Teilen auf
Das beklagte Unternehmen plante im Jahr 2017 die konzernweite Einführung einer cloudbasierten HR-Software. Für Testzwecke sollten, wie in der Personal-IT durchaus gängigen Praxis, Echtdaten von Mitarbeitenden verwendet werden. Eine Betriebsvereinbarung mit dem Betriebsrat regelte, welche personenbezogenen Daten dafür genutzt werden durften: Name, Eintrittsdatum, Arbeitsort und dienstliche Kontaktdaten.
Grenzen der Betriebsvereinbarung und die Reichweite der DSGVO
Während des Testbetriebs wurden jedoch auch sensible Informationen wie Gehalt, Privatadresse und Steuer-ID an die Konzernmutter weitergeleitet, also deutlich mehr als vereinbart. Ein betroffener Mitarbeiter, der dieser Datenweitergabe nicht zugestimmt hatte, klagte auf Schadenersatz nach Artikel 82 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) in Höhe von 3.000 Euro.
Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten. Das Landesarbeitsgericht Baden-Württemberg wies die Klage zunächst mit Urteil vom 25. Februar 2021 (17 Sa 37/20) ab. Das BAG setzte das Revisionsverfahren mit Beschluss vom 22. September2022 (8 AZR 209/21 (A)– BAGE 179, 120) aus und legte dem Europäischen Gerichtshof (EuGH) Fragen zur Auslegung der DSGVO vor.
Entscheidung des Europäischen Gerichtshof
Der EuGH entschied: Regelungen zur Datenverarbeitung in Betriebsvereinbarungen müssen laut Urteil vom 19. Dezember 2024 DSGVO-konform sein. Der EuGH wies darauf hin, dass diese hinsichtlich der Verarbeitung von Beschäftigtendaten vollständig der datenschutzrechtlichen Kontrolle unterliegen. Dabei seien besonders die Prinzipien der Zweckbindung und Speicherbegrenzung zu beachten. Zudem dürften Betriebsvereinbarungen nur Datenverarbeitungen regeln, die auch nach Artikel 6 und 9 DSGVO rechtmäßig sind.
Lesen Sie auch:
Das BAG folgte gemäß einer Pressemitteilung mit seinem Urteil vom 8. Mai 2025 (8 AZR 209/21) dieser EuGH-Rechtsprechung und gab dem Kläger teilweise mit der Begründung recht, dass die Grenzen der Betriebsvereinbarung bei Weitergabe der zusätzlichen Daten an die Konzernobergesellschaft nicht überschritten werden dürfen. Zwar könnten Betriebsvereinbarungen eine Rechtsgrundlage für die Datenverarbeitung darstellen, aber nur im Rahmen der konkret vereinbarten Inhalte.
Was Unternehmen aus dem Urteil lernen
Im vorliegenden Fall sei die Weitergabe gemäß Artikel 6 Absatz 1 lit. f DSGVO zudem nicht durch berechtigte Interessen gedeckt gewesen und damit unzulässig. Als immateriellen Schaden erkannte das Gericht den Kontrollverlust über die eigenen Daten an und stellte fest, dass der Kläger gegen die Beklagte einen Anspruch auf Schadenersatz nach Artikel 82 Absatz1 DSGVO in Höhe von 200 Euro hat. Da der Kläger in der mündlichen Verhandlung klargestellt hatte, dass er sich nicht weiter darauf berufe, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen, war vom BAG nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.
Somit ist bei der Formulierung von Betriebsvereinbarungen künftig stets noch sorgfältiger darauf zu achten, dass alle erforderlichen Inhalte abgedeckt und diese stets vollständig DSGVO-konform sind.
