Performancedaten im Konzern weitergegeben: 4.000 Euro Schadensersatz nach Art. 82 DSGVO
Wenn Arbeitgeber beim Wechsel eines Beschäftigten in ein Konzernunternehmen Leistungsdaten ohne wirksame Einwilligung zugänglich machen, kann das teuer werden. Das Landesarbeitsgericht Rheinland-Pfalz hat mit Urteil vom 13. August 2025 (Az. 7 SLa 89/24) einen Arbeitgeber zur Zahlung von 4.000 Euro immateriellen Schadensersatzes nach Art. 82 DS-GVO verurteilt. Grund: Performancebewertungen der Klägerin aus dem beendeten Arbeitsverhältnis waren für Führungskräfte des neuen Konzernarbeitgebers über ein gemeinsames HR-System abrufbar, ohne dass die Betroffene dem zugestimmt hatte.
Sachverhalt: Datenzugriff durch das HR-System Success Factors
Die Klägerin war bis Ende 2018 bei einem Unternehmen beschäftigt und wechselte zum 1. Januar 2019 in die Konzernmutter. Vor dem Wechsel unterzeichnete sie eine Einwilligungserklärung zur Datenverarbeitung. Darin strich sie ausdrücklich den Passus, der eine konzernweite Datenweitergabe erlaubt hätte. In einer begleitenden E-Mail wies sie klar darauf hin, dass keine Informationen aus dem früheren Beschäftigungsverhältnis an die Konzernmutter weitergegeben werden dürfen.
Trotzdem konnten die Führungskräfte beim neuen Arbeitgeber über das HR-System Success Factors auf Performancebewertungen der Klägerin aus den Jahren 2015 bis 2018 zugreifen. Der Zugriff entstand dadurch, dass das bisherige Zugriffsrecht automatisch auf die neue Führungskraft umgeschrieben wurde. Das Unternehmen sah darin keine aktive Datenweitergabe, sondern eine technische Folge des Wechsels.
Das Gericht folgte dieser Argumentation nicht. Es stellte fest, dass auch die technische Umschreibung eines Zugriffsrechts eine Verarbeitung personenbezogener Daten darstellt. Damit lag ein Verstoß gegen § 26 BDSG vor, der im Rahmen der Öffnungsklausel des Art. 88 DS-GVO erlassen wurde und speziell den Datenschutz im Beschäftigungsverhältnis regelt.
Die rechtliche Bewertung des Gerichts
Das LAG Rheinland-Pfalz bejahte alle drei Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO: einen Verstoß gegen die DS-GVO, einen immateriellen Schaden und den Kausalzusammenhang zwischen beiden.
Der Verstoß lag in der fehlenden Einwilligung und dem Fehlen einer anderen Rechtsgrundlage. Der frühere Arbeitgeber hatte argumentiert, die Datenweitergabe sei nach § 26 BDSG zur Durchführung des neuen Beschäftigungsverhältnisses erforderlich gewesen. Das Gericht ließ das nur für die zwingend notwendigen Daten gelten, etwa für Dienstzeitanrechnung, Altersversorgung oder Aktienprogramm. Für Performancebewertungen und Bewerbungsunterlagen aus den Jahren 2002 bis 2005 galt das nicht. Das Zugänglichmachen dieser Daten verstieß auch gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO.
Den immateriellen Schaden sah das Gericht bereits im vorübergehenden Kontrollverlust über die eigenen personenbezogenen Daten. Die Klägerin hatte begründete Befürchtungen, dass sie beim neuen Arbeitgeber nicht unvoreingenommen behandelt wird. Dieser Kontrollverlust reichte als Schaden aus, auch wenn kein greifbarer materieller Nachteil nachgewiesen wurde.
Bei der Höhe orientierte sich das Gericht an der Ausgleichsfunktion des Art. 82 DS-GVO. Der Schadensersatz soll den erlittenen Schaden vollständig ausgleichen, aber nicht darüber hinausgehen. Die Bußgeldkriterien des Art. 83 DS-GVO spielen dabei keine Rolle. Die Klägerin hatte versucht, 4 Prozent des Jahresumsatzes als Schadensersatz einzufordern. Das Gericht lehnte diese Berechnung ausdrücklich ab. Es sprach 4.000 Euro zu, weil die Daten nicht beim bisherigen Arbeitgeber verblieben, sondern der Konzernmutter zugänglich wurden und die Klägerin trotz mehrfacher Löschaufforderungen keinen vollständigen Einfluss auf den weiteren Umgang mit ihren Daten zurückgewinnen konnte.
