Wenn der Arbeitgeber zu viele Daten weitergibt
Darauf verweist der Kölner Fachanwalt für Arbeitsrecht Volker Görzel, Leiter des Fachausschusses „Betriebsverfassungsrecht und Mitbestimmung“ des VDAA - Verband deutscher ArbeitsrechtsAnwälte mit Verweis auf ein Urteil des Bundesarbeitsgerichts (BAG).
In dem Fall wollte 2017 ein Unternehmen das cloudbasierte System „Workday“ konzernweit einführen und nutzte dafür Echtdaten echter Mitarbeiter. Der Betriebsrat war einverstanden – aber nur unter diesen Bedingungen: Nur Name, Eintrittsdatum, Arbeitsort und geschäftliche Kontaktdaten sollten übermittelt werden.
Weitergegeben wurden Gehaltsdaten, Wohnadressen, Steuer-IDs
Doch es kam anders. Im Testlauf wurden auch Gehaltsinformationen, Wohnanschriften und sogar Steuer-IDs an die Konzernmutter weitergegeben. Der betroffene Arbeitnehmer war nicht einverstanden – und klagte auf Schadenersatz nach Art. 82 DSGVO.
Das Landesarbeitsgericht Baden-Württemberg wies die Klage zunächst ab. Doch das BAG schaltete den Europäischen Gerichtshof (EuGH) ein und stellte wichtige Grundsatzfragen zum Datenschutz im Arbeitsverhältnis.
Laut EuGH sind nur DSGVO-konforme Vereinbarungen wirksam
Der EuGH machte es unmissverständlich klar: Betriebsvereinbarungen dürfen nicht gegen die DSGVO verstoßen. Sie müssen sich streng an die Prinzipien der Zweckbindung und Speicherbegrenzung halten – und dürfen nur das regeln, was rechtlich erlaubt ist.
Für Arbeitgeber heißt das: Eine Betriebsvereinbarung allein reicht nicht aus, um sensible Mitarbeiterdaten zu verarbeiten. Die DSGVO bleibt das Maß aller Dinge.
Das BAG entschied, dass der Kläger einen Schadenersatz erhält, weil die übermittelten Daten über das erlaubte Maß hinausgingen. Damit lag ein klarer Verstoß gegen die DSGVO vor. Der Schaden lag im Verlust der Kontrolle über die eigenen Daten. Und dieser Kontrollverlust ist nach Ansicht des Gerichts ein ersatzfähiger immaterieller Schaden. Entscheidend: Es reichte nicht nur ein „komisches Gefühl“ – der Kläger musste konkret belegen, dass seine Daten unzulässig weitergegeben wurden.
Fazit: Datenschutzverstöße sind kein Kavaliersdelikt
Auch im Konzern und trotz Betriebsrat gilt der Datenschutz uneingeschränkt. Wer mehr Daten weitergibt als erlaubt, riskiert nicht nur Ärger – sondern auch handfeste Schadenersatzforderungen.
Bundesarbeitsgericht
Az.: 8 AZR 209/21
Urteil vom 8. Mai 2025