Schadensersatz nach DSGVO: Betriebsvereinbarung & Workday

Arbeitnehmer können bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Schadenersatz verlangen, wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. Eine Betriebsvereinbarung regelt in Deutschland zwischen Arbeitgeber und Betriebsrat die Erfassung und Nutzung von Mitarbeiterdaten. Auch sie muss die Vorgaben der DSGVO einhalten (z.B. Zweckbindung, Datenminimierung). Das jüngste Beispiel ist der sogenannte Workday-Fall: Ein Unternehmen testete die neue HR-Software Workday mit echten Mitarbeiterdaten und übermittelte dabei deutlich mehr Informationen als die Betriebsvereinbarung erlaubte (etwa Gehaltsdaten, private Anschriften, Steuer-IDs). Das Bundesarbeitsgericht (BAG) bestätigte kürzlich, dass dies gegen die DSGVO verstößt und einen Anspruch auf Schadenersatz begründet.

• Rechtsgrundlage: Art. 82 DSGVO garantiert jeder Person Schadenersatz bei Verletzung der Verordnung.
• Betriebsvereinbarung: Diese kann Datenverarbeitung konkret regeln, darf aber die DSGVO nicht umgehen.
• Workday-Fall: Übermittlung unzulässiger Daten (Gehaltsinfo, Privatadresse, Steuer-ID) überstieg die Vereinbarung.
• Urteile: EuGH (19.12.2024) und BAG (8.5.2025) bekräftigen, dass BVs nur im Rahmen legitimer DSGVO-Grundlagen gelten.
• Ergebnis: Das BAG sprach dem klagenden Mitarbeiter 200 € immateriellen Schadenersatz wegen „Kontrollverlust“ über die Daten zu.
• Tipp: Betriebsrat und Mitarbeiter sollten erlaubte Daten genau prüfen, Datenminimierung beachten und im Zweifel Pseudonymisierung oder Testdaten nutzen.

Was ist ein Schadensersatzanspruch nach DSGVO?

Nach Art. 82 Abs. 1 DSGVO kann jede Person, der durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist, vom verantwortlichen Unternehmen (Daten–Verantwortlicher oder Auftragsverarbeiter) Schadensersatz fordern. Das bedeutet: Haben Arbeitgeber Daten rechtswidrig verarbeitet – etwa ohne passende Rechtsgrundlage oder gegen Zweckbindung – kann sich der Betroffene direkt auf die Verordnung berufen.

• Betroffene Personen: Das sind z.B. Arbeitnehmer oder Bewerber, deren Daten vom Arbeitgeber verarbeitet werden.
• Schadensarten: Art. 82 nennt materielle (finanzielle Verluste) und immaterielle Schäden (seelische Beeinträchtigungen, Eingriff in Persönlichkeitsrechte). Dabei genügt es oft schon, dass die Betroffenen Kontrolle über ihre Daten verloren haben oder sich „in ihrer Privatsphäre beeinträchtigt fühlen“. Das BAG akzeptiert einen solchen Kontrollverlust als immateriellen Schaden.
• Beweislast: Der Betroffene muss den Verstoß und einen Schaden schlüssig darlegen; eine konkrete finanzielle Einbuße ist nicht nötig. Ein grundsätzliches Störgefühl reicht dem BAG allerdings nicht – es muss mehr dahinterstecken als einfache Unannehmlichkeit. Ein klar erkennbarer Eingriff (z.B. unautorisierte Weitergabe sensibler Daten) erfüllt dieses Kriterium.
• Haftung: Nach Art. 82 Abs. 2 haftet jeder am Datenverstoß beteiligte Verantwortliche. Hat also Arbeitgeber und Konzernmutter gemeinsam über Daten entschieden, können beide haften. Häufig richtet sich die Klage aber gegen den direkten Arbeitgeber, der den Datenfluss veranlasst hat.

Beispiel: Leitet ein Arbeitgeber Krankenakten oder Gehaltsdaten ohne gesetzliche Grundlage an eine andere Firma weiter, kann der betroffene Mitarbeiter sofort Schadensersatz nach Art. 82 DSGVO geltend machen. Er muss nur darlegen, dass seine personenbezogenen Daten unrechtmäßig verarbeitet wurden und er dadurch im Sinne der DSGVO „Schaden“ erlitt. Genau das passierte im Workday-Fall (siehe unten).

Wann haftet der Arbeitgeber für Datenschutzverstöße?

