Datenschutz im Arbeitsverhältnis und die Anforderungen der DSGVO
Die jüngste Entscheidung des Bundesarbeitsgerichts (BAG, 8 AZR 209/21 vom 8. Mai 2025) verdeutlicht, wie sensibel der Umgang mit personenbezogenen Daten im Beschäftigungskontext ist und welche weitreichenden Folgen schon vermeintlich geringfügige Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haben können. Im Mittelpunkt stand die Verarbeitung von Echtdaten in einer cloudbasierten Personalsoftware während einer Testphase, bei der Arbeitnehmerdaten über das vereinbarte Maß hinaus in ein konzernweites System übertragen worden waren. Der betroffene Betriebsratsvorsitzende machte geltend, dass seine personenbezogenen Daten ohne ausreichende Rechtsgrundlage und entgegen betrieblicher Vereinbarungen verarbeitet wurden. Das BAG erkannte ihm in diesem Zusammenhang einen immateriellen Schadenersatzanspruch in Höhe von 200 Euro zu – und schuf damit eine richtungsweisende Grundlage für die Bewertung datenschutzrechtlicher Risiken bei Softwareumstellungen im Unternehmen.
Rechtliche Bewertung und Grenzen der Datenverarbeitung
Das BAG stellte zunächst klar, dass jede Verarbeitung personenbezogener Daten eine taugliche Rechtsgrundlage erfordert. Maßgeblich hierfür ist vor allem Art. 6 DSGVO, der unter anderem eine Rechtfertigung zulässt, wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist. Allerdings gilt diese Voraussetzung nur dann, wenn die Interessen der Betroffenen nicht überwiegen. Das Gericht betonte, dass die Verarbeitung von Echtdaten zu Testzwecken nicht per se unzulässig ist, allerdings darf sie nur erfolgen, wenn Ersatzdaten – sogenannte Dummy-Daten – den Testzweck nicht erfüllen. Im vorliegenden Fall war ausschlaggebend, dass der Arbeitgeber über die im Rahmen einer Betriebsvereinbarung ausdrücklich erlaubten Daten hinaus weitere sensible Informationen wie Sozialversicherungsnummern, Steuer-IDs und private Kontaktdaten verarbeitet hatte. Dies ging über die mit dem Betriebsrat abgestimmte Duldungsvereinbarung hinaus und verletzte somit die Grundsätze der Verhältnismäßigkeit und Zweckbindung.
Darüber hinaus stellte das BAG klar, dass nationale Gesetze wie § 26 Bundesdatenschutzgesetz nicht automatisch eine ausreichende Rechtsgrundlage im Sinne von Art. 88 DSGVO bieten. Nationale Sonderregelungen müssen spezifisch und schützend ausgestaltet sein, was für § 26 BDSG nach Auffassung des Gerichts nicht gegeben ist. Damit bleibt die DSGVO unmittelbar maßgeblich für die datenschutzrechtliche Beurteilung im Beschäftigungskontext. Der immaterielle Schaden im Sinne von Art. 82 DSGVO lag darin, dass der Arbeitnehmer die Kontrolle über seine sensiblen Daten verloren hatte. Schon dieser Kontrollverlust wurde als hinreichende Beeinträchtigung anerkannt, auch wenn keine konkrete missbräuchliche Nutzung der Daten nachgewiesen wurde.
Bedeutung für Unternehmen, Mittelstand und spezialisierte Branchen
Die Entscheidung ist von erheblicher Tragweite für Arbeitgeber – vom kleinen Handwerksbetrieb über Pflegeeinrichtungen bis hin zu international agierenden Onlinehändlern. Viele Unternehmen stehen regelmäßig vor der Herausforderung, neue Systeme zur Personalverwaltung, Lohnabrechnung oder Buchhaltung einzuführen. Häufig werden hierfür Pilotläufe durchgeführt, in denen die Versuchung groß ist, Echtdaten zu verwenden. Das Urteil macht jedoch deutlich, dass solche Vorgehensweisen erhebliche rechtliche Risiken bergen, wenn sie nicht eng an betriebliche Vereinbarungen und die Vorgaben der DSGVO gebunden sind.
Für kleine und mittlere Unternehmen bedeutet dies konkret, dass sie Testumgebungen so weit wie möglich mit anonymisierten oder synthetischen Daten befüllen sollten. Pflegeeinrichtungen, die besonders sensible Mitarbeiter- und Patientendaten verarbeiten, müssen dabei noch sorgfältiger vorgehen, da Verstöße durch die hohe Schutzbedürftigkeit der Informationen besonders ins Gewicht fallen. Onlinehändler wiederum, die ihre Personalprozesse über internationale Konzernstrukturen hinweg digitalisieren, laufen Gefahr, dass Datentransfers in Drittländer zusätzliche juristische Hürden auslösen. Auch für Steuerberatungen, die von Mandanten mit der Implementierung von Lohnsoftware oder digitalen Schnittstellen betraut werden, ergibt sich aus dem Urteil die Pflicht, bestehende Datenschutzstrukturen kritisch zu hinterfragen. Es wird künftig nicht mehr ausreichen, sich auf grobe Projektvereinbarungen zu verlassen. Vielmehr ist eine enge Abstimmung mit Betriebsräten, eine präzise Dokumentation der verwendeten Datenkategorien und eine klare Zuweisung von Verantwortlichkeiten erforderlich.
Besonders praxisrelevant ist, dass schon kleine Verstöße einen finanziellen Ausgleichspflicht nach sich ziehen können. Der zugesprochene Betrag von 200 Euro verdeutlicht zwar, dass es hier nicht um hohe Kompensationen geht, aber es zeigt ebenso, dass jeder einzelne Mitarbeiter Ansprüche geltend machen kann. Bei softwaregestützten Massendatenverarbeitungen und Pilotprojekten mit zahlreichen Beschäftigten kann sich dies zu einem erheblichen finanziellen Risiko summieren. Unternehmen, die die digitale Transformation vorantreiben, sollten daher Datenschutz nicht als nachgelagerte Compliance-Frage betrachten, sondern als integralen Bestandteil jedes IT-Projekts.
Schlussfolgerung und Empfehlungen für die Praxis
Die Entscheidung des BAG gibt Unternehmen klare Leitlinien mit auf den Weg: Datenschutz muss von Beginn an fester Bestandteil von Digitalisierungsprojekten sein. Die Einführung neuer Software oder cloudbasierter Systeme setzt sorgfältige Vorabstimmungen, transparente Vereinbarungen mit Betriebsräten sowie die konsequente Nutzung von Testdaten voraus. Arbeitgeber sollten sich bewusst machen, dass selbst geringfügige Verstöße zu Schadenersatzansprüchen führen können. Kleine Betriebe, mittelständische Unternehmen, Pflegeeinrichtungen wie auch Onlinehändler profitieren langfristig von einer sauberen Datenstrategie, weil sie dadurch rechtliche Risiken minimieren und zugleich das Vertrauen der Mitarbeitenden stärken. Unsere Kanzlei unterstützt seit vielen Jahren kleine und mittelständische Unternehmen bei der Prozessoptimierung in der Buchhaltung sowie der Digitalisierung ihrer Verwaltungsabläufe und sorgt damit für deutliche Kostenersparnisse und nachhaltige Strukturen in der Praxis.
Gerichtsentscheidung lesen
