Das höchste Arbeitsgericht der Bundesrepublik, das BAG, hatte sich mit einer Schadensersatzforderung eines Angestellten gegenüber seinem Arbeitgeber zu befassen. Heraus kam: Eine Betriebsvereinbarung schützt nicht vor einem Verstoß gegen die DSGVO. Das Urteil sollte Arbeitgebern als mahnende Aufforderung zur Einhaltung der Datenschutzgrundverordnung gelten.
Ein Konzern führte im Rahmen der Einführung eines neuen Personalverwaltungssystems einen Testlauf durch – mit realen Mitarbeiterdaten. Was als technisch üblich galt, wurde zum datenschutzrechtlichen Problem. Denn das Unternehmen übermittelte mehr Informationen als erlaubt, darunter Gehaltsdaten und private Anschriften.
Zwar bestand eine Betriebsvereinbarung, die bestimmte Datenübertragungen legitimierte. Doch laut Bundesarbeitsgericht (BAG, Urt. v. 08.05.2025 – 8 AZR 209/21) war die tatsächliche Datenweitergabe an die Konzernmutter deutlich umfangreicher. Der betroffene Arbeitnehmer klagte erfolgreich auf immateriellen Schadenersatz – wegen des Kontrollverlusts über seine personenbezogenen Daten.
Bereits der Europäische Gerichtshof hatte in einer Vorabentscheidung (Urt. v. 19.12.2024 – C-65/23) deutlich gemacht: Auch innerbetriebliche Regelungen wie Betriebsvereinbarungen müssen sich an die Vorgaben der DSGVO halten. Insbesondere dürfen nur solche Daten verarbeitet werden, die auch nach Art. 6 und 9 DSGVO rechtmäßig übermittelt werden dürfen. Die Zweckbindung und Speicherbegrenzung sind dabei strikt einzuhalten.
Das BAG übernahm die Linie des EuGH: Die Weitergabe überschüssiger Daten war rechtswidrig. Der Anspruch auf Schadenersatz ergebe sich direkt aus Art. 82 Abs. 1 DSGVO. Maßgeblich war nicht ein materieller Nachteil, sondern der Kontrollverlust – ein immaterieller Schaden, der zu ersetzen ist. Das Urteil reiht sich ein in eine zunehmend strengere Rechtsprechung im Beschäftigtendatenschutz.
Unternehmen müssen prüfen, ob interne Vereinbarungen tatsächlich DSGVO-konform sind – insbesondere bei konzerninterner Datenverarbeitung. Die bloße Existenz einer Betriebsvereinbarung reicht nicht aus, wenn die Datenverarbeitung darüber hinausgeht. Der Fall zeigt erneut: Wer zu sorglos mit Beschäftigtendaten umgeht, riskiert juristische und finanzielle Folgen.