Grundsätzlich haftet der Arbeitgeber als Datenverantwortlicher für sämtliche Verstöße gegen Datenschutzvorgaben im Betrieb. Entscheidend ist dabei die Rechtsgrundlage jeder Datenverarbeitung (Art. 6 DSGVO) und die Beachtung der Datenschutzprinzipien (Art. 5 DSGVO). Typische Rechtsgrundlagen sind:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Daten von Beschäftigten dürfen verarbeitet werden, soweit es für das Arbeitsverhältnis notwendig ist (z.B. Lohnabrechnung).
• Rechtliche Verpflichtung (lit. c): Erfüllung gesetzlicher Pflichten (z.B. Meldung an Finanzamt).
• Berechtigte Interessen (lit. f): Ein Interessen­gleichgewicht zwischen Arbeitgeber und Arbeitnehmer muss gewahrt sein (z.B. für IT-Sicherheits- oder Steuerungszwecke).
• Arbeitsrechtlicher Kollektivvertrag (§ 26 BDSG i.V.m. Art. 88 DSGVO): In Deutschland erlaubt das neue Bundesdatenschutzgesetz (§ 26 Abs. 4 BDSG) unter bestimmten Bedingungen die Datenverarbeitung per Betriebsvereinbarung. Dabei ist jedoch zu beachten, dass diese Vereinbarung nur eine Konkretisierung einer DSGVO-Rechtsgrundlage darstellt – sie kann keinen eigene rechtliche Erlaubnis schaffen.

Keine Blanket-Lösung durch BV: Weder eine Betriebsvereinbarung noch ein Betriebsrat können der DSGVO vorgreifen. Selbst eine gültige Betriebsvereinbarung entbindet den Arbeitgeber nicht von seiner DSGVO-Pflicht, eine zulässige Rechtsgrundlage zu haben. Verstößt die Datennutzung gegen die DSGVO (etwa weil kein passendes Kriterium vorlag oder mehr Daten verarbeitet wurden als nötig), haftet der Arbeitgeber persönlich.

Praktische Hinweise: Arbeitgeber sollten bei Datenvorhaben stets prüfen, ob eine DSGVO-konforme Grundlage besteht. Auch wenn der Betriebsrat einer Datenerhebung zugestimmt hat, fehlt diese Zustimmung außerhalb der engen Grenzen von Art. 88 DSGVO (siehe unten). Ein häufiger Fehler ist der Einsatz von Echtdaten bei Softwaretests oder Prozess-Simulationen: Hier sind oft fiktive oder anonymisierte Daten ausreichend und deutlich sicherer. Beispiel: Statt alle Personaldaten in ein Testsystem zu laden, könnte man sie pseudonymisieren oder künstliche Stammsätze verwenden.

Welche Rolle spielt eine Betriebsvereinbarung zur Datenverarbeitung?

Eine Betriebsvereinbarung dient dazu, den Datenschutz im Betrieb gemeinsam zwischen Arbeitgeber und Betriebsrat zu regeln. Nach § 87 Abs. 1 Nr. 6 BetrVG besteht bei technischen Einrichtungen, die Arbeitnehmer überwachen oder Daten verarbeiten, ein Mitbestimmungsrecht des Betriebsrats. Betriebsvereinbarungen fassen dann exakt fest, welche Daten verwendet werden dürfen und für welche Zwecke.

• Rechtsgrundlage: Nach deutschem Recht (BDSG) können Betriebsvereinbarungen als besondere Rechtsgrundlage für Mitarbeiterdaten dienen. Sie stehen neben der DSGVO (Art. 6, 9) gleichwertig und werden häufig herangezogen.
• Grenzen einer BV: Entscheidend ist aber, dass eine BV nur Regelungen für die Datenverarbeitung treffen kann, die ohnehin DSGVO-konform sind. Sie darf nicht zu unzulässigen Praktiken führen. Ist etwa die Weitergabe bestimmter Datenarten nach DSGVO verboten oder es fehlt jede Rechtsgrundlage, kann eine BV dies nicht einfach „legalisieren“.
• Gerichtliche Kontrolle: EuGH und BAG stellen ausdrücklich klar, dass Betriebsvereinbarungen der vollen Kontrolle durch die Gerichte unterliegen. Eine Vereinbarung darf nicht das Schutzniveau der DSGVO unterlaufen. Wird eine BV unwirksam (etwa weil sie zu weit geht), verliert die vereinbarte Datenverarbeitung ihre Rechtfertigung – sie bleibt rechtswidrig.
• Inhaltliche Anforderungen: Nach Art. 88 Abs. 1 DSGVO dürfen Nationale Vorschriften und Kollektivvereinbarungen sogar spezifischere Regeln für Beschäftigtendaten enthalten. Der deutsche Gesetzgeber hat dies im neuen BDSG umgesetzt: § 26 Abs. 4 BDSG erlaubt ausdrücklich, Datenverarbeitungen auf eine Betriebsvereinbarung zu stützen. Allerdings knüpft Art. 88 Abs. 2 DSGVO wichtige Bedingungen: Sie verlangen geeignete und besondere Maßnahmen zum Schutz der Beschäftigten (z.B. technische Sicherung, interne Regelungen).

