BAG-Urteil zu § 26 BDSG

Urteil des BAG zu § 26 BDSG (Beschäftigtendatenschutz) vom 8. Mai 2025 – 8 AZR 209/21

Zum Sachverhalt:

Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit „Workday“ als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Am 3. Juli 2017 unterzeichneten die Beklagte und der bei ihr bestehende Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ (im Folgenden BV Duldung), mit der sie den vorläufigen Betrieb von Workday regelten. Nach der BV Duldung war es ua. untersagt, die Software während des Testzeitraums für die Personalverwaltung zu verwenden. Weiter war dort vereinbart, dass vor der Einführung des Systems als Produktivsystem eine Betriebsvereinbarung abgeschlossen werden muss, die die Anwendung von Workday regelt. In der Anlage 2 zur BV Duldung wurden die zur testweisen Nutzung der Software Workday aus der Personalverwaltungs-Software zu übermittelnden Daten aufgelistet: Personalnummer, Nachname, Vorname, Eintrittsdatum, Eintrittsdatum im Konzern, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse. Die Wirkungen der BV Duldung wurden bis zum Inkrafttreten einer unter dem 23. Januar 2019 im Rahmen eines Einigungsstellenverfahrens geschlossenen endgültigen Betriebsvereinbarung mehrfach verlängert.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO immaterieller Schadenersatz in einer Größenordnung von 3.000,00 Euro zu. Der Beklagten sei es nach der Datenschutz-Grundverordnung und den einschlägigen Bestimmungen des Bundesdatenschutzgesetzes nicht erlaubt gewesen, im Zeitraum vom 25. Mai 2018 bis zum Ende des ersten Quartals 2019 im cloudbasierten Personal-Informationsmanagementsystem Workday personenbezogene Echtdaten zu verarbeiten. Die Datenverarbeitung sei nicht zu Testzwecken für den späteren Betrieb von Workday als konzernweit einheitliches Personal-Informationsmanagementsystem erforderlich gewesen. Vielmehr hätten für die Testphase sog. Dummy-Versuchsdaten ausgereicht. Die Beklagte habe im Übrigen über die in der BV Duldung und deren Anlagen genannten Datenkategorien hinausgehend auch weitere Daten wie seine privaten Kontaktdaten, Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-ID, seine Staatsangehörigkeit und seinen Familienstand übermittelt. Soweit der Kläger zunächst auch beanstandet hatte, es sei überdies nicht rechtmäßig gewesen, seine personenbezogenen Daten auf eine Sharepoint-Seite der Konzernobergesellschaft mit Server-Standort in den USA zu übertragen und er insoweit Verstöße gegen Art. 28 und Art. 44 ff. DSGVO behauptet hatte, hat er sich darauf im Revisionsverfahren ausdrücklich nicht mehr berufen. Zuletzt hat sich der Kläger ausschließlich noch darauf gestützt, dass die Beklagte personenbezogene Daten verarbeitet habe, die von der BV Duldung nicht erfasst gewesen seien.

Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.

Zum Ergebnis: Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.

Ergebnis:

1. Schadensersatz in Höhe von EUR 200,- gerechtfertigt wegen Kontrollverlusts

2. Das BAG findet, § 26 Satz 1 ist DSGVO-widrig und daher „nicht anzuwenden“

3. Tests können mit echten Beschäftigtendaten vorgenommen werden, müssen sich dann aber auf Art. 6 Abs. 1 lit. f DSGVO stützen

Stand: 15.10.2025

BGH-Urteil zum Thema Authentifizierung eines Kunden am Telefon

Urteil des BGH vom 23.10.2025

Die Beklagte (ein Telekommunikationsunternehmen) verwendet in ihren Allgemeinen Geschäftsbedingungen unter anderem folgende Klauseln:

"7. Sperre

7.1Der Diensteanbieter darf Sprachkommunikationsdienste und Internetzugangsdienste nach Maßgabe des § 61 TKG ganz oder teilweise sperren. […]

8. Verpflichtung und Haftung des Kunden

8.5Der Kunde hat dem Diensteanbieter eine missbräuchliche Nutzung oder den Verlust der ihm vom Diensteanbieter zur Verfügung gestellten SIM unter Nennung der Rufnummer und des persönlichen Kennwortes zwecks Sperrung der SIM unverzüglich mitzuteilen. Dies kann insbesondere entweder telefonisch bei der Hotline des Diensteanbieters oder elektronisch im Kundenportal erfolgen."

