So das Gericht in seiner Entscheidung vom 8.Mai 2025 (Az.: 8 AZR 209/21).Das Gericht sah einen entsprechenden Kontrollverlust über die personenbezogenen Daten, die nicht durch die Rechtsgrundlage der Betriebsvereinbarung und eine Rechtsgrundlage aus der DSGVO abgedeckt waren. Daraus resultiert der Anspruch aus Art. 82 DSGVO. Das Gericht führt in den Entscheidungsgründen unter anderem aus:
„…Ausgehend von diesen Grundsätzen ist ein Schadenersatz in Höhe von 200,00 Euro angemessen. Dieser Betrag ist erforderlich aber auch ausreichend, um den dem Kläger entstandenen immateriellen Schaden auszugleichen. Dabei sind insbesondere die Sensibilität der konkret betroffenen personenbezogenen Daten unterhalb der Schwelle des Art. 9 DSGVO zu beachten, ebenso wie der größere, jedoch im Konzern begrenzte Empfängerkreis und die Dauer des Kontrollverlustes (vgl. BGH 18. November 2024 – VI ZR 10/24 – Rn. 99, BGHZ 242, 180). Keine Rolle bei der Bemessung der Höhe des Schadenersatzes konnte der Umstand spielen, dass personenbezogene Daten des Klägers in ein Drittland übertragen worden sind. Der Kläger hat erklärt, sich nicht auf Verstöße gegen Art. 44 ff. DSGVO zu berufen…“
Zuvor äußert sich das Gericht auch dazu, dass die Regelungen einer Betriebsvereinbarung nicht umgangen werden können, sofern diese Regelungen zum Datenschutzrecht enthält. Dies war im Streitfall so, da personenbezogene Daten über den Regelungsumfang der Betriebsvereinbarung hinaus verarbeitet worden waren. Dazu äußert das Gericht sich unter anderem wie folgt:
„…Die Überlassung dieser Daten an die Konzernobergesellschaft ist nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gerechtfertigt. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Eine Rechtfertigung der Verarbeitung personenbezogener Daten im vorläufigen Betrieb von Workday zu „Testzwecken“ ist nicht von vornherein ausgeschlossen, sofern entpersonalisierte sog. Dummy-Versuchsdaten nicht ausreichen, um den Testzweck zu erreichen (BAG 22. September 2022 – 8 AZR 209/21 (A) – Rn. 29, BAGE 179, 120). Ein vorläufiger Testbetrieb mit personenbezogenen Daten kann im Einzelfall zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich sein, um eine Softwareumstellung vorzubereiten. Allerdings stellt sich hier die überschießende Datenverarbeitung im Ergebnis schon deshalb als nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dar, weil sie über die Erlaubnis in der BV Duldung hinausgeht (vgl. BAG 22. September 2022 – 8 AZR 209/21 (A) – Rn. 24, aaO). Die Beklagte hat mit dem Betriebsrat in der BV Duldung vereinbart, dass bestimmte personenbezogene Daten zu Testzwecken an die Konzernobergesellschaft übertragen werden. Dabei handelt es sich um die Personalnummer, den Nachnamen, den Vornamen, das Eintrittsdatum, das Eintrittsdatum in den Konzern, den Arbeitsort, die Firma, die geschäftliche Telefonnummer und die geschäftliche E-Mail-Adresse. Nachdem die Beklagte und der Betriebsrat die Erlaubnis auf diese im Einzelnen aufgezählten personenbezogenen Daten beschränkt haben, ist davon auszugehen, dass lediglich diese Daten für Testzwecke erforderlich waren. Die Beklagte behauptet selbst nicht, dass die weiteren von ihr an die Konzernobergesellschaft übertragenen Daten erforderlich gewesen wären, um Workday zu testen…“