Das Bundesarbeitsgericht (BAG) hat jüngst in einem Urteil (BAG-Urteil von 08.05.2025, Az. 8 AZR 209/21) entschieden, dass ein Arbeitgeber dem betroffenen Mitarbeitenden gegenüber schadensersatzpflichtig sein kann, wenn er sensible Daten mit einer anderen Gesellschaft innerhalb des Konzerns ohne ausreichende Rechtsgrundlage teilt. Der EuGH äußerte sich außerdem zu den Vorlagefragen des BAG, welche insbesondere die Auslegung von Art. 88 DSGVO – Öffnungsklausel für die Datenverarbeitung im Beschäftigtenkontext – betreffen. Das Urteil des BAG ist auch insofern relevant, als dass es die Anforderungen und Reichweite von Betriebsvereinbarungen im Datenschutzrecht konkretisiert.
Kernaussage des BAG-Urteils
„Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.“ (Pressemitteilung des BAG)
Aber zunächst zum Sachverhalt
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten u. a. zu Abrechnungszwecken mittels einer SAP-Software. Im Jahre 2017 gab es die Planung, konzernweit die Software „Workday“ als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug hierzu personenbezogene Daten des Klägers an die Konzernobergesellschaft, um die Software mit diesen Daten zu Testzwecken zu befüllen. Gestützt wurde die Datenübertragung auf eine abgeschlossene Betriebsvereinbarung, welche es der Beklagten erlaubte, u. a. Daten wie Name, Eintrittsdatum, Arbeitsort, Firma, geschäftliche Telefonnummer und E-Mail-Adresse der Beschäftigten auszutauschen bzw. zu verarbeiten. Die Beklagte übermittelte neben diesen Daten aber auch Gehaltsinformationen, private Wohnanschrift, Geburtsdatum, Alter, Familienstand, Sozialversicherungsnummer und die Steuer-ID des Klägers.
Der Kläger ist der Ansicht, dass ihm ein immaterieller Schadensersatz nach Art. 82 DSGVO in Höhe von 3.000 Euro wegen der Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis zustehe. Der Beklagten sei es nach der DSGVO nicht erlaubt gewesen, seine Daten zu Testzwecken in Workday zu verarbeiten. Die für das Arbeitsverhältnis erforderliche Datenverarbeitung sei laut dem Kläger zu diesem Zeitpunkt mit SAP erfolgt. Eine Datenübertragung zu Workday und die dortige Datenverarbeitung sei zu keinem Zeitpunkt für das Arbeitsverhältnis erforderlich gewesen. Um das System zu testen, hätten auch „Dummy“-Versuchsdaten ausgereicht. Eine Verarbeitung von Echtdaten wäre nach Ansicht des Klägers nicht notwendig gewesen.
Die Vorinstanzen hatten die Klage noch abgewiesen. Das BAG setzte das Revisionsverfahren aus (Beschluss vom 22.09.2022, Az. 8 AZR 209/21 (A) – BAGE 179, 120) und ersuchte den EuGH um die Beantwortung von Rechtsfragen, die die Auslegung der DSGVO betreffen. Der EuGH beantwortete die Vorlagefragen des BAG mit dem Urteil vom 19.12.2024 (Az. C-65/23, wir berichteten).
Klarstellungen des EuGH zu den Vorlagefragen des BAG
- Nationale Vorschriften, die i.S.v. Art. 88 Abs. 1 DSGVO erlassen wurden, wie z. B. § 26 BDSG, müssen stets auch die sonstigen Vorschriften der DSGVO, wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO, einhalten – auch Regelungen in einer Kollektivvereinbarung sind hiervon nicht ausgeschlossen.
- Betriebsvereinbarungen unterliegen trotz Art. 88 Abs. 1 DSGVO hinsichtlich der Beurteilung der Erforderlichkeit der Datenverarbeitung einer vollen gerichtlichen Kontrolle.
Die aktuelle Entscheidung des BAG
Das BAG entschied nach den Klarstellungen des EuGH, dass der Kläger gegen den Beklagten einen Anspruch auf Schadensersatz in Höhe von 200 Euro nach Art. 82 Abs. 1 DSGVO hat. Der Kläger habe durch die Weitergabe seiner personenbezogenen Daten an die Konzernobergesellschaft einen Kontrollverlust erlitten, der einen immateriellen Schaden darstelle. Die Übermittlung der weiteren personenbezogenen Daten (Gehaltsinformationen, private Wohnanschrift, Geburtsdatum, Alter, Familienstand, Sozialversicherungsnummer und die Steuer-ID) an die Konzernobergesellschaft sei weder von der Betriebsvereinbarung gedeckt gewesen noch i.S.v. Art. 6 Abs. 1 S. 1 lit. f DSGVO (Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen) erforderlich gewesen.