Der klagende Verbraucherschutzverband hält Satz 1 der Klausel Nr. 8.5 für unzulässig. Mit seiner Klage hat er von der Beklagten unter anderem verlangt, die Verwendung dieser sowie fünf weiterer Klauseln zu unterlassen.

Das Landgericht hat der Klage im Hinblick auf zwei Klauseln stattgegeben und sie im Übrigen - auch bezüglich der Klausel Nr. 8.5 - abgewiesen. Das Oberlandesgericht hat das landgerichtliche Urteil auf die Berufung des Klägers teilweise abgeändert und der Klage unter anderem hinsichtlich der Klausel Nr. 8.5 stattgegeben.

Mit der vom Berufungsgericht beschränkt auf diese Klausel zugelassenen Revision verfolgt die Beklagte ihren insoweit gestellten Klageabweisungsantrag weiter.

Die Entscheidung des Bundesgerichtshofs, Urteil vom 23. Oktober 2025 – III ZR 147/24 : Die Revision ist unbegründet. Das Berufungsgericht hat die Klausel zu Recht als gemäß § 307 Abs. 1 Satz 1 BGB unwirksam angesehen. Sie ist so zu verstehen, dass die Beklagte eine Sperre des Anschlusses nur durchführt, wenn auch das Kennwort genannt wird. Dies führt zu einer unangemessenen Benachteiligung der Kunden der Beklagten. Zwar haben beide Seiten ein berechtigtes Interesse daran, dass sich derjenige, der eine SIM-Kartensperre verlangt, als Berechtigter authentifiziert, um Missbräuchen vorzubeugen. Jedoch wird durch das Erfordernis, für eine Sperre zwingend das Kennwort des Kunden zu nennen, dessen berechtigtes Interesse an einer zügigen und unkomplizierten Sperre unzumutbar beeinträchtigt. Vom Mobilfunkkunden kann nicht erwartet werden, angesichts der Vielzahl der im Alltag zu verwendenden Passwörter sämtliche im Gedächtnis zu behalten oder bei Abwesenheit von der Wohnung notiert mit sich zu führen. Der Beklagten ist es hingegen zuzumuten, auch andere Authentifizierungsmöglichkeiten – wie etwa die Beantwortung einer von den Kunden hinterlegten Frage nach persönlichen Umständen – zuzulassen, die einen vergleichbaren Schutz vor einer missbräuchlichen Sperre durch Dritte bewirken, jedoch nicht das Abrufen präsenten Wissens ohne Gedächtnisstütze erfordern

Ergebnis des BGH:Eine AGB-Klausel, nach der für die kundenseitige Sperre einer SIM-Karte neben der Rufnummer das Kennwort angegeben werden muss, ist unwirksam.

Stand: 29.10.2025

Beschluss des VGH München zur Videoaufzeichnung mittels Bodycam

Bayerischer VGH, Beschluss vom 12.09.2025 - 5 ZB 23.1778

Aus dem Sachverhalt

Der Kläger wendet sich gegen die Einstellung eines Beschwerdeverfahrens durch das Bayerische Landesamt für Datenschutzaufsicht (Beklagter). Er begehrt, dass das Landesamt tätig wird, weil er am 13. Januar 2021 von einer privaten Sicherheitskraft in einem Einkaufszentrum mit einer Bodycam gefilmt wurde.

Der Kläger schilderte, dass er auf einer Sitzbank außerhalb des Einkaufszentrums, die er als öffentlichen Raum ansah, einen Döner essen wollte. Ein Sicherheitsmitarbeiter der B. GmbH (Einkaufszentrum) habe ihn zunächst von einer Bank im Inneren verwiesen und dann auch von der Bank im Freien. Als der Kläger nicht freiwillig ging, habe der Sicherheitsmitarbeiter ohne Vorankündigung seine Bodycam eingeschaltet und ihn gefilmt.

Die B. GmbH entgegnete, der Kläger habe sich uneinsichtig und beleidigend verhalten und sei darauf hingewiesen worden, dass die Bodycam zur Beweissicherung aktiviert werde. Die Bank im Außenbereich gehöre ebenfalls zum Hausrecht des Einkaufszentrums. Die Aufnahmen seien später gelöscht worden, da der Zweck (Feststellung der Personalien durch die Polizei am 20. Januar 2021 bei einem erneuten Vorfall) erfüllt gewesen sei.

