Gut gedacht, schlecht gemacht
Ein Arbeitgeber plant die konzernweite Einführung eines IT-Systems inklusive Testbetrieb. Die Betriebsparteien schließen eine entsprechende Duldungs-Betriebsvereinbarung, die eine eingeschränkte Übertragung personenbezogener Arbeitnehmerdaten vorsieht. Während des Testbetriebs werden jedoch auch darüberhinausgehende Echtdaten übertragen.
Der Arbeitnehmer machte gerichtlich gegenüber dem Arbeitgeber einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO geltend. Die Vorinstanz (Landesarbeitsgericht Baden-Württemberg, Urteil vom 25.02.2021, Az.: 17 Sa 37/20) wies die Klage ab und urteilte: Kein Schadensersatz ohne kausalen DSGVO-Verstoß. Auf die Revision des Klägers hat sich das BAG zunächst im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gewandt.
Überschießende Datenverarbeitung = Datenschutzverstoß
Der EuGH hat mit Urteil vom 19.12.2024 (Az.: C-65/23) entschieden: Die DSGVO dürfe durch eine Betriebsvereinbarung nicht unterlaufen werden. Gleichsam sei die Übertragung von Echtdaten zu Testzwecken grundsätzlich zulässig, aber nur wenn Dummy-Daten nicht ausreichend seien.
Das BAG (Urteil vom 08.05.2025, Az.: 8 AZR 209/21) hat dem Kläger schließlich einen Schadensersatz zugesprochen. Nach Auffassung des BAG stelle eine Datenübertragung, die über eine bestehende Betriebsvereinbarung hinausgehe (überschießende Datenverarbeitung), einen Datenschutzverstoß dar. Gehe damit ein Kontrollverlust des Arbeitnehmers über seine Daten einher, könne sich der Arbeitgeber schadensersatzpflichtig machen.
Ob die von der Betriebsvereinbarung im vorliegenden Fall gedeckte Datenübertragung rechtskonform erfolgt ist, hat das BAG explizit offengelassen. Die praxisrelevante Frage, welche Anforderungen die Rechtsprechung an Betriebsvereinbarungen als Rechtsgrundlage für Datenverarbeitungen stellt, bleibt also weiterhin ungeklärt.
Praxis-Tipp: So wenig wie möglich
In Anbetracht der bestehenden Rechtsunsicherheiten hat sich bei der Einführung von IT-Systemen als Best Practice zum einen der Abschluss einer Betriebsvereinbarung bewährt, in der die diesbezüglichen Rahmenbedingungen geregelt werden. Aber Achtung: Eine gegen die Vorgaben der DSGVO verstoßende Datenverarbeitung kann nicht durch eine Betriebsvereinbarung legitimiert werden. Zum anderen sind Arbeitgeber gut beraten, die Übertragung von Echtdaten zu minimieren und deren Erforderlichkeit sorgfältig zu dokumentieren.