Die restlichen Ansprüche, darunter Mobbing-Schadensersatz in Millionenhöhe und ein materieller Gehaltsschaden durch den angeblich datenschutzbedingten Karriereknick beim neuen Arbeitgeber, scheiterten mangels ausreichendem Tatsachenvortrag oder fehlender Kausalität.
Unsere Empfehlungen
Unternehmen und KMU
Wer Mitarbeitende in ein anderes Unternehmen vermittelt oder an ein verbundenes Unternehmen übergibt, muss prüfen, welche Daten dabei übertragen werden dürfen. Konzernweite HR-Systeme wie Success Factors oder SAP HCM sind kein Freifahrtschein für den Datentransfer. Zugriffsrechte müssen bei einem Arbeitgeberwechsel aktiv gesteuert werden. Wer den Zugriff lediglich auf eine neue Führungskraft umschreibt, nimmt damit eine Datenverarbeitung vor, die einer Rechtsgrundlage bedarf. Einwilligungen zur Datenweitergabe müssen klar und freiwillig erteilt werden. Streichungen oder Einschränkungen durch den Beschäftigten sind ernst zu nehmen und in den Systemen abzubilden. Außerdem gilt der Grundsatz der Datenminimierung: Historische Beurteilungen, alte Bewerbungsunterlagen und ähnliche Dokumente gehören nicht in die Schnittmenge der für den Wechsel erforderlichen Daten.
Behörden und öffentliche Stellen
Auch in der öffentlichen Verwaltung gibt es Versetzungen zwischen Behörden und Trägern, die gemeinsame IT-Systeme nutzen. Das Urteil zeigt, dass eine gemeinsame Systemnutzung allein keine Rechtsgrundlage für den Datenzugriff schafft. Behörden sollten klären, welche Daten beim Wechsel von Beschäftigten zwischen Dienststellen zugänglich bleiben und ob hierfür eine Einwilligung oder eine andere Rechtsgrundlage nach § 26 BDSG vorliegt. Beurteilungen aus dem früheren Dienstverhältnis dürfen nicht ohne weiteres für neue Vorgesetzte sichtbar bleiben.
Gesundheitseinrichtungen
Krankenhäuser, Pflegeeinrichtungen und Praxisverbünde, die Personal intern zwischen Standorten oder Tochtergesellschaften wechseln lassen, sind besonders gefordert. Hier kommen häufig besonders sensible Beschäftigtendaten hinzu, etwa aus betriebsärztlichen Unterlagen oder krankheitsbedingten Fehlzeiten. Die Anforderungen an die Datenminimierung und an die Dokumentation von Zugriffsrechten sind entsprechend hoch. Systeme zur Mitarbeiterverwaltung sollten so konfiguriert sein, dass beim Wechsel nur die tatsächlich erforderlichen Daten übertragen werden.
Kanzleien und Freiberufler
Das Urteil ist für die Beratungspraxis in mehrfacher Hinsicht relevant. Es bestätigt, dass auch das automatische Umschreiben von Zugriffsrechten in HR-Systemen als Datenverarbeitung gilt und einer Rechtsgrundlage bedarf. Es klärt außerdem, dass Art. 82 DS-GVO keine Straf- oder Abschreckungsfunktion hat und der Schadensersatz ausschließlich auf Ausgleich ausgerichtet ist. Bußgeldkriterien nach Art. 83 DS-GVO sind nicht auf die Schadensbemessung übertragbar. Mandanten mit Konzernstrukturen sollten auf die Trennung von Zugriffsrechten und die saubere Dokumentation von Einwilligungen und deren Grenzen hingewiesen werden.
Quelle: Landesarbeitsgericht Rheinland-Pfalz, Urteil vom 13. August 2025, Az. 7 SLa 89/24
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks