Überlässt eine Bundesbehörde Personalakten ihrer Mitarbeiter an Bedienstete des Landes, kann dies zu einem „Kontrollverlust“ über personenbezogene Daten führen und einen Schadensersatzanspruch nach Art. 82 DSGVO begründen. Das hat der Bundesgerichtshof (BGH) entschieden (Az.: VI ZR 365/22 vom 11.02.2025).

In die Personalakte der Beamtinnen und Beamten werden alle Vorgänge und Daten aufgenommen, die im Zusammenhang mit dem Beamtenverhältnis anfallen. Nicht selten kommt es vor, dass Dienstherrn die Personalaktenführung einer anderen Stelle übertragen, etwa bei einer Zuweisung oder Abordnung). Dabei bleibt der Dienstherr an die datenschutzrechtlichen Vorgaben gebunden und muss Rechtsunsicherheiten für die betroffenen Beschäftigten und die mit der Aktenführung betrauten Dienstkräfte ausschließen. Der Dienstherr hat dabei nicht nur Grundsätze des Personalaktenrechts, wie die Wahrheit und Vollständigkeit der Personalakte, sondern vor allem die erforderliche Integrität und Vertraulichkeit zu gewährleisten. Nur die datenschutzkonforme Personalaktenführung kann die Entstehung möglicher Schadenersatzansprüche verhindern.

In dem vom BGH entschiedenen Fall klagte eine bei der Bundesanstalt für Geowissenschaften und Rohstoffe tätige Bundesbeamtin auf immateriellen Schadensersatz, weil ihre Personalakte nicht von Bediensteten des Bundes, sondern dem Land Niedersachsen geführt und verwaltet wurden. Anders als Vorinstanzen beim Landgericht Hannover und dem Oberlandesgericht Celle gab der BGH der Beamtin Recht und bejahte einen immateriellen Schaden bereits wegen der Überlassung der Personalakte an Bedienstete des Landes und dem Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte gespeicherten personenbezogenen Daten.“ Diese Aktenverwaltung durch Landesbedienstete sei nicht von § 111a Abs. 1 BBG a.F. i.V.m. § 26 BDSG, Art. 88 DSGVO erfasst und verstoße gegen Art. 5 Abs. 1 lit. a) DSGVO sowie Art. 28 DSGVO.

„Mit diesem Grundsatzurteil senkt der BGH die Voraussetzungen für einen immateriellen Schadensersatzanspruch weiter ab“, sagt Rechtsanwältin Zeynep Kenar. „Bereits der Kontrollverlust über personenbezogene Daten kann ausreichen, um einen immateriellen Schadensersatzanspruch zu begründen, ohne dass es dabei auf eine konkrete Verletzung des Allgemeinen Persönlichkeitsrechts oder eine schwerwiegende Beeinträchtigung ankommt.“