Datenschutzverstoß im Konzern - DSGVO-Schadensersatz für Arbeitnehmer zeigt, worauf es wirklich ankommt

Ein geringer Betrag – mit weitreichenden Folgen

Das Bundesarbeitsgericht hat mit Urteil vom 8. Mai 2025 (Az.: 8 AZR 209/21) einem Arbeitnehmer einen immateriellen Schadensersatz in Höhe von 200 Euro zugesprochen – wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO). Was auf den ersten Blick wie eine Bagatelle wirkt, offenbart bei näherem Hinsehen erhebliche praktische und strategische Implikationen für Arbeitgeber, insbesondere in Konzernstrukturen.

Im zugrunde liegenden Fall hatte der Arbeitgeber personenbezogene Daten an die Konzernobergesellschaft übermittelt, um die cloudbasierte HR-Software „Workday“ zu testen. Erlaubt war laut Betriebsvereinbarung lediglich die Übertragung geschäftlicher Daten wie Name, Eintrittsdatum oder Dienst-E-Mail. Tatsächlich wurden jedoch auch sensible Informationen wie Gehalt, private Anschrift, Steuer-ID und Sozialversicherungsnummer weitergegeben – ein klarer Verstoß gegen die DSGVO, wie das Gericht nun bestätigte.

Mehr Aufwand als der Schadenersatz vermuten lässt

Der zugesprochene Betrag in Höhe von 200 Euro mag überschaubar sein. Der damit verbundene Aufwand ist es keineswegs. Sobald ein Verstoß geltend gemacht wird, beginnt ein komplexes internes Verfahren: Datenschutzbeauftragte müssen prüfen, IT-Abteilungen technische Details klären, HR rekonstruiert Abläufe, die Rechtsabteilung bewertet die Zulässigkeit – und die Geschäftsführung ist spätestens bei einem öffentlichkeitswirksamen Vorfall involviert. Die Koordination dieser Prozesse bindet wertvolle Ressourcen und stört interne Abläufe oft über Wochen.

Hinzu kommt: Ein einzelner Fall kann Nachahmungseffekte auslösen. Entsteht der Eindruck, dass personenbezogene Daten nicht rechtskonform behandelt werden, können weitere Beschäftigte ihre Betroffenenrechte wahrnehmen – mit entsprechenden Folgeprozessen.

Datenschutz im Konzern: Kein Selbstläufer

Besonders relevant ist die Feststellung des Gerichts, dass konzerninterne Datenweitergaben keineswegs automatisch erlaubt sind. Der sog. „Konzernprivileg“ findet sich in der DSGVO nicht. Jede Übermittlung – auch innerhalb des Konzerns – bedarf einer eigenständigen Rechtsgrundlage. Im vorliegenden Fall war die Weitergabe der sensiblen Daten weder durch die Betriebsvereinbarung gedeckt noch durch ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Obwohl die betroffenen Daten nicht missbraucht wurden oder nach außen gelangten, genügt bereits der Verlust der Kontrolle über die eigenen Informationen, um einen immateriellen Schaden zu begründen. Damit bekräftigt das BAG die weit gefasste Auslegung des Schadensbegriffs im Lichte der DSGVO – in Anlehnung an die Rechtsprechung des Europäischen Gerichtshofs.

Handlungsbedarf für Personal- und Datenschutzverantwortliche

Vor diesem Hintergrund ist es ratsam, bestehende Betriebsvereinbarungen sorgfältig zu überprüfen. Unpräzise oder zu weit gefasste Formulierungen reichen nicht aus, um Datenverarbeitungen rechtssicher abzudecken. Es muss klar definiert sein, welche personenbezogenen Daten zu welchem Zweck verarbeitet und – falls überhaupt – an Dritte oder andere Konzerngesellschaften übermittelt werden dürfen.

Zudem empfiehlt es sich, bestehende Datenflüsse innerhalb des Konzerns zu analysieren und auf ihre Erforderlichkeit hin zu überprüfen. Der bloße Umstand, dass eine Datenverarbeitung konzernintern erfolgt, legitimiert sie nicht automatisch.

Auch die internen Abläufe zur Reaktion auf Betroffenenanfragen sollten professionell aufgestellt sein. Wer hier über standardisierte Prozesse, klare Zuständigkeiten und dokumentierte Entscheidungswege verfügt, kann im Ernstfall zügig und rechtssicher reagieren. Das reduziert nicht nur Risiken gegenüber Aufsichtsbehörden, sondern minimiert auch Reibungsverluste im Tagesgeschäft.

Fazit: Datenschutzvergehen sind kein Randthema – auch nicht im Konzern

Die Entscheidung des BAG ist ein deutliches Signal: Auch kleine Verstöße gegen die DSGVO können weitreichende Konsequenzen nach sich ziehen – rechtlich, organisatorisch und reputativ. Der immaterielle Schadenersatz ist nur die Spitze des Eisbergs. Viel entscheidender ist der interne Aufwand, der aus jedem Einzelfall entstehen kann – von der Rechtsprüfung bis zur internen Kommunikation und Prozessanpassung.

Datenschutz erfordert daher eine enge Abstimmung zwischen HR, IT, Legal und Datenschutzbeauftragten. Wer sich frühzeitig um rechtssichere Strukturen, präzise Vereinbarungen und datenschutzkonforme Prozesse kümmert, schützt nicht nur die Rechte seiner Beschäftigten, sondern auch die eigene Organisation vor unnötigen Belastungen und rechtlichen Risiken.

Sie möchten Ihre Betriebsvereinbarungen, Konzernprozesse oder HR-Systeme datenschutzrechtlich prüfen oder modernisieren?
Wir beraten Sie umfassend – praxisnah, lösungsorientiert und mit besonderem Fokus auf DSGVO-Compliance im Konzernkontext.