Wichtige Schlussfolgerungen aus dem BAG-Urteil für Verantwortliche
Das BAG stellt klar: Betriebsvereinbarungen können nicht allein eine Datenverarbeitung legitimieren und nicht eigenständig die Erforderlichkeit einer Datenverarbeitung nach Artt. 5,6 oder 9 DSGVO begründen oder rechtfertigen. Betriebsvereinbarungen müssen die Anforderungen der DSGVO erfüllen und können dieses Schutzniveau nicht unterschreiten. Das BAG bestätigte, falls diese Anforderungen erfüllt werden, können Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten gelten. Die Erforderlichkeit einer Datenverarbeitung muss von dem Verantwortlichen aber innerhalb einer Interessenabwägung nachvollziehbar dokumentiert werden, selbst wenn eine Betriebsvereinbarung vorliegt.
Fazit
Das Urteil des BAG zeigt, dass Betriebsvereinbarungen nicht von der Einhaltung der DSGVO entbinden. Jede Datenverarbeitung muss eigenständig auf ihre Erforderlichkeit und Rechtmäßigkeit hin geprüft und dokumentiert werden. Betriebsvereinbarungen, die die Anforderungen der DSGVO nicht erfüllen, begründen keine ausreichende Rechtsgrundlage für eine Datenverarbeitung. Verantwortliche Stellen sollten das Urteil als Gelegenheit nutzen, um Betriebsvereinbarungen auf ihre DSGVO-Konformität hin zu überprüfen, da ansonsten möglicherweise Schadensersatzansprüche der Beschäftigten drohen.
So sollten für den Testbetrieb idealerweise keine Echtdaten verwendet werden. Überdies müssten auch die datenschutzrechtlichen Informationspflichten eingehalten werden, insbesondere bei etwaigen Zweckänderungen der Datenverarbeitungen.
20. Mai 2025 @ 10:32
Sorry, aber die Schlussfolgerungen dieses BLOG-Beitrags verwundern mich. In der Pressemitteilung kann ich NICHTS Derartiges finden. Im Gegenteil: Der Kläger hat seine Zweifel mündlich widerrufen. Die eigentliche Sachfrage wurde nicht weiter erörtert. Habe ich da etwas übersehen?
20. Mai 2025 @ 15:05
Vielen Dank für Ihre Nachricht.
Meine Schlussfolgerungen ergeben sich aus der Gesamtbetrachtung des Verfahrens und insbesondere aus den Antworten des EuGH auf die Vorlagefragen des BAG. Sie haben Recht, dass dies zumindest so in der Pressemitteilung nicht steht. Das Urteil befasst sich hauptsächlich mit dem Kontrollverlust und dem immateriellen Schaden des Klägers, die Schlussfolgerungen für Verantwortliche hinsichtlich Betriebsvereinbarungen ergeben sich indirekt hieraus.
15. Mai 2025 @ 11:17
Danke für diesen Artikel, allerdings habe ich hierzu noch eine Frage:
Oftmals ist die Begründung, echte Daten zum Testen zu verwenden, da mit „Dummy“-Daten nicht garantiert werden könnte, dass das System nach GoLive wie vereinbart funktioniert.
Hätte dieses Argument in der Interessensabwägung in diesem Fall hilfreich sein können?
Unstrittig ist in diesem Fall, dass personenbezogene Daten übermittelt wurden, die nicht über die Betriebsvereinbarung abgedeckt wurden.
16. Mai 2025 @ 8:39
Vielen Dank für Ihre Nachricht.
Bisher hat das BAG nur die Pressemitteilung und nicht das komplette Urteil veröffentlicht. Ich gehe davon aus, dass das BAG diesen Punkt im Rahmen der Erforderlichkeitsprüfung innerhalb der Interessenabwägung berücksichtigt hat. Hier kommt es dann auf die tatsächlichen Umstände an, ob für einen Test auch „Dummy“-Daten in Workday ausgereicht hätten oder nicht und ob mit diesen Testdaten dann wirklich nicht garantiert werden konnte, dass das System nach GoLive wie vereinbart funktioniert. Das würde dann wiederum für eine Erforderlichkeit sprechen.
Es bleibt spannend, was hierzu im Urteil steht.