Bundesarbeitsgericht zieht Grenze

Wenn der Arbeitgeber zu viele Daten weitergibt

ck
Praxisausstattung
Ein Unternehmen testet eine neue Personalsoftware – doch dabei werden mehr Daten übermittelt als erlaubt. Aber: Auch eine Betriebsvereinbarung ist kein Freifahrtschein für Datenschutzverstöße!

Darauf verweist der Kölner Fachanwalt für Arbeitsrecht Volker Görzel, Leiter des Fachausschusses „Betriebsverfassungsrecht und Mitbestimmung“ des VDAA - Verband deutscher ArbeitsrechtsAnwälte mit Verweis auf ein Urteil des Bundesarbeitsgerichts (BAG).

In dem Fall wollte 2017 ein Unternehmen das cloudbasierte System „Workday“ konzernweit einführen und nutzte dafür Echtdaten echter Mitarbeiter. Der Betriebsrat war einverstanden – aber nur unter diesen Bedingungen: Nur Name, Eintrittsdatum, Arbeitsort und geschäftliche Kontaktdaten sollten übermittelt werden.

Weitergegeben wurden Gehaltsdaten, Wohnadressen, Steuer-IDs

Doch es kam anders. Im Testlauf wurden auch Gehaltsinformationen, Wohnanschriften und sogar Steuer-IDs an die Konzernmutter weitergegeben. Der betroffene Arbeitnehmer war nicht einverstanden – und klagte auf Schadenersatz nach Art. 82 DSGVO.

Das Landesarbeitsgericht Baden-Württemberg wies die Klage zunächst ab. Doch das BAG schaltete den Europäischen Gerichtshof (EuGH) ein und stellte wichtige Grundsatzfragen zum Datenschutz im Arbeitsverhältnis.

Laut EuGH sind nur DSGVO-konforme Vereinbarungen wirksam

Der EuGH machte es unmissverständlich klar: Betriebsvereinbarungen dürfen nicht gegen die DSGVO verstoßen. Sie müssen sich streng an die Prinzipien der Zweckbindung und Speicherbegrenzung halten – und dürfen nur das regeln, was rechtlich erlaubt ist.

Für Arbeitgeber heißt das: Eine Betriebsvereinbarung allein reicht nicht aus, um sensible Mitarbeiterdaten zu verarbeiten. Die DSGVO bleibt das Maß aller Dinge.

Das BAG entschied, dass der Kläger einen Schadenersatz erhält, weil die übermittelten Daten über das erlaubte Maß hinausgingen. Damit lag ein klarer Verstoß gegen die DSGVO vor. Der Schaden lag im Verlust der Kontrolle über die eigenen Daten. Und dieser Kontrollverlust ist nach Ansicht des Gerichts ein ersatzfähiger immaterieller Schaden. Entscheidend: Es reichte nicht nur ein „komisches Gefühl“ – der Kläger musste konkret belegen, dass seine Daten unzulässig weitergegeben wurden.

Fazit: Datenschutzverstöße sind kein Kavaliersdelikt

Auch im Konzern und trotz Betriebsrat gilt der Datenschutz uneingeschränkt. Wer mehr Daten weitergibt als erlaubt, riskiert nicht nur Ärger – sondern auch handfeste Schadenersatzforderungen.

Bundesarbeitsgericht
Az.: 8 AZR 209/21
Urteil vom 8. Mai 2025

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.