DSGVO Kontrollverlust als Schadensersatzgrund – BAG 2025

Ein Urteil des Bundesarbeitsgerichts (BAG) aus Mai 2025 bringt für die Praxis eine zentrale Klarstellung: Bereits der Kontrollverlust über personenbezogene Daten kann als immaterieller Schaden einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründen – auch dann, wenn kein nachweisbarer Missbrauch der Daten durch Dritte erfolgt. Maßgeblich ist dabei der Art. 82 DSGVO Schadensersatz als Anspruchsgrundlage für den Ausgleich immaterieller Nachteile.

Auslöser war die Einführung eines cloudbasierten HR-Systems, bei dem personenbezogene Daten in einem Umfang verarbeitet und übermittelt wurden, der über den vereinbarten Rahmen hinausging.

Im Kern stärkt die Entscheidung die datenschutzrechtliche Position betroffener Personen: Wer die tatsächliche Herrschaft über den Verbleib, die Zugriffsrisiken und die weitere Verwendung der eigenen Daten verliert, kann bereits dadurch einen ausgleichspflichtigen Nachteil erleiden. Für die Praxis bedeutet das: DSGVO Kontrollverlust Schadensersatz rückt als Fallgruppe stärker in den Vordergrund, selbst ohne nachgewiesenen Datenmissbrauch.

Was bedeutet Kontrollverlust im Sinne der DSGVO?

Kontrollverlust meint im DSGVO-Kontext nicht bloß ein „ungutes Gefühl“, sondern den Verlust der tatsächlichen Einfluss- und Steuerungsmöglichkeit darüber,

• welche personenbezogenen Daten verarbeitet werden,
• zu welchem Zweck,
• durch wen (insbesondere: welche Empfänger / Dienstleister),
• wo (z. B. Drittlandtransfer),
• wie lange und unter welchen Sicherheitsgarantien.

Der Kontrollverlust entsteht typischerweise dann, wenn Daten ohne ausreichende Rechtsgrundlage, ohne Transparenz, in zu großer Breite (fehlende Datenminimierung) oder in einer Weise verarbeitet werden, die Betroffene nicht nachvollziehen oder nicht mehr beherrschen können. Entscheidend ist: Es geht um die Datenhoheit als geschütztes Interesse – also darum, die eigenen Daten nicht „aus der Hand zu geben“, ohne dass Zweck, Umfang und Zugriff klar begrenzt sind.

BAG-Urteil 2025 – warum Kontrollverlust genügt

Der konkrete Fall betraf die Umstellung eines Unternehmens von SAP auf das Personalmanagementsystem „Workday“. Im Zuge der Implementierung wurden nicht nur die vorgesehenen Datenarten verarbeitet, sondern auch weitere – teils besonders sensible – Informationen übermittelt, darunter private Adresse, Familienstand, Einkommen und persönliche Steuernummer. Die Daten wurden dabei auf Server in den USA übertragen.

Das BAG stellte darauf ab, dass die Weitergabe dieser zusätzlichen Informationen nicht erforderlich war und damit rechtswidrig erfolgte. Genau in dieser Konstellation sah das Gericht den immateriellen Nachteil bereits im Verlust der Kontrolle: Wer nicht mehr sicher bestimmen kann, welche Daten in welchem Umfang und in welcher Zugriffslage verarbeitet werden, erleidet einen ausgleichspflichtigen Eingriff in die eigene Datenhoheit.

Damit rückt das BAG den Fokus weg von „Es muss erst etwas passieren“ hin zu: „Der Verlust an Kontrolle ist selbst bereits die Beeinträchtigung.“

In der Sache folgt das Gericht der Argumentation, die häufig unter BAG Kontrollverlust zusammengefasst wird: Der Kontrollverlust ist bereits eine relevante Beeinträchtigung.

In der Praxis stellt sich dabei häufig die Folgefrage, auf welcher Grundlage Arbeitgeber solche HR-Datenverarbeitungen überhaupt legitimieren können – insbesondere, wenn sie auf kollektivrechtliche Regelungen gestützt werden. Wann eine Betriebsvereinbarung als DSGVO-Rechtsgrundlage trägt und welche Grenzen gelten, erläutern wir in diesem Beitrag.

Art. 82 DSGVO – immaterieller Schaden ohne Missbrauch

Eine der praxisrelevantesten Fragen lautet: Reicht Kontrollverlust ohne konkreten Datenmissbrauch? Nach der Linie, die das BAG hier bestätigt, lautet die Antwort: Ja, grundsätzlich. Der Ansatz lässt sich auf die Formel bringen: immaterieller Schaden DSGVO kann bereits durch den Verlust der Datenhoheit entstehen.

Wichtig ist die Abgrenzung: Art. 82 DSGVO verlangt zwar einen Schaden (materiell oder immateriell), aber nicht zwingend den Nachweis, dass Daten bereits

• veröffentlicht,
• gestohlen,
• missbräuchlich genutzt oder
• zu einer konkreten Vermögens- oder Reputationsschädigung geführt

haben. Der Schaden kann vielmehr darin liegen, dass Betroffene

• nicht mehr wissen oder steuern können, wer Zugriff hat,
• einem erhöhten Risiko der Weiterverarbeitung ausgesetzt sind,
• die Verarbeitungs- und Empfängerkette nicht mehr überschauen,
• und dadurch eine nachvollziehbare Beeinträchtigung ihrer Rechte erleiden.