Beispiel Inhalt einer BV: Eine Betriebsvereinbarung kann festlegen, dass der Arbeitgeber beim Testen einer neuen Software nur bestimmte Daten nutzen darf (Name, Eintrittsdatum, Abteilung etc.) und diese Daten nicht über einen definierten Testzeitraum zu speichern hat. Sie kann auch verbieten, die Testsoftware für Personalbewertungen zu verwenden (wie im Workday-Fall). Fehlt diese Präzisierung, ist es so, als gäbe es keine Vereinbarung: Dann greift § 87 BetrVG (Einschränkung beim Einsatz technischer Einrichtungen) strenger.

Was sagt der EuGH zum Datenschutz und Betriebsvereinbarungen (Urteil C‑65/23 vom 19.12.2024)?

In der Vorlage an den Europäischen Gerichtshof ging es um die Auslegung von Art. 88 DSGVO. Der EuGH entschied am 19. Dezember 2024 (Az. C‑65/23), dass Art. 88 DSGVO kein „Freifahrtschein“ ist, um Datenschutzvorgaben zu umgehen. Wichtige Erkenntnisse des Urteils sind:

• Betriebsvereinbarungen nur „spezifischere Vorschriften“: Art. 88 Abs. 1 DSGVO räumt Mitgliedstaaten und Betriebsparteien das Recht ein, durch Gesetz oder Kollektivvereinbarung spezifischere Regelungen zu erlassen. Der EuGH bestätigte zwar, dass BV grundsätzlich zulässig sein können, dies aber nicht unabhängig von der DSGVO geschieht.
• Einhaltung von DSGVO-Grundprinzipien: Betriebsvereinbarungen müssen immer mit den allgemeinen DSGVO-Regeln im Einklang stehen. Insbesondere gelten die Grundsätze von Zweckbindung und Speicherbegrenzung: Daten dürfen nur für den ursprünglich festgelegten Zweck verarbeitet und nicht länger als nötig gespeichert werden. Diese Prinzipien gelten auch im Beschäftigungsverhältnis.
• Rechtsgrundlagen nach Art. 6 und 9: Jede Datenverarbeitung nach einer BV muss einer der in der DSGVO genannten Rechtsgrundlagen genügen (z.B. Art. 6 Abs. 1 lit. b oder f). Der EuGH betonte, dass alle Anforderungen von Art. 6 und Art. 9 erfüllt sein müssen. Das bedeutet konkret: Eine BV kann etwa einen Teil der gesetzlichen Erlaubnis nach § 26 BDSG konkretisieren, sie kann aber keine neue, eigenständige DSGVO-Rechtsgrundlageschaffen.
• Keine Absenkung des Schutzniveaus: Arbeitgeber und Betriebsrat dürfen durch Vereinbarungen das DSGVO-Niveau nicht absenken. Eine Verarbeitung, die nach den DSGVO-Grundsätzen unzulässig wäre, wird durch eine BV nicht rechtmäßig. Der EuGH stellte klar: Art. 88 erlaubt kein Umgehen der Grundanforderungen der DSGVO (z.B. Art. 5, 6, 9).
• Gerichtliche Überprüfbarkeit: Der EuGH betonte zudem, dass Betriebsvereinbarungen (als Kollektivvereinbarungen) der vollen gerichtlichen Kontrolle unterliegen. Arbeitnehmer können also Unwirksamkeit oder unzulässige Klauseln vor Gericht anfechten.