Das Landesamt für Datenschutzaufsicht kam nach Prüfung zu dem Schluss, dass keine Anhaltspunkte für einen Datenschutzverstoß vorlägen und ergriff keine aufsichtlichen Maßnahmen. Es konnte nicht mehr geklärt werden, ob die Bodycam erst nach Ankündigung aktiviert wurde.

Der Kläger erhob daraufhin Klage beim Verwaltungsgericht Ansbach, um das Landesamt zu verpflichten, datenschutzaufsichtliche Maßnahmen zu ergreifen. Das Verwaltungsgericht wies die Klage am 25. April 2023 ab.

Aus den Entscheidungsgründen

Der Antrag des Klägers auf Zulassung der Berufung gegen das Urteil des Verwaltungsgerichts wurde abgelehnt, da keine ernstlichen Zweifel an der Richtigkeit des Urteils bestanden und kein relevanter Verfahrensmangel vorlag.

Das Gericht stellte fest, dass die Bank im Außenbereich dem Hausrecht des Betreibers des Einkaufszentrums unterliegt. Der Nutzungsvertrag aus dem Jahr 1997, der in der mündlichen Verhandlung vorgelegt wurde, beziehe das Hausrecht des Betreibers jedenfalls auf die nicht öffentlich gewidmeten Flächen. Die vom Kläger herangezogene Optik der Bank als "öffentlicher Raum" und die städtische Allgemeinverfügung zum Infektionsschutz änderten nichts daran, dass das Hausrecht des Betreibers auf dem fraglichen Gelände bestand.

Die Frage, ob der Kläger sich aggressiv verhalten hat, konnte nicht abschließend geklärt werden. Hier standen sich die Aussagen des Klägers und des Sicherheitsdienstes gegenüber. Dem Beklagten (Landesamt) sei kein Ermittlungsdefizit vorzuwerfen. Das Verwaltungsgericht habe nicht ein aggressives Verhalten des Klägers unterstellt, sondern lediglich festgestellt, dass dies nicht mit den vorhandenen Mitteln ermittelbar sei. Da die Aufnahmen bereits gelöscht waren, konnten sie nicht mehr zur Beweisführung herangezogen werden. Eine Befragung von Personen, die die Aufnahmen gesehen haben könnten, sei ebenfalls nicht zielführend gewesen, da die Kamera gerade eine mögliche Verhaltensänderung hervorrufen könnte.

Es konnte auch nicht festgestellt werden, dass der Verantwortliche seinen Informationspflichten gemäß Art. 12 ff. DSGVO nicht nachgekommen ist oder dass die Bodycam ohne vorherigen Hinweis in Betrieb genommen wurde. Auch hier lag Unerweislichkeit vor ("Aussage gegen Aussage"). Das Gericht ging davon aus, dass das rote Licht der Bodycam während der Aufnahme geleuchtet habe und dass ein Informationsblatt, wenn möglich, ausgehändigt worden wäre.

Der Kläger rügte eine Verletzung seines Anspruchs auf rechtliches Gehör, da der entscheidungserhebliche Nutzungsvertrag erst in der mündlichen Verhandlung vorgelegt und er sich dazu nicht ausreichend äußern konnte. Das Gericht sah dies nicht als Verfahrensmangel an. Der Vertrag sei in der Verhandlung erörtert worden, und der Kläger habe sich äußern können. Hätte er mehr Zeit benötigt, wäre es seine Obliegenheit gewesen, eine Kopie anzufordern oder eine Vertagung bzw. Schriftsatznachlass zu beantragen. Dies sei unterblieben. Auch die mögliche Nichtweiterleitung einer Stellungnahme des Einkaufszentrums durch den Beklagten begründe keinen gerichtlichen Verfahrensfehler, da sich der Kläger im gerichtlichen Verfahren dazu äußern konnte.

Fazit:

Der Kläger konnte weder ernstliche Zweifel an der Richtigkeit des erstinstanzlichen Urteils darlegen noch einen Verfahrensmangel schlüssig begründen. Das Landesamt für Datenschutzaufsicht hat seine Aufgaben im Beschwerdeverfahren ordnungsgemäß erfüllt, und es konnten keine Verstöße gegen die DSGVO festgestellt werden, die ein aufsichtliches Einschreiten erforderlich gemacht hätten.

