BAG: Datenweitergabe nach Betriebsvereinbarung
Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 08.05.2025 (8 AZR 209/21) ein deutliches Signal gesetzt. Unternehmen müssen sich nach dem BAG bei der Datenweitergabe die Grenzen einer Betriebsvereinbarung halten. Insbesondere ist auch bei der konzerninternen Weitergabe von Beschäftigtendaten, selbst wenn diese im Rahmen eines Softwaretests erfolgt, Vorsicht geboten. Überschreiten Arbeitgeber die datenschutzrechtlich zulässige Verarbeitung, könne das zu Schadensersatzansprüchen nach Art. 82 Datenschutzgrundverordnung (DSGVO) führen.
Hintergrund: Einführung von Workday
Im Zentrum des Verfahrens stand die konzernweite Einführung des cloudbasierten Personalmanagementsystems „Workday“. Wie in der Praxis üblich, sollte die Software vor dem Rollout mit Echtdaten getestet werden, um Funktionalität und Systemintegration zu prüfen. Für diesen Testlauf vereinbarte der Arbeitgeber eine Betriebsvereinbarung mit dem Betriebsrat, die die Übermittlung bestimmter, nicht nach Art. 9 DSGVO geschützter, personenbezogener Daten an das System gestattete. Erlaubt waren unter anderem Namen, Eintrittsdatum, Standort und berufliche Kontaktinformationen.
Doch die tatsächlich erfolgte Datenübertragung soll weit über die Vereinbarung hinaus gegangen sein. Neben den zulässigen Informationen habe das Unternehmen unter anderem auch Gehaltsinformationen, private Adressen und Steueridentifikationsnummern an die Konzernmuttergesellschaft übergeben. Ein betroffener Arbeitnehmer klagte daraufhin auf immateriellen Schadensersatz nach Art. 82 DSGVO.
Bisheriger Verfahrensgang
Im März 2021 entschied das Landesarbeitsgericht Baden-Württemberg dann, dass kein DSGVO-Verstoß vorlag. In der Revisionsinstanz entschied sich das BAG dann für eine grundsätzliche Klärung und legte dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur unionsrechtskonformen Auslegung der DSGVO vor. Diese betrafen insbesondere die Rolle und Tragweite von Betriebsvereinbarungen als Grundlage für die Datenverarbeitung.
Vorabentscheidung durch den EuGH
Der EuGH entschied anschließend, dass Betriebsvereinbarungen im Rahmen von Art. 6 Abs. 1 lit. b und lit. c DSGVO eine zulässige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen können. Allerdings gelten dafür die allgemeinen Vorgaben der DSGVO uneingeschränkt – insbesondere die Prinzipien der Zweckbindung, Datenminimierung und Speicherbegrenzung. Folglich müssen solche Vereinbarungen den materiellen Anforderungen des Datenschutzrechts genügen und auch gerichtlicher Kontrolle standhalten. Konkret müssen abweichende Regelungen stets die Anforderungen von Art. 88 Abs. 2 DSGVO sowie Art. 5, 6 Abs. 1 und 9 Abs. 1 und 2 DSGVO einhalten. Damit wird sichergestellt, dass auch besondere Kategorien personenbezogener Daten nur unter strengen Bedingungen verarbeitet werden dürfen. Eine Umgehung des durch die DSGVO garantierten Schutzniveaus ist somit ausgeschlossen.
Abschließendes Urteil des BAG
Das BAG übernahm die Vorgaben des EuGH und erkannte in der konkreten Fallkonstellation einen Datenschutzverstoß an, weil die übermittelten Daten nicht von der Betriebsvereinbarung gedeckt und die Voraussetzungen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO nicht erfüllt gewesen seien. Die Weitergabe sensibler personenbezogener Daten an die Konzernobergesellschaft sei laut der Pressemitteilung des BAG weder erforderlich noch verhältnismäßig und somit unzulässig.
Das BAG sah anschließend den immateriellen Schaden des Klägers im Kontrollverlust über seine personenbezogenen Daten. Somit folgt das Gericht seiner Linie aus früheren Entscheidungen, in denen ein bloß ungutes Gefühl nicht ausreichte. Ein tatsächlicher Kontrollverlust – wie hier – reicht wohl nach Auffassung des Gerichts aus, um einen ersatzfähigen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO anzunehmen. Die Höhe des Ersatzanspruchs setzte das BAG auf 200 Euro fest.
Fazit
Die Entscheidung des BAG zur Datenweitergabe nach der Betriebsvereinbarung reiht sich in eine wachsende Zahl von Urteilen ein, die den Schutz personenbezogener Daten im Beschäftigungskontext und den Anspruch auf immateriellen Schadensersatz ausgestalten. Unternehmen sind gut beraten, Betriebsvereinbarungen nicht als Freibrief für umfassende Datenverarbeitungen zu verstehen. Insbesondere bei der konzerninternen Weitergabe von Mitarbeiterdaten gilt, dass nur zulässig ist, was klar geregelt, erforderlich und rechtlich abgesichert ist.
