Das Bundesarbeitsgericht (BAG) hat die Anforderungen für eine rechtmäßige Verarbeitung personenbezogener Daten im Konzernumfeld weiter konkretisiert und die Haftung des Arbeitgebers bei Verstößen gegen die DSGVO bestätigt.
Die konzerninterne Weitergabe von Beschäftigtendaten steht zunehmend im Fokus arbeitsgerichtlicher und datenschutzrechtlicher Kontrollen. Mit Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) hat das Bundesarbeitsgericht (BAG) die Anforderungen für eine rechtmäßige Verarbeitung personenbezogener Daten im Konzernumfeld weiter konkretisiert und die Haftung des Arbeitgebers bei Verstößen gegen die DSGVO bestätigt.
Der Sachverhalt: Testbetrieb mit echten Beschäftigtendaten
Im Jahr 2017 beabsichtigte ein Unternehmen die Einführung der konzernweiten Personalverwaltungssoftware „Workday“. Zu diesem Zweck schloss es mit dem Betriebsrat eine Betriebsvereinbarung, die die Übermittlung bestimmter personenbezogener Daten der Beschäftigten an die Softwarelösung gestattete. Diese Vereinbarung beschränkte sich ausdrücklich auf bestimmte Stammdaten wie Name, Eintrittsdatum und dienstliche Kontaktdaten.
Im Rahmen von Tests übermittelte die Arbeitgeberin jedoch darüberhinausgehende personenbezogene Echtdaten ihrer Arbeitnehmer, darunter sensible Informationen wie Gehaltsangaben, Familienstand, private Wohnanschrift, Steueridentifikationsnummer sowie Sozialversicherungsnummer. Diese Datenübermittlung überschritt den durch die Betriebsvereinbarung vereinbarten Rahmen und war von deren Regelungsgehalt nicht gedeckt.
Die Entscheidung des BAG: Verstoß gegen die DSGVO
Das BAG bestätigte einen Verstoß gegen Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Die Datenweitergabe war nicht zur Wahrung berechtigter Interessen erforderlich und verletzte die Datenschutzgrundverordnung. Insbesondere lag kein ausgewogenes Verhältnis zwischen den Interessen des Unternehmens und den Grundrechten des Klägers vor. Die betroffene Person hatte keinen Einfluss auf die Verarbeitung und litt unter einem immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO – konkret: dem Verlust der Kontrolle über ihre personenbezogenen Daten.
Betriebsvereinbarungen als Rechtsgrundlage? Nur DSGVO-konform!
Zentral ist in diesem Zusammenhang auch ein Urteil des Europäischen Gerichtshofs (EuGH) vom 19.12.2024 (Az. C-65/23). Der EuGH stellte klar:
- Betriebsvereinbarungen können nur dann als Rechtsgrundlage für eine Datenverarbeitung dienen, wenn sie den Anforderungen der DSGVO vollumfänglich genügen.
- Insbesondere sind die Grundsätze der Zweckbindung und Speicherbegrenzung strikt zu beachten.
- Betriebsparteien dürfen nicht über die datenschutzrechtlichen Vorgaben hinausgehen.
Das bedeutet: Selbst eine scheinbar einvernehmliche Regelung im Betrieb kann keine unzulässige Datenverarbeitung legitimieren.
Praxishinweis für Unternehmen
Konzerninterne Datenweitergaben bedürfen einer präzisen Prüfung:
- Betriebsvereinbarungen DSGVO-konform gestalten: Betriebsvereinbarungen können keine datenschutzwidrige Verarbeitung legitimieren.
- Rechtsgrundlage prüfen: Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO liegt nur vor, wenn die Datenverarbeitung erforderlich und die Interessenabwägung eindeutig zugunsten des Unternehmens ausfällt.
- Datenminimierung beachten: Übermitteln Sie nur die Daten, die für den konkret definierten Zweck notwendig sind.
- Echtdaten im Testbetrieb vermeiden: Nutzen Sie, wenn möglich, anonymisierte Daten für Tests neuer IT-Systeme.
Fazit
Das BAG-Urteil zeigt: Auch innerhalb eines Konzerns muss die Verarbeitung personenbezogener Daten DSGVO konform sein. Unternehmen, die Betriebsvereinbarungen als vermeintlich tragfähige Rechtsgrundlage betrachten, müssen umdenken und diese auf die Konformität mit DSGVO prüfen.
Grau Rechtsanwälte PartGmbB berät auditiert und unterstützt Unternehmen im Bereich des Datenschutzes. auch als externer Datenschutzbeauftragter.
Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter +49 (0) 40 180 364 020 oder kontakt@graulaw.eu.
