gerechtfertigt.

    21

    aa) Die Überlassung dieser Daten an die Konzernobergesellschaft ist nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gerechtfertigt. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Eine Rechtfertigung der Verarbeitung personenbezogener Daten im vorläufigen Betrieb von Workday zu "Testzwecken" ist nicht von vornherein ausgeschlossen, sofern entpersonalisierte sog. Dummy-Versuchsdaten nicht ausreichen, um den Testzweck zu erreichen( BAG 22. September 2022 - 8 AZR 209/21 (A) - Rn. 29, BAGE 179, 120). Ein vorläufiger Testbetrieb mit personenbezogenen Daten kann im Einzelfall zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich sein, um eine Softwareumstellung vorzubereiten. Allerdings stellt sich hier die überschießende Datenverarbeitung im Ergebnis schon deshalb als nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dar, weil sie über die Erlaubnis in der BV Duldung hinausgeht(vgl. BAG 22. September 2022 - 8 AZR 209/21 (A) - Rn. 24, aaO). Die Beklagte hat mit dem Betriebsrat in der BV Duldung vereinbart, dass bestimmte personenbezogene Daten zu Testzwecken an die Konzernobergesellschaft übertragen werden. Dabei handelt es sich um die Personalnummer, den Nachnamen, den Vornamen, das Eintrittsdatum, das Eintrittsdatum in den Konzern, den Arbeitsort, die Firma, die geschäftliche Telefonnummer und die geschäftliche E-Mail-Adresse. Nachdem die Beklagte und der Betriebsrat die Erlaubnis auf diese im Einzelnen aufgezählten personenbezogenen Daten beschränkt haben, ist davon auszugehen, dass lediglich diese Daten für Testzwecke erforderlich waren. Die Beklagte behauptet selbst nicht, dass die weiteren von ihr an die Konzernobergesellschaft übertragenen Daten erforderlich gewesen wären, um Workday zu testen.

    22

    bb) Die Übertragung der über die Erlaubnis in der BV Duldung hinausgehenden Daten ist auch nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO gerechtfertigt. Danach ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Zwar ist der Senat im Vorlagebeschluss vom 22. September 2022 noch von einer möglichen Rechtfertigung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ausgegangen(- 8 AZR 209/21 (A) - Rn. 29, BAGE 179, 120). Nach der inzwischen ergangenen Rechtsprechung des Gerichtshofs stellt die hier zu beurteilende Nutzung von personenbezogenen Echtdaten zu Testzwecken für eine Softwareumstellung wohl eine Weiterverarbeitung iSv. Art. 5 Abs. 1 Buchst. b DSGVO dar, die einem anderen Zweck dient als demjenigen, für den die Daten ursprünglich erhoben worden sind(vgl. EuGH 20. Oktober 2022 - C-77/21 - [Digi] Rn. 22 ff.). Die an die Konzernobergesellschaft zu Testzwecken übermittelten Daten dienten daher nicht mehr der Erfüllung des Arbeitsverhältnisses iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO . Jedenfalls stellt sich die Übertragung der über die Erlaubnis in der BV Duldung hinausgehenden Daten im Rahmen von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ebenso wenig als erforderlich dar wie nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO .

    23

    2. Der Kläger hat durch die Übertragung der von der BV Duldung nicht erfassten personenbezogenen Daten einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO erlitten.

    24

    a) Der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat( EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 150; 11. April 2024 - C-741/21 - [juris] Rn. 42; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 13; BGH 18. November 2024 - VI ZR 10/24 - Rn. 30, BGHZ 242, 180 ).

    25

    b) Der Schaden liegt in dem durch die Übertragung der personenbezogenen Daten an die Konzernobergesellschaft und deren weitere Verarbeitung in der Software Workday erlittenen Kontrollverlust(vgl. BGH 11. Februar 2025 - VI ZR 365/22 - Rn. 16). Die hier gegebene Fallgestaltung einer Weitergabe der Daten unterscheidet sich von der verspäteten Auskunft nach Art. 15 DSGVO , die für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft begründet( BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 17; BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 32; vgl. Vorlagebeschluss an den Gerichtshof BGH 6. Mai 2025 - VI ZR 53/23 - Rn. 40 ff.).

