Datenverarbeitung im Arbeitsverhältnis: Wichtige Fragen zur DSGVO und Betriebsvereinbarungen

Die Datenschutz-Grundverordnung (DSGVO) hat das Datenschutzrecht in Europa maßgeblich verändert und stärkt die Rechte von Arbeitnehmern im Hinblick auf ihre persönlichen Daten. Im Arbeitsverhältnis ist die Verarbeitung personenbezogener Daten jedoch oft komplex, da sie zwischen den berechtigten Interessen des Arbeitgebers und den Schutzbedürfnissen der Beschäftigten abwägen muss. Eine besondere Rolle spielen dabei Betriebsvereinbarungen, die im deutschen Arbeitsrecht eine wichtige Grundlage für die Datenverarbeitung sein können. Doch wie weit dürfen solche Vereinbarungen gehen und welche Grenzen setzt die DSGVO? Diese Fragen waren Gegenstand eines aktuellen Verfahrens vor dem Bundesarbeitsgericht (BAG).

Der Sachverhalt: Datenmigration und der Betriebsrat

Im vorliegenden Fall ging es um einen Arbeitnehmer, der seit 1984 bei einem Unternehmen im Bereich der Zahnmedizintechnik beschäftigt ist und zudem Vorsitzender des Betriebsrats im Unternehmen ist. Ab 2017 plante der damalige Konzern, zu dem das Unternehmen gehörte, die Einführung eines konzernweiten Personal-Informationsmanagementsystems namens „Workday“. Hierfür wurden im April und Mai 2017 personenbezogene Daten des Klägers aus dem bestehenden SAP-System auf eine SharePoint-Seite des Konzerns in den USA hochgeladen. Darunter fielen nicht nur berufliche Kontaktdaten, sondern auch sensible Informationen wie Gehaltsdetails, private Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-Identifikationsnummer.

Im Juli 2017 schlossen die Arbeitgeberin und der Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“. Diese Vereinbarung sollte den vorläufigen Betrieb des Systems regeln, bis eine umfassende Betriebsvereinbarung für den Produktivbetrieb geschlossen würde, spätestens jedoch bis zum 31. August 2017. Die Duldungsvereinbarung sah vor, dass Workday während des Testzeitraums nicht für reguläre HR-Prozesse wie Leistungsbewertung oder Einstellungen genutzt werden durfte und eine Leistungs- oder Verhaltenskontrolle ausgeschlossen war. Zudem durften Daten aus dem System nicht zu arbeitsrechtlichen Zwecken verwendet werden, es sei denn, der Betriebsrat hatte dem zugestimmt.

Kläger fordert 3000 Euro Schadensersatz

Der Kläger forderte ab April 2017 mehrfach Auskunft über seine in Workday gespeicherten Daten. Nachdem die Arbeitgeberin nach und nach Auskünfte erteilte, machte der Kläger in der Revisionsinstanz einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO in Höhe von 3.000 Euro geltend. Er argumentierte, die Verarbeitung seiner Daten in Workday sei nicht erforderlich gewesen, da die notwendige Datenverarbeitung bereits im SAP-System erfolgte. Zudem hätten für Testzwecke auch „Dummy“-Daten ausgereicht und die übermittelten Daten hätten die in der Duldungsvereinbarung zulässigen Kategorien überschritten (z.B. private Kontaktdaten, Staatsangehörigkeit). Er sah sein Persönlichkeitsrecht verletzt und befürchtete eine missbräuchliche Nutzung seiner Daten, insbesondere für Profiling. Die Arbeitgeberin hingegen berief sich auf die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO, § 26 Abs. 1 und 4 BDSG in Verbindung mit der Duldungsvereinbarung und bestritt einen Schaden.

Das Landesarbeitsgericht Baden-Württemberg wies die Klage ab, das BAG setzte das Revisionsverfahren aus und schickte ungeklärte Fragen zum Europäischen Gerichtshof (EuGH), welcher dies mit Urteil vom 19. Dezember 2024 (C-65/23) beantwortete.

BAG sieht immateriellen Schaden durch Kontrollverlust

Das BAG folgte der Rechtsprechung des EuGH und sprach dem Kläger Schadensersatz in Höhe von 200,00 Euro nach Art. 82 Abs. 1 DSGVO zu.

Der Kern der gerichtlichen Entscheidung lag darin, dass die Beklagte andere als die in der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hatte. Dies wurde vom BAG als nicht erforderlich im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO eingestuft und damit als Verstoß gegen die Datenschutz-Grundverordnung.

Der immaterielle Schaden des Klägers wurde in dem Kontrollverlust gesehen, der durch die unzulässige Überlassung seiner personenbezogenen Daten an die Konzernobergesellschaft entstanden ist.

Außerdem hatte der Kläger in der mündlichen Verhandlung vor dem BAG klargestellt, dass er sich nicht mehr darauf berufe, dass die Übertragung der von der Betriebsvereinbarung erfassten Daten ebenfalls nicht erforderlich gewesen sei. Daher musste der Senat nicht prüfen, ob die Betriebsvereinbarung selbst gegen die Datenschutz-Grundverordnung verstößt.

Die Entscheidung liegt aktuell nur als Pressemitteilung vor.

Quelle: BAG, Urteil vom 08.05.2025, 8 AZR 209/21
Vorinstanz: LAG Baden-Württemberg, Urteil vom 25.02.2021, 17 Sa 37/20