Stand: 08.10.25

Recht im E-Business

Vortrag von Rechtsanwältin Sabine Sobola zum Thema "Recht im E-Business" im Rahmen der Hans Lindner Regionalförderung für Existenzgründer, Jungunternehmer und Betriebsnachfolger in Neumarkt am 23.10.2025.

EuGH-Urteil zum Unterlassungsanspruch aus der DSGVO

EuGH-Urteil vom 04.09.2025 – C-655/23

Aus dem Sachverhalt:

Im Bewerbungsprozess wollte eine HR-Mitarbeiterin der Quirin-Bank einem Kandidaten mitteilen, dass dessen Gehaltsforderung zu hoch sei. Diese Nachricht versendete sie über Xing an eine falsche Person, ausgerechnet einem früheren Arbeitskollegen des Bewerbers. Dieser leitete die Nachricht an den Kläger weiter, sodass der Fehler schnell bekannt wurde. Der Kläger machte nun einen Datenschutzverstoß geltend: Sein Schaden liege nicht nur im abstrakten Kontrollverlust der Daten, sondern darin, dass nunmehr eine weitere Person, die den Kläger und potenzielle sowie ehemalige Arbeitgeber kenne, Kenntnis über diskrete Umstände habe: Zum einen dass sich der Kläger auf Jobsuche befindet, zu welchem Arbeitgeber er möchte und welche Gehaltsvorstellungen er habe.

Nach Ansicht des Klägers sei zu befürchten, dass in der gleichen Branche tätige Dritte die darin enthaltenen Daten weitergegeben haben und sich durch ihre Kenntnis als Konkurrenten Vorteile im Bewerbungsprozess verschaffen konnten. Zudem machte er geltend, er empfinde das Unterliegen in den Gehaltsverhandlungen als „Schmach“, die er so nicht an Dritte oder potenzielle Konkurrenten weitergegeben hätte.

Das LG Darmstadt gab dem Unterlassungsanspruch teilweise statt und verurteilte die Bank zur Zahlung von 1.000 EUR aufgrund des immateriellen Schadens, der dem Kläger entstanden ist. Das OLG Frankfurt kassierte dieses Urteil. Danach legte der Kläger Revision zum BGH ein, der daraufhin dem EuGH mehrere (umstrittene) Fragen vorlegte.

Aus den Urteilsgründen

Der EuGH bestätigte seine bisher vertretene Rechtsprechung, dass ein Schadensersatzanspruch gem. Art. 82 DSGVO grundsätzlich nicht davon abhängig gemacht werden darf, dass der Schaden einen bestimmten Grad an Erheblichkeit hat (sog. Bagatellgrenze). Der Begriff immaterieller Schaden umfasse auch negative Gefühle, welche der Betroffene aufgrund einer unrechtmäßigen Übermittlung seiner Daten empfinde. Darunter fallen auch Sorge über den Missbrauch der Daten oder eine mögliche Rufschädigung. Der Betroffene müsse aber nicht nur den DSGVO-Verstoß nachweisen, sondern auch die dadurch kausal empfundenen Gefühle und ihre negativen Folgen. Bezüglich des Schadensersatzanspruches wollte der BGH wissen, ob ein bestehender Unterlassungsanspruch diesen ausschließe. Antwort des EuGH: Nein. Eine Unterlassungsverfügung, die der oder die Betroffene erwirkt, steht einem Schadensersatzanspruch nicht entgegen und wirkt sich auch nicht mindernd auf die Höhe des Schadensersatzes aus. Begründet wurde dies mit den unterschiedlichen Zielrichtungen: Art. 82 DSGVO erfüllt ausschließlich eine ausgleichende Funktion, während eine Unterlassungsanordnung eine rein präventive Zielsetzung hat.
Der BGH legte dem EuGH zudem Fragen zum Löschungsanspruch nach Art. 17 DSGVO vor. Wird ein solcher Anspruch erhoben, umfasst er auch das zukünftige Unterlassen der weiteren Datennutzung.

Im vorliegenden Fall hatte der Kläger jedoch keine Löschung beantragt, sondern ausschließlich die künftige Unterlassung der Datenverarbeitung verlangt. Der EuGH entschied, dass die DS-GVO keinen präventiven Unterlassungsanspruch im Hinblick auf die persönlichen Daten der Betroffenen vorsehe, wenn diese nicht auch gleichzeitig die Löschung der Daten beantragten. Ein Unterlassungsanspruch lässt sich weder mit dem Wortlaut der Norm noch entspricht dies dem Zweck der DSGVO.

