Ein Unternehmen testete neue HR-Software und übermittelte dabei mehr Mitarbeiterdaten als erlaubt. Das BAG sah darin nun einen Verstoß gegen die DSGVO und erkannte einen Schadensersatzanspruch wegen Kontrollverlusts über personenbezogene Daten an. Was das Urteil für Arbeitgeber bedeutet, lesen Sie hier.

Ein Unternehmen, das personenbezogene Daten seiner Mitarbeiter für einen Software-Test an eine Konzernmutter übermittelt, muss bei einem Verstoß gegen datenschutzrechtliche Vorgaben mit Schadensersatz rechnen. Das hat das Bundesarbeitsgericht (BAG) entschieden. Die Richter sahen in der unzulässigen Weitergabe sensibler Daten einen Kontrollverlust, der einen immateriellen Schaden darstellt (BAG, Urteil vom 8. Mai 2025, Az. 8 AZR 209/21).

Software-Test mit echten Daten

Im Jahr 2017 bereitete ein internationaler Konzern die Einführung eines einheitlichen Personalmanagementsystems vor. Anstelle der bisherigen SAP-Lösung sollte künftig das cloudbasierte Programm Workday zum Einsatz kommen. Um die Funktionalität der neuen Software zu testen, wurde entschieden, diese mit Echtdaten von Mitarbeitenden zu befüllen. Die Entscheidung fiel auf Daten, die aus der bestehenden Personalverwaltungssoftware extrahiert wurden.

Die Arbeitgeberin, eine deutsche Tochtergesellschaft, schloss zu diesem Zweck mit dem Betriebsrat eine Betriebsvereinbarung. Diese erlaubte es, bestimmte personenbezogene Informationen für den Testbetrieb an die Konzernzentrale zu übermitteln. Zugelassen waren etwa Name, Eintrittsdatum, Arbeitsort sowie geschäftliche Kontaktdaten.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Tatsächlich überschritt das Unternehmen diese Vorgaben erheblich. Es übermittelte nicht nur die vereinbarten Basisdaten, sondern auch sensible Informationen wie Gehaltsangaben, private Anschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-Identifikationsnummer. Die Daten wurden in eine Cloud-Struktur übertragen, deren Server in den USA lagen. Dies erfolgte ohne ausdrückliche Einwilligung der betroffenen Person und ohne über die Betriebsvereinbarung hinausgehende rechtliche Grundlage.

Ein Mitarbeiter, zugleich Vorsitzender des Betriebsrats, klagte daraufhin gegen seine Arbeitgeberin. Er machte einen Anspruch auf immateriellen Schadensersatz nach Artikel 82 Absatz 1 der Datenschutz-Grundverordnung geltend. Zur Begründung führte er an, dass durch die überschreitende Datenverarbeitung ein erheblicher Kontrollverlust über seine personenbezogenen Informationen eingetreten sei. Er forderte eine Entschädigung in Höhe von 3.000 Euro.

Das Landesarbeitsgericht (LAG) Baden-Württemberg, wies die Klage zunächst ab (LAG Baden-Württemberg, Urteil vom 25. Februar 2021, Az. 17 Sa 37/20). Das LAG hielt den geltend gemachten Kontrollverlust nicht für ausreichend, um einen ersatzfähigen immateriellen Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) zu begründen.

Datenschutz: Diese Grundlagen solltest du kennen

Was darf in einem Software-Test erlaubt sein?

Das BAG setzte das Verfahren im Revisionsverfahren aus und legte zunächst dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Auslegung der DSGVO vor. Es wollte u.a. wissen, ob eine nationale Rechtsgrundlage wie etwa eine Betriebsvereinbarung geeignet sein kann, die Verarbeitung von Arbeitnehmerdaten im Rahmen eines Softwaretests zu rechtfertigen und ob ein immaterieller Schaden auch dann vorliegt, wenn lediglich ein Kontrollverlust ohne konkrete Nachteile eingetreten ist.

Der EuGH bejahte diese Fragen (EuGH, Urteil vom 19. Dezember 2024, Az. C-65/23). Er stellte klar, dass nationale Betriebsvereinbarungen nur dann eine rechtmäßige Grundlage für Datenverarbeitungen darstellen, wenn sie im Einklang mit den Anforderungen der DSGVO stünden. Zudem bestätigte der EuGH, dass auch ein reiner Kontrollverlust als immