BGH stärkt Betroffenenrechte: Auch der bloße Kontrollverlust über personenbezogene Daten kann ein ersatzfähiger immaterieller Schaden sein.
Das aktuelle BGH-Urteil vom 11.02.2025 (VI ZR 365/22) zur Datenschutz-Grundverordnung (DSGVO) zeigt: Fehler in der Verwaltung von Beschäftigtendaten können teuer werden. HR-Abteilungen und Arbeitgeber sollten ihre internen Prozesse zur Personalaktenführung dringend überprüfen.
Rechtlicher Rahmen
Im Zentrum steht Art. 82 Abs. 1 DSGVO, der betroffenen Personen einen Anspruch auf Schadensersatz bei Datenschutzverstößen einräumt – auch für immaterielle Schäden. Relevante nationale Normen waren außerdem:
- § 26 BDSG (Datenverarbeitung für Beschäftigungszwecke)
- § 111a BBG a.F. (Übertragung von Verwaltungsaufgaben im Beamtenverhältnis)
- § 287 ZPO (Beweismaß zur Schadenshöhe)
Der BGH bezieht sich in seinem Urteil außerdem mehrfach auf die Rechtsprechung des EuGH zur weiten Auslegung immaterieller Schäden bei Datenschutzverstößen.
Der Fall
Eine Bundesbeamtin beanstandete mehrfach, dass ihre Personalakte nicht durch befugte Mitarbeiter der Bundesanstalt, sondern durch externe Landesbedienstete verwaltet wurde. Die Praxis wurde erst 2019 auf behördliche Beanstandung hin eingestellt. Die Klägerin klagte daraufhin auf Feststellung der Schadensersatzpflicht wegen Datenschutzverstoßes nach DSGVO. In Vorinstanzen scheiterte sie – bis zum Revisionsurteil des BGH.
Entscheidung
Der BGH stellte klar:
- Die Führung von Personalakten durch unbefugte Dritte stellt einen Datenschutzverstoß dar. Ein bloßer Kontrollverlust über sensible Daten genügt, um einen immateriellen Schaden im Sinne von Art. 82 DSGVO zu bejahen.
- Die Vorinstanz hatte fälschlich verlangt, dass der Klägerin darüber hinaus konkrete negative Gefühle oder soziale Nachteile entstanden sein müssten.
- Der BGH stellte fest, dass bereits die unzulässige Übermittlung personenbezogener Daten – ohne Einwilligung oder gesetzliche Grundlage – einen Entschädigungsanspruch auslösen kann. Dies gelte unabhängig davon, ob der Verstoß bewusst oder fahrlässig erfolgte.
Relevanz für die Praxis
Dieses Urteil hat direkte Auswirkungen auf Unternehmen, Behörden und HR-Abteilungen:
- Keine Datenweitergabe ohne Rechtsgrundlage: Nicht nur innerhalb des öffentlichen Dienstes, sondern auch in der Privatwirtschaft, vor allem Konzernstrukturen gilt: Zugriff auf Beschäftigtendaten darf nur erfolgen, wenn eine rechtliche Grundlage (z. B. Einwilligung oder andere Rechtmäßigkeit nach Art. 6 DSGVO) besteht.
- Prüfen Sie Ihre Dienstleister & Zugriffskreise: Wer hat Zugriff auf Personalakten? Lagern Sie Teile der Verwaltung aus (z. B. an Shared-Service-Center, Externe oder über Softwareanbieter), sollten Sie dringend die datenschutzrechtliche Zulässigkeit prüfen und dokumentieren.
- Dokumentationspflicht ernst nehmen: Unternehmen tragen die Nachweispflicht für DSGVO-konforme Datenverarbeitung. Versäumnisse oder unklare Zuständigkeiten können zu Schadensersatzansprüchen führen – auch ohne materiellen Schaden.
- Schulungen & Prozesse absichern: Sensibilisieren Sie alle Beteiligten im HR-Bereich für die Bedeutung datenschutzkonformer Aktenführung – inklusive Vertretungen, Übergaben und Zugriffen durch Dritte.
Was wir für Sie tun können
Sie haben Fragen zum Thema? Sprechen Sie uns gerne an!
Das Wichtigste kurz zusammengefasst:
- Bereits der Verlust der Datenkontrolle kann einen immateriellen Schaden i.S.d. DSGVO darstellen.
- Arbeitgeber tragen das Risiko unzulässiger Datenverarbeitung auch bei interner Organisation.
- Datenschutzkonforme Zuständigkeitsregelungen sind für HR essenziell – auch ohne externen Dienstleister.