Gleichzeitig gilt: Ein bloßer DSGVO-Verstoß „ohne jede spürbare Beeinträchtigung“ soll nicht automatisch zu Geld führen. Die Anspruchsprüfung läuft daher typischerweise entlang dieser Leitfragen:

• Lag ein DSGVO-Verstoß vor? (insb. fehlende Erforderlichkeit, zu breite Datenverarbeitung, unzulässige Empfänger/Transfers)
• Hat dieser Verstoß zu einem Kontrollverlust geführt, der als Nachteil greifbar ist?
• Besteht Kausalität zwischen Verstoß und Nachteil?

Der Kernpunkt der BAG-Linie ist: Der Nachteil kann schon in der spürbaren Entziehung der Datenkontrolle liegen – ohne dass ein „Folgeschaden“ nachgewiesen werden muss.

Höhe des DSGVO-Schadensersatzes

Im entschiedenen Fall verlangte der Kläger 3.000 €, zugesprochen wurden jedoch 200 €. Diese Differenz ist für die Erwartungssteuerung entscheidend.

Das BAG orientierte sich dabei an der europarechtlichen Leitlinie, dass der Schadensersatz nach Art. 82 DSGVO

• keine Strafzahlung ist,
• nicht der Abschreckung dient,
• sondern ausschließlich den Ausgleich eines tatsächlichen (auch immateriellen) Nachteils bezweckt.

Praktisch bedeutet das: Selbst wenn Kontrollverlust als Schaden „genügt“, ist die Höhe häufig moderat, wenn

• keine Weiterverbreitung,
• kein identifizierter Missbrauch,
• keine schwerwiegenden Folgewirkungen

hinzutreten. Umgekehrt steigt das Risiko deutlich, wenn zusätzliche Umstände vorliegen (z. B. sehr sensible Daten, breite Empfängerkreise, lange Unklarheit, besondere Eingriffsintensität, wiederholte/strukturierte Verstöße).

Parallel zur Schadensersatzfrage spielt im Beschäftigungskontext regelmäßig die Frage der zulässigen Rechtsgrundlage eine Rolle. Welche Anforderungen der EuGH an kollektive Regelungen stellt und warum Betriebsvereinbarungen keine DSGVO-Ausnahme begründen, lesen Sie hier: Art. 88 DSGVO im Beschäftigungskontext.

Bedeutung für Arbeitnehmer und Arbeitgeber

Im Ergebnis gewinnt DSGVO Schadensersatz Arbeitsverhältnis an Gewicht, weil es nicht auf nachweisbare Folgeschäden, sondern auf den Kontrollverlust als Nachteil ankommen kann.

Für Arbeitnehmer verbessert die Entscheidung die Durchsetzbarkeit von Rechten:

• Ein Anspruch kann bereits dann bestehen, wenn Daten unzulässig und in zu großer Breite verarbeitet/übermittelt werden.
• Der Fokus liegt auf der Datenhoheit: Transparenz, Begrenzung und Erforderlichkeit sind nicht „Formalitäten“, sondern substanzielle Schutzmechanismen.
• In der Anspruchsbegründung kommt es besonders auf die konkrete Kontrollentziehung an (welche Daten, welcher Empfänger, welche Zugriffslage, welcher Zeitraum, welche fehlende Begrenzung).

Für Arbeitgeber steigt die Relevanz sauberer Datenarchitektur und Governance:

• „Zu viel“ ist riskanter als „zu wenig“: Datenminimierung und Zweckbindung sind haftungsrelevant.
• Cloud-/Outsourcing-Szenarien erhöhen die Anforderungen an Dokumentation, Berechtigungskonzepte und transparente Kommunikation.
• Bei HR-Transformationen (Systemwechsel, Migration, Parallelbetrieb) ist die Gefahr groß, dass „produktive Daten“ in Test-/Rollout-Prozessen zu umfangreich verarbeitet werden.

Fazit – Kontrollverlust ist kein Bagatellschaden

Das BAG macht deutlich: Kontrollverlust über personenbezogene Daten kann ein ersatzfähiger immaterieller Schaden sein. Ein nachgewiesener Datenmissbrauch ist dafür nicht zwingend erforderlich. Gleichzeitig zeigt die zugesprochene Summe von 200 €, dass die Gerichte den Schadensersatz weiterhin als Ausgleich und nicht als Sanktion verstehen.

Wenn personenbezogene Daten – insbesondere im HR-Kontext – in Umfang oder Empfängerkreis ausufern, entsteht nicht nur Compliance-Risiko, sondern konkretes Haftungsrisiko nach Art. 82 DSGVO. Wer Bußgelder, Individualansprüche und Vertrauensschäden vermeiden will, sollte Datenflüsse und Berechtigungsketten so gestalten, dass Kontrollverlust praktisch ausgeschlossen wird.

Vermeiden Sie Bußgelder und Imageschäden: Lassen Sie Ihre datenschutzrechtlichen Prozesse im Beschäftigungskontext prüfen und schließen Sie Datenschutzlücken, bevor sie zum Anspruch nach Art. 82 DSGVO werden.

Fragen zum DSGVO Kontrollverlust als Schadensersatzgrund?

Jetzt unverbindlich von unseren Rechtsanwälten im IT- und Datenschutzrecht beraten lassen und Datenschutzlücken schließen, bevor sie zum Risiko werden. Wann Betriebsvereinbarungen als Rechtsgrundlage taugen, lesen Sie hier.