Praxisfolgen: Nach diesem Urteil ist jede Betriebsvereinbarung auf Vereinbarkeit mit der DSGVO zu prüfen. Man kann sich nicht darauf verlassen, dass eine BV immer als Rechtsgrundlage reicht. Vielmehr muss die BV innerhalb der zulässigen Art der Rechtsgrundlage (z.B. Durchführung des Arbeitsvertrags nach Art. 6 Abs. 1 lit. b) konkretisieren. Beispiel: Steht in der BV, dass nur Name und Eintrittsdatum für ein Personalmanagementsystem übermittelt werden dürfen, dann darf darüber hinaus keine Gehalts- oder Gesundheitsdaten übertragen werden. Tut man dies doch, liegt eine DSGVO-Verletzung vor – auch wenn der Betriebsrat „zugestimmt“ hat.

Wie entschied das Bundesarbeitsgericht im Workday-Fall? (8 AZR 209/21, 8. Mai 2025)

Im konkreten Fall hatte ein großes Unternehmen im Jahr 2017 geplant, das cloudbasierte HR-System Workdaykonzernweit einzuführen. Dafür wurde eine vorläufige Duldungs-Betriebsvereinbarung mit dem Betriebsrat geschlossen, die den Testbetrieb regelte. Darin durften vom bisherigen SAP-System lediglich bestimmte Stammdaten für Workday übertragen werden (Personaldaten wie Name, Eintrittsdatum, Betriebszugehörigkeit, geschäftliche Kontaktdaten). Die Datenübertragung sollte bis zur endgültigen Einführung am 23.1.2019 befristet sein.

![Smartphone mit Workday-Personalverwaltungssoftware, Symbolbild für DSGVO und Betriebsvereinbarung] Trotz dieser Vereinbarung übermittelte das Unternehmen zusätzliche sensible Daten an die Konzernmutter in den USA, die nicht im Anhang der BV standen: darunter private Wohnanschrift, Gehaltsdaten, Sozialversicherungsnummer, Steuer-ID, Geburtsdatum und Familienstand des Klägers. Der betroffene Arbeitnehmer verlangte daraufhin – gestützt auf Art. 82 DSGVO – 3.000 Euro Entschädigung für den angeblich erlittenen immateriellen Schaden (Kontrollverlust über seine Daten).

Die untergeordneten Arbeitsgerichte lehnten die Klage zunächst ab. Mit Beschluss vom 22.9.2022 setzte das BAG das Verfahren aus und legte dem EuGH Fragen zur Auslegung von Art. 88 DSGVO vor. Nach dem EuGH-Urteil (siehe oben) entschied das BAG am 8. Mai 2025 endgültig: Dem Kläger steht Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 Euro zu. Die Begründung der 8. Senats lautet im Wesentlichen:

• Überschreitung der BV: Die Beklagte (Arbeitgeberin) hatte mehr personenbezogene Daten weitergegeben, als die Betriebsvereinbarung erlaubte. Insbesondere gehöre die Übermittlung von Gehaltsangaben, Privatanschrift usw. nicht zur vertraglich vereinbarten Zweckbindung.
• Fehlende Rechtsgrundlage (Art. 6 Abs. 1 lit. f): Selbst die herangezogene Rechtsgrundlage (berechtigtes Interesse, Art. 6 lit. f DSGVO) sei für diesen Umfang der Datenweitergabe nicht gegeben. Die Datenübermittlung sei nicht erforderlich gewesen, etwa um das Arbeitsverhältnis zu führen oder Workday zu testen. Daraus folgten ein DSGVO-Verstoß und Haftung.
• Immaterieller Schaden (Kontrollverlust): Das BAG erkannte als immateriellen Schaden an, dass der Kläger die Kontrolle über seine Daten an die Konzernmutter verloren hatte. Dieser „Kontrollverlust“ sei ein ersatzfähiger immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO. Auch wenn keine finanzielle Belastung nachgewiesen wurde, stelle der Eingriff in sein Persönlichkeitsrecht eine Entschädigung rechtfertigende Verletzung dar.
• Höhe des Schadensersatzes: Da der Kläger in der mündlichen Verhandlung erklärte, nicht anzufechten, dass die in der BV erfassten Daten (Name, Eintritt etc.) erforderlich waren, brauchte das BAG diese Frage nicht mehr zu klären. Für die Überschreitung räumte das Gericht schließlich pauschal 200 Euro ein, was nach BAG-Rechtsprechung als angemessener Ausgleich für einen rein immateriellen Schaden im Arbeitsverhältnis gilt.

Fazit: Das BAG hat damit klargestellt, dass unzulässige Datenweitergabe auch innerhalb eines Konzernsschadensersatzpflichtig ist, wenn sie die DSGVO verletzt. Die Betriebsvereinbarung selber wurde zwar nicht für unwirksam erklärt, aber ihre Grenzen sind bindend. Verstößt der Arbeitgeber darüber hinaus gegen die Zwecke oder Kategorien der Vereinbarung, haftet er persönlich auf Ersatz des erlittenen Schadens.

