Ein Unternehmen nutzt Echtdaten, um eine neue Software zu testen – und übermittelt dabei deutlich mehr Informationen als vereinbart. Das Bundesarbeitsgericht stellt klar: Betriebsvereinbarungen sind kein Persilschein für Datenschutzverstöße.
Ein Unternehmen darf die Grenzen einer Betriebsvereinbarung bei der Weitergabe personenbezogener Daten seiner Mitarbeiter nicht überschreiten. Das Bundesarbeitsgericht (BAG) hat entschieden: Wer ohne ausreichende Rechtsgrundlage sensible Daten mit einer anderen Gesellschaft auch innerhalb des Konzerns teilt, kann schadenersatzpflichtig werden (Urt. v. 08.05.2025, Az. 8 AZR 209/21).
Im Jahr 2017 plante ein Unternehmen, das cloudbasierte Personalverwaltungssystem "Workday" konzernweit einzuführen. Um die Software vor der offiziellen Einführung zu testen, sollten Echtdaten der Mitarbeiter verwendet werden – ein übliches Vorgehen in der IT- und Personalwirtschaft. Zu diesem Zweck schloss das Unternehmen eine Betriebsvereinbarung mit dem Betriebsrat, die es dem Arbeitgeber ermöglichte, bestimmte personenbezogene Daten der Mitarbeiter an die Software zu übermitteln. Zu den erlaubten Daten gehörten Name, Eintrittsdatum, Arbeitsort sowie geschäftliche Kontaktdaten.
Doch während des Testbetriebs wurden mehr Daten übermittelt, als die Betriebsvereinbarung es gestattete. Der betroffene Arbeitnehmer entdeckte, dass auch sensible Informationen wie Gehaltsdaten, private Wohnanschriften und Steuer-IDs an die Konzernmuttergesellschaft weitergegeben wurden. Der Arbeitnehmer, der mit dieser Übertragung nicht einverstanden war, forderte Schadenersatz nach Art. 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO).
Das Landesarbeitsgericht Baden-Württemberg wies die Klage ab (Urt. v. 25.02.2021, Az. 17 Sa 37/20), das BAG setze das Revisionsverfahren aus und legte dem Europäischen Gerichtshof (EuGH) einige Fragen zur Auslegung des Unionsrechts vor.
EuGH: Betriebsvereinbarung muss DSGVO-konform sein
Der EuGH stellte daraufhin klar, dass Regelungen zur Datenverarbeitung in Betriebsvereinbarungen stets den Vorgaben der DSGVO entsprechen müssen (Urt. v. 19.12.2024, Az. C-65/23). Dabei geht es insbesondere um die Grundsätze der "Zweckbindung" und "Speicherbegrenzung", die eine Verarbeitung nur im Rahmen des ursprünglich festgelegten Zwecks und für einen begrenzten Zeitraum erlauben. Doch das Gericht ging noch weiter: Eine Betriebsvereinbarung dürfe nur solche Datenverarbeitungen regeln, die auch nach den datenschutzrechtlichen Vorgaben – insbesondere nach Art. 6 und 9 DSGVO – gesetzlich zulässig sind.
Für die Praxis bedeutet dies, dass Betriebsparteien nicht ohne Weiteres eine Datenverarbeitung per Betriebsvereinbarung regeln können, wenn diese nicht den strengen Anforderungen der DSGVO entspricht. Betriebsvereinbarungen müssen der gerichtlichen Kontrolle standhalten. Der EuGH betonte, dass sie hinsichtlich der Verarbeitung von Beschäftigtendaten vollständig der datenschutzrechtlichen Kontrolle unterliegen.
BAG: Schadenersatz für Kontrollverlust
Das BAG folgte der Rechtsprechung des EuGH und sprach dem Kläger Schadenersatz zu. Die Beklagte habe mehr personenbezogene Daten an die Konzernobergesellschaft übermittelt, als es die Betriebsvereinbarung zuließ. Diese Übertragung sei nicht erforderlich gewesen im Sinne von Art. 6 Abs. 1 lit. f DSGVO (Rechtmäßigkeit der Verarbeitung aufgrund berechtigter Interessen) und habe somit gegen die DSGVO verstoßen, so das BAG.
Bisher liegt lediglich die Pressemitteilung des BAG vor. Danach liegt der immaterielle Schaden des Klägers in dem Kontrollverlust über die personenbezogenen Daten, der durch die unzulässige Datenweitergabe an die Konzernobergesellschaft verursacht worden sei. Dieser Kontrollverlust sei ein immaterieller Schaden gemäß Art. 82 Abs. 1 DSGVO zu ersetzen. Da in diesem Fall tatsächlich ein Kontrollverlust vorlag, dürfte diese Entscheidung auf der Linie früherer Entscheidungen des BAG liegen: Der 8. Senat hat zuletzt jedenfalls mehr als ein Störgefühl des Betroffenen gefordert, um den Schaden iSd DSGVO anzunehmen.
Das BAG bestätigte zudem, dass Betriebsvereinbarungen als Grundlage für eine Verarbeitung von personenbezogenen Daten gelten können, dies aber nur im Rahmen der getroffenen Vereinbarungen.
xp/tap/LTO-Redaktion
BAG zu DSGVO-Verletzung nach Betriebsvereinbarung: . In: Legal Tribune Online, 08.05.2025 , https://www.lto.de/persistent/a_id/57160 (abgerufen am: 14.05.2025 )
Infos zum Zitiervorschlag