    26

    3. Der Schaden in Gestalt des eingetretenen Kontrollverlustes ist auch kausal durch den Verstoß der Beklagten gegen die Datenschutz-Grundverordnung verursacht.

    27

    4. Der Senat kann über die Höhe des immateriellen Schadenersatzes selbst entscheiden, da sämtliche entscheidungsrelevanten Tatsachen feststehen. Dem Kläger steht ein immaterieller Schadenersatz in Höhe von 200,00 Euro zu.

    28

    a) Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes berücksichtigt wird. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht(vgl. EuGH 20. Juni 2024 - C-182/22 ua. - [Scalable Capital] Rn. 27 ff. mwN; EuG 8. Januar 2025 - T-354/22 - Rn. 192 ff.; BAG 25. Juli 2024 - 8 AZR 225/23 - Rn. 36; vgl. BGH 28. Januar 2025 - VI ZR 183/22 - Rn. 8 ff.; 18. November 2024 - VI ZR 10/24 - Rn. 95 ff., BGHZ 242, 180 ).

    29

    b) Ausgehend von diesen Grundsätzen ist ein Schadenersatz in Höhe von 200,00 Euro angemessen. Dieser Betrag ist erforderlich aber auch ausreichend, um den dem Kläger entstandenen immateriellen Schaden auszugleichen. Dabei sind insbesondere die Sensibilität der konkret betroffenen personenbezogenen Daten unterhalb der Schwelle des Art. 9 DSGVO zu beachten, ebenso wie der größere, jedoch im Konzern begrenzte Empfängerkreis und die Dauer des Kontrollverlustes(vgl. BGH 18. November 2024 - VI ZR 10/24 - Rn. 99, BGHZ 242, 180 ). Keine Rolle bei der Bemessung der Höhe des Schadenersatzes konnte der Umstand spielen, dass personenbezogene Daten des Klägers in ein Drittland übertragen worden sind. Der Kläger hat erklärt, sich nicht auf Verstöße gegen Art. 44 ff. DSGVO zu berufen.

    30

    II. Die Kostenentscheidung folgt für die Berufung und die Revision aus § 97 Abs. 1 , § 92 Abs. 1 ZPO und entspricht dem Verhältnis des wechselseitigen Obsiegens. Die Kosten des Rechtsstreits erster Instanz hat der Kläger nach § 92 Abs. 2 Nr. 1 ZPO zu tragen.

    SpinnerKrumbiegelPulzBloesingerGothe

    Verkündet am 8. Mai 2025

    VorschriftenArt. 82 Abs. 1 DSGVO, § 26 Abs. 4 BDSG, Art. 88 Abs. 1 DSGVO, Art. 5, Art. 6 Abs. 1, Art. 9 Abs. 1, Abs. 2 DSGVO, Art. 4 Nr. 7 DSGVO, Art. 4 Nr. 1 DSGVO, § 26 Abs. 1 BDSG, Art. 88 DSGVO, Art. 88 Abs. 2 DSGVO, § 26 Abs. 1 Satz 1 BDSG, Art. 88 Abs. 1, Art. 6 Abs. 3 DSGVO, Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO, Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO, Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO, Art. 5 Abs. 1 Buchst. b DSGVO, Art. 15 DSGVO, Art. 9 DSGVO, Art. 44 ff. DSGVO, § 97 Abs. 1, § 92 Abs. 1 ZPO, § 92 Abs. 2 Nr. 1 ZPO
    print print email email twitter twitter facebook facebook xing xing

    Mehr zum Thema

    Podcast

    Bleiben Sie auf dem Laufenden.

    Aufbewahrungspflichten, TzBfG, Tariftreuegesetz, doppelte Festsetzung von Grunderwerbsteuer u. v. m.
    Weitere Folgen