Praxis-Tipps für Betriebsräte, Arbeitnehmer und Arbeitgeber

• Datenkategorien genau klären: In einer Betriebsvereinbarung sollten klar benannte Daten und deren Verwendungszweck festgehalten werden. Beispiel: „Es dürfen nur Name, Eintrittsdatum, Abteilung und dienstliche Kontaktdaten für Testzwecke in Workday übermittelt werden.“ Alle weiteren Daten müssen ausgeschlossen werden. Regelmäßige Reviews helfen, den Umfang im Blick zu halten.
• Zweckbindung beachten: Vereinbarte Zwecke (z.B. reiner Testbetrieb) dürfen nicht ausgedehnt werden. Selbstfür „interne Freigaben“ sollte der Schutzstandard gewahrt sein. Wird Workday nach Abschluss der Tests für die Personalverwaltung genutzt, sollte auch das in einer neuen, DSGVO-konformen BV oder im Arbeitsvertrag geregelt sein.
• Datenminimierung und Anonymisierung: Wo möglich, sollten zum Test allgemeine oder anonymisierte Datensätze verwendet werden. Fiktive Muster oder Pseudonymisierung (z.B. Ersetzen von Namen durch Nummern) minimieren Risiken. Damit umgeht man eine Menge Probleme: selbst wenn versehentlich mehr Daten fließen, handelt es sich dann nicht um schutzwürdige Personendaten.
• Einwilligungen überdenken: Falls ein konkreter Arbeitgeberdateneinsatz über die vertraglichen Zwecke hinausgeht und kein anderes Rechtskriterium hilft, könnte der Arbeitnehmer ggf. seine Einwilligung geben. Diese muss aber freiwillig, explizit und jederzeit widerrufbar sein (Art. 4 Nr. 11; Art. 7 DSGVO). In der Regel ist Einwilligung im Arbeitskontext allerdings kritisch: Sie muss der Beschäftigte tatsächlich autonom erteilen können – dem widerspricht oft das Abhängigkeitsverhältnis.
• Rolle des Betriebsrats: Der Betriebsrat sollte wachen Auges prüfen, dass geplante Datenverarbeitungen die gesetzlichen Vorgaben erfüllen. Auch er kann Schadensersatz wegen DSGVO-Verstößen geltend machen, wenn der Arbeitgeber gegen BV-Regeln verstößt (sonst hat das Mitbestimmungsrecht nach § 87 BetrVG keinen Zweck). Irrtum: Die Zustimmung des Betriebsrats befreit den Arbeitgeber nicht von der DSGVO-Einhaltung.
• Dokumentation: Arbeitgeber sollten Nachweise für die Wahl der Rechtsgrundlage, Zweckfestlegung und Löschfristen führen (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Betriebsvereinbarungen sollten offenliegen und regelmäßig überprüft werden, ob sie noch den aktuellen Projekten entsprechen.

Checkliste für Unternehmen

• ✅ Rechtsgrundlage prüfen: Für jede Datenerhebung/Form gilt: Passt sie zu Art. 6 DSGVO (oder § 26 BDSG mit BV)? Wenn ja, ist die erforderliche Rechtsgrundlage dokumentiert?
• ✅ Datenarten begrenzen: Nur wirklich erforderliche Datenkategorien nutzen. Sensible oder private Infos nur mit ausdrücklicher Grundlage oder Einwilligung. In der BV genau auflisten, was erlaubt ist.
• ✅ Speicherfristen festlegen: Automatisierte Tests sollten nicht dauerhaft Originaldaten halten. Nach Ende des Testlaufs alle Testdaten löschen oder anonymisieren. Die BV bzw. Richtlinie muss solche Fristen enthalten.
• ✅ Zweckkontrolle: Sind die Daten wirklich für diesen Zweck notwendig? Kann man das Projekt auch mit Dummy-Daten durchführen?
• ✅ Aufklärung und Transparenz: Mitarbeiter sind über Art der Datenverarbeitung zu informieren (Art. 13 DSGVO). Eine Betriebsvereinbarung sollte auch festlegen, wer welche Informationen erhält.
• ✅ Datenschutz-Folgenabschätzung: Bei umfangreicher, risikobehafteter Verarbeitung (z.B. zentrale HR-Systeme) prüfen, ob eine DSFA verpflichtend ist. Der Betriebsrat hat dabei Beteiligungsrechte.
• ✅ Internes Monitoring: Führen Sie Kontrollen oder interne Audits durch, um Abweichungen von der BV zu erkennen. Weichen Projekte ab, sollten diese abgestellt oder angegangen werden, bevor es zu Rechtsverletzungen kommt.

