Arbeitsrechtliche Fallstricke bei der Einführung von IT-Systemen

Die Einführung von IT-Systemen stellt Unternehmen immer wieder vor große Herausforderungen. Im Vorfeld des Go-live wird häufig ein Testbetrieb durchgeführt. Um die Day One Readiness nicht nur technisch, sondern auch arbeitsrechtlich sicherzustellen, sind insbesondere die Mitbestimmungsrechte des Betriebsrats zu beachten, bei denen auch die Frage der zulässigen Datenverarbeitung eine zentrale Rolle spielt.

Gut gedacht, schlecht gemacht

Ein Arbeitgeber plant die konzernweite Einführung eines IT-Systems inklusive Testbetrieb. Die Betriebsparteien schließen eine entsprechende Duldungs-Betriebsvereinbarung, die eine eingeschränkte Übertragung personenbezogener Arbeitnehmerdaten vorsieht. Während des Testbetriebs werden jedoch auch darüberhinausgehende Echtdaten übertragen.

Der Arbeitnehmer machte gerichtlich gegenüber dem Arbeitgeber einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO geltend. Die Vorinstanz (Landesarbeitsgericht Baden-Württemberg, Urteil vom 25.02.2021, Az.: 17 Sa 37/20) wies die Klage ab und urteilte: Kein Schadensersatz ohne kausalen DSGVO-Verstoß. Auf die Revision des Klägers hat sich das BAG zunächst im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gewandt.

Überschießende Datenverarbeitung = Datenschutzverstoß

Der EuGH hat mit Urteil vom 19.12.2024 (Az.: C-65/23) entschieden: Die DSGVO dürfe durch eine Betriebsvereinbarung nicht unterlaufen werden. Gleichsam sei die Übertragung von Echtdaten zu Testzwecken grundsätzlich zulässig, aber nur wenn Dummy-Daten nicht ausreichend seien.

Das BAG (Urteil vom 08.05.2025, Az.: 8 AZR 209/21) hat dem Kläger schließlich einen Schadensersatz zugesprochen. Nach Auffassung des BAG stelle eine Datenübertragung, die über eine bestehende Betriebsvereinbarung hinausgehe (überschießende Datenverarbeitung), einen Datenschutzverstoß dar. Gehe damit ein Kontrollverlust des Arbeitnehmers über seine Daten einher, könne sich der Arbeitgeber schadensersatzpflichtig machen.

Ob die von der Betriebsvereinbarung im vorliegenden Fall gedeckte Datenübertragung rechtskonform erfolgt ist, hat das BAG explizit offengelassen. Die praxisrelevante Frage, welche Anforderungen die Rechtsprechung an Betriebsvereinbarungen als Rechtsgrundlage für Datenverarbeitungen stellt, bleibt also weiterhin ungeklärt.

Praxis-Tipp: So wenig wie möglich

In Anbetracht der bestehenden Rechtsunsicherheiten hat sich bei der Einführung von IT-Systemen als Best Practice zum einen der Abschluss einer Betriebsvereinbarung bewährt, in der die diesbezüglichen Rahmenbedingungen geregelt werden. Aber Achtung: Eine gegen die Vorgaben der DSGVO verstoßende Datenverarbeitung kann nicht durch eine Betriebsvereinbarung legitimiert werden. Zum anderen sind Arbeitgeber gut beraten, die Übertragung von Echtdaten zu minimieren und deren Erforderlichkeit sorgfältig zu dokumentieren.