Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21
Mit zunehmender Digitalisierung und konzernweiter Datenverarbeitung stellt sich immer häufiger die Frage, unter welchen Voraussetzungen personenbezogene Daten von Beschäftigten innerhalb eines Unternehmens weitergegeben werden dürfen. Die Datenschutz-Grundverordnung (DSGVO) setzt hierfür klare Maßstäbe. Ebenfalls bedeutsam ist jedoch, ob und wie sich Unternehmen dabei an bestehende Betriebsvereinbarungen halten. Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 8. Mai 2025 entschieden, dass die missbräuchliche Überschreitung einer solchen Vereinbarung einen Verstoß gegen die DSGVO darstellen kann – mit Schadenersatzfolgen.
Sachverhalt
Die beklagte Arbeitgeberin plante konzernweit die Einführung der cloudbasierten Personalverwaltungssoftware „Workday“. Zu Testzwecken übermittelte sie personenbezogene Daten von Beschäftigten – darunter auch sensible Informationen wie Gehaltsdaten, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID – an die Konzernobergesellschaft.
Zwar existierte eine Betriebsvereinbarung, die die Übermittlung bestimmter Daten für den Testbetrieb regelte (z. B. Name, Eintrittsdatum, Firma, geschäftliche Kontaktdaten). Doch die tatsächlich übermittelten Daten gingen weit über den vereinbarten Rahmen hinaus. Die Datenweitergabe erfolgte somit außerhalb der rechtlichen Grundlage, auf die sich die Arbeitgeberin berufen hatte.
Der Kläger sah darin einen klaren Datenschutzverstoß und forderte immateriellen Schadenersatz in Höhe von 3.000 Euro nach Art. 82 Abs. 1 DSGVO. Die Vorinstanzen wiesen die Klage ab. Im Rahmen des Revisionsverfahrens wurde der Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht.
Entscheidung des Bundesarbeitsgerichts
Die Revision hatte teilweise Erfolg. Das Bundesarbeitsgericht sprach dem Kläger einen Schadenersatzanspruch in Höhe von 200 Euro gemäß Art. 82 Abs. 1 DSGVO zu.
Ausschlaggebend war die Übermittlung personenbezogener Daten an die Konzernobergesellschaft, die die Grenzen der bestehenden Betriebsvereinbarung deutlich überschritt. Diese weitergehende Datenübertragung war nach Ansicht des Bundesarbeitsgerichts nicht erforderlich im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO und stellte somit einen Verstoß gegen die Datenschutz-Grundverordnung dar. Der immaterielle Schaden bestand in einem Kontrollverlust über die personenbezogenen Daten.
In der mündlichen Verhandlung stellte der Kläger zudem klar, dass er nicht mehr geltend macht, auch die Übermittlung der in der Betriebsvereinbarung ausdrücklich genannten Daten sei unzulässig gewesen. Aus diesem Grund musste das Bundesarbeitsgericht nicht beurteilen, ob die Betriebsvereinbarung den Vorgaben der DSGVO vollständig genügte.
Was bedeutet die Entscheidung für die Praxis?
Die Entscheidung des Bundesarbeitsgerichts unterstreicht die zentrale Bedeutung der Einhaltung von Betriebsvereinbarungen im Kontext des Beschäftigtendatenschutzes. Diese sind nicht lediglich interne Abstimmungen, sondern rechtsverbindliche Regelwerke, die die Grenzen zulässiger Datenverarbeitung im Arbeitsverhältnis bestimmen. Werden sie – wie im vorliegenden Fall – überschritten, kann dies eine unzulässige Datenverarbeitung im Sinne der DSGVO darstellen und zu Schadenersatzansprüchen führen.
Unternehmen müssen sicherstellen, dass neue IT- oder HR-Projekte, insbesondere bei konzernweiter Datenverarbeitung, nicht nur technisch und organisatorisch, sondern auch kollektivrechtlich sowie datenschutzrechtlich sauber umgesetzt werden. Die Entscheidung stärkt die Rechte von Beschäftigten und betont zugleich die Rolle betrieblicher Interessenvertretungen. Sie zeigt, dass Datenschutzverstöße auch bei immateriellen Schäden wie einem Kontrollverlust über personenbezogene Daten rechtlich relevant sind – selbst wenn die zugesprochene Entschädigung vergleichsweise niedrig ausfällt.
Quelle: Pressemitteilung 20/25 des BAG vom 8. Mai 2025
Bei Fragen und Beratungsbedarf zu diesem Thema stehen wir Ihnen sehr gerne zur Verfügung!