Großkonzerne vs. KMU, verschiedene Branchen

• Unternehmensgröße und Betriebsrat: In Großunternehmen existiert meist ein Betriebsrat, daher kommen oft Betriebsvereinbarungen zum Einsatz. In kleinen und mittleren Betrieben (KMU) ohne Betriebsrat ist die Situation anders: Dort fehlt eine BV als formeller Rechtsgrund, und Arbeitgeber müssen sich auf andere Grundlagen stützen (z.B. Vertragserfüllung oder berechtigtes Interesse). Dennoch gilt auch in KMU die DSGVO uneingeschränkt – alle Mitarbeiter haben die gleichen Rechte auf Datenschutz.
• Konzernstrukturen: In internationalen Gruppen wie im Workday-Fall können unterschiedliche Datenschutzstandards (z.B. EU vs. USA) ins Spiel kommen. Hier dürfen Betriebsvereinbarungen in Deutschland keine geringeren Schutzstandards zulassen, nur weil die Daten ins Ausland gehen. Arbeitgeber sollten globale Datenflüsse genau abstimmen und ggf. zusätzliche Schutzklauseln (z.B. EU-Standardvertragsklauseln) einsetzen.
• Branchenspezifische Aspekte: In manchen Branchen sind besonders sensible Daten im Spiel – z.B. Gesundheitsdaten in Kliniken, Finanzdaten bei Banken oder Betriebsgeheimnisse in der Industrie. Hier greifen oft Sonderregelungen (Art. 9 DSGVO für besondere Kategorien) oder ergänzende Gesetze. Betriebsvereinbarungen in diesen Bereichen müssen sehr vorsichtig formuliert sein, da Verstöße schnell höhere Bußgelder oder berufsrechtliche Konsequenzen nach sich ziehen können.
• Techniknutzung: In IT- oder Fertigungsunternehmen werden häufiger neue Softwarelösungen getestet, bei denen echte Nutzer- oder Personaldaten verwendet werden. Hier sollte man besonders auf DSGVO-konforme Testverfahren achten (Echtdaten nur „minimal-invasiv“ einsetzen). In weniger digital geprägten Branchen (Handel, Handwerk) dreht sich Datenschutz oft um Personalakten, Kameras oder GPS-Überwachung. Auch hier gelten die gleichen Grundsätze: Erlauben nur, was für den Betrieb zwingend nötig ist.

Realistische Beispielkonstellation: Eine IT-Firma in Deutschland plant, weltweit ihre Mitarbeiter-Apps zu konsolidieren. Dazu möchte sie Testdatenbanken füllen. Die HR-Abteilung könnte mit dem Betriebsrat vereinbaren, dass nur anonyme Accounts (Username ohne Klarnamen, generisches Eintrittsjahr statt Datum etc.) genutzt werden. Gibt sie stattdessen ohne Abstimmung die echten Adress- und Lohndaten frei, riskiert sie einen DSGVO-Verstoß und muss theoretisch jedem betroffenen Mitarbeiter Schadenersatz zahlen. Das gilt unabhängig davon, ob es sich um einen großen Softwarekonzern oder einen kleinen IT-Dienstleister handelt – der datenschutzrechtliche Maßstab ist überall gleich hoch.

---

Abschließend kann man sagen: Nach den aktuellen EuGH- und BAG-Entscheidungen ist klar: Verletzungen der DSGVO können Arbeitnehmer teuer zu stehen kommen, auch mittels Schadensersatz. Betriebsvereinbarungen bieten keinen Freibrief. Wird eine Vereinbarung über Datenweitergabe geschlossen, muss sie die strengen Vorschriften der DSGVO (Art. 5, 6, 9) wahren. Arbeitgeber und Betriebsrat sollten daher gemeinsam darauf achten, dass Betriebsvereinbarungen und technische Tests immer den Datenschutzbestimmungen genügen. Im Zweifelsfall gilt das Motto: weniger ist mehr – so bleiben Betriebsräte und Beschäftigte geschützt, und Unternehmen vermeiden teure Rechtsstreitigkeiten.