Suche 
In der Praxis dienen Betriebsvereinbarungen oftmals als Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten. Seit der Entscheidung des Europäischen Gerichtshofs vom 19. Dezember 2024 steht fest: Derartige Betriebsvereinbarungen müssen mit den Vorgaben der DSGVO in Einklang stehen. Mit anderen Worten: Eine gegen die Vorgaben der DSGVO verstoßende Datenverarbeitung kann nicht mittels Betriebsvereinbarung legitimiert werden. In diesem Zusammenhang hat sich das BAG kürzlich mit der Frage auseinandergesetzt, ob die ohne ausreichende Rechtsgrundlage erfolgte Weitergabe sensibler Daten des Arbeitgebers an eine andere Konzerngesellschaft einen Schadensersatzanspruch des Arbeitnehmers nach sich ziehen kann.
Betriebsvereinbarungen gelten in der Praxis häufig als datenschutzrechtliche Grundlage im Beschäftigungskontext. Doch sie ersetzen nicht die Anforderungen der DSGVO. Das hat der EuGH bereits im Dezember 2024 klargestellt. Nun hat das BAG mit Urteil vom 8. Mai 2025 (8 AZR 209/21, siehe Pressemitteilung) nachgezogen – und einem Arbeitnehmer einen immateriellen Schadenersatz zugesprochen, weil sein Arbeitgeber personenbezogene Daten ohne ausreichende Rechtsgrundlage an eine Konzerngesellschaft übermittelt hatte.
Hintergrund der Entscheidung
Der der Entscheidung des BAG zugrunde liegende Fall kommt in der Praxis durchaus häufig vor:
Im Rahmen der Einführung eines cloudbasierten Personalmanagementsystems (hier: „Workday“) übermittelt der Arbeitgeber personenbezogene Daten seiner Mitarbeiter an eine Konzerngesellschaft. Diese Datenübermittlung bedarf naturgemäß einer Rechtsgrundlage.
In dem streitgegenständlichen Fall lag eine solche Rechtsgrundlage zwar grundsätzlich vor, denn die beklagte Arbeitgeberin hatte mit dem Betriebsrat eine entsprechende (Duldungs-)Betriebsvereinbarung abgeschlossen. Danach war es der Arbeitgeberin erlaubt, bestimmte Daten (Namen, Eintrittsdatum, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mai-Adresse) an die in den USA sitzende Konzernobergesellschaft zu übermitteln. Die Arbeitgeberin beließ es allerdings nicht bei dieser erlaubten Datenübermittlung. Sie ging vielmehr darüber hinaus und übermittelte weitere Daten (insbesondere Gehaltsdaten, private Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID) an die Konzernobergesellschaft. Der klagende Arbeitnehmer sah in der Datenübermittlung eine Verletzung der DSGVO und verlangte Schadensersatz in Höhe von 3.000 Euro.
Die Entscheidung des EuGH: Betriebsvereinbarungen müssen DSGVO-konform sein
Nachdem das Landesarbeitsgericht Baden-Württemberg die Klage abgewiesen hatte, wandte sich das BAG im Rahmen eines Vorabentscheidungsverfahrens zunächst an den EuGH. Über die Entscheidung des EuGH haben wir in unserem Blog berichtet. Zur Erinnerung: Der EuGH entschied,
- dass nationale Vorschriften, die zur Verarbeitung personenbezogener Daten im Beschäftigungskontext erlassen würden, alle Rechtmäßigkeitsvoraussetzungen und Grenzen der DSGVO, insbesondere Art. 5, 6 Abs. 1 und Art 9 Abs. 1 und 2 DSGVO einhalten müssen und
- dass Betriebsvereinbarungen – ungeachtet des Spielraums der Betriebsparteien und deren Ausgestaltung – einer umfassenden gerichtlichen Kontrolle unterliegen.
Die Entscheidung des BAG: Schadensersatzanspruch wegen Kontrollverlusts
Das BAG sprach dem klagenden Arbeitnehmer nun einen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO in Höhe von 200 € zu. Nach Auffassung des BAG sei die Übertragung anderer als in der Betriebsvereinbarung explizit aufgeführter Daten nicht erforderlich i.S.v. Art. 6 Abs. 1 DSGVO gewesen, mit der Folge, dass ein Verstoß gegen die DSGVO vorliege. Der immaterielle Schaden des Klägers liege in dem Kontrollverlust, der durch die Überlassung der personenbezogenen Daten an die Konzerngesellschaft verursacht worden sei.
Zwar bleibt der vom BAG zuerkannte Schadensersatz in Höhe von 200 Euro hinter der klageweise geltend gemachten Forderung von 3.000 Euro deutlich zurück. Für Arbeitgeber bedeutet dies gleichwohl keine Entwarnung: Denn liegt tatsächlich ein Kontrollverlust vor, kann dies einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO nach sich ziehen. Insofern bleibt es aber dabei, dass die bloße Behauptung eines „Störgefühls“ durch den Arbeitnehmer nicht ausreichen dürfte (vgl. hierzu zuletzt BAG v. 20. Februar 2025 – 8 AZR 61/24).
Weiterhin ungeklärt: Anforderung an legitimierende Betriebsvereinbarungen
Da der klagende Arbeitnehmer in der mündlichen Verhandlung vor dem BAG klarstellte, sich nicht weiter darauf zu berufen, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen, musste sich das BAG mit der Frage der Vereinbarkeit der Betriebsvereinbarung mit den Vorgaben der DSGVO nicht auseinandersetzen. Die – für die Praxis äußerst relevante – Frage, welche Anforderungen an Betriebsvereinbarungen zu stellen sind, die eine Rechtsgrundlage für Datenverarbeitungen darstellen sollen, bleibt also weiterhin ungeklärt.
Konsequenzen für die Praxis
Für die Praxis bedeutet dies (weiterhin): Betriebsvereinbarungen bleiben im Zusammenhang mit Datenverarbeitungen nach wie vor relevant – allerdings nur, wenn sie vollumfänglich DSGVO-konform ausgestaltet sind. Eine gegen die Vorgaben der DSGVO verstoßende Datenverarbeitung kann nicht durch Betriebsvereinbarung legitimiert werden.
Mangels Vorliegens einer (höchstrichterlichen) Entscheidung dazu, welche Anforderungen an eine legitimierende Betriebsvereinbarung im Einzelnen zu stellen sind, bleibt es dabei: Erfolgen Datenverarbeitungen im Unternehmen bislang ausschließlich auf Grundlage von Betriebsvereinbarungen, so sollten Arbeitgeber diese Betriebsvereinbarungen auf ihre Vereinbarkeit mit den Vorgaben der DSGVO prüfen. Gleiches gilt selbstverständlich beim Abschluss künftiger Betriebsvereinbarungen.