Daher muss ein Rückgriff auf die §§ 823, 1004 BGB vorgenommen werden. Allerdings hinderten die Bestimmungen der DS-GVO die Mitgliedstaaten umgekehrt auch nicht daran, einen solchen Rechtsbehelf in ihren nationalen Rechtsordnungen vorzusehen.

Fazit: Einen isolierten Unterlassungsanspruch aus der DSGVO gibt es nicht. Er kann aber aus anderen nationalen Normen neben der DSGVO geltend gemacht werden.

Stand: 01.10.2025

NIS2-Update: Vorstellung des aktuellsten Gesetzesentwurfs samt Aufbereitung seiner praktischen Auswirkungen

Vortrag von Rechtsanwältin Sabine Sobola zum Thema "NIS2-Update: Vorstellung des aktuellsten Gesetzesentwurfs samt Aufbereitung seiner praktischen Auswirkungen" im Rahmen der LiiDU-Herbstwerkstatt für IT-Sicherheit und Datenschutz am 26.09.2025 in Regensburg.

DSGVO-Update: die wichtigsten DSGVO-relevanten Klarstellungen des letzten Jahres durch EDSA, DSK und Gerichtsurteile

Vortrag von Rechtsanwältin Sabine Sobola zum Thema "DSGVO-Update: die wichtigsten DSGVO-relevanten Klarstellungen des letzten Jahres durch EDSA, DSK und Gerichtsurteile " im Rahmen der LiiDU-Herbstwerkstatt für IT-Sicherheit und Datenschutz am 25.09.2025 in Regensburg.

Wer ist datenschutzrechtlich für die Bearbeitung eines eingehenden Werbewiderspruchs verantwortlich?

Grundsatz: Verantwortlich ist die Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO)

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam verantwortlich (Art. 26 Abs. 1 S. 1 DSGVO).

Die Berliner Datenschutzbehörde veröffentlichte in ihrem Jahresbericht 2024 eine rechtliche Neubewertung des Art. 26 DSGVO: Kombination aus Adressanmietung und Lettershop-Versand begründen eine gemeinsame Verantwortlichkeit.

Der Berliner Datenschutzbeauftragte verweist u.a. auf die Rechtsprechung des EuGH wonach bereits eine mittelbare Einflussnahme auf die Datenverarbeitung ausreichen kann.

Der EuGH legt den Begriff des „Verantwortlichen“ sehr weit aus, um einen wirksamen Schutz der Betroffenen zu garantieren. Entscheidend ist nicht der tatsächliche Zugriff auf die Daten, sondern die gemeinsame Entscheidung über die Zielrichtung und Umsetzung der Verarbeitung. Auch die Auswahl bestimmter vom Adresseigner vorgeschlagener Selektionskriterien kann ausreichen, um von einer gemeinsamen Verantwortlichkeit auszugehen.

Die Behörde sprach Verwarnungen aus, da keine Vereinbarung im Sinne des Art. 26 Abs. 1 S. 2 DSGVO abgeschlossen wurde. Zudem lag auch keine Rechtsgrundlage für die Verarbeitung der Daten vor.

Fazit:

Die soziale Organisation muss wohl die Widersprüche an den Adresseigner weiterleiten (außer im Art. 26-Vertrag ist etwas anderes geregelt), da Adresseigner und Organisation grundsätzlich gemeinsam verantwortlich für die Bearbeitung des Widerspruchs des Betroffenen sind.

Unternehmen sollten hier ihre Werbestrategien überdenken.

Stand: 17.09.2025

NIS-2: Die TOP-Regelungsinhalte des Regierungsentwurfs

Online-Vortrag von Rechtsanwältin Sabine Sobola zum Thema „NIS-2: Die TOP-Regelungsinhalte des Regierungsentwurfs " im Rahmen einer Veranstaltung der LiiDU GmbH am 08.08.2025.

NIS-2 für Datenschutzbeauftragte und Datenschutzkoordinatoren

Online-Seminar von Rechtsanwältin Sabine Sobola zum Thema „NIS-2 für Datenschutzbeauftragte und Datenschutzkoordinatoren: Die neuen gesetzlichen Vorgaben im IT-Sicherheitsrecht aus Datenschutzsicht –NIS-2, NIS2UmsuCG und CRA" im Rahmen einer Veranstaltung der TÜV Nord Akademie am 29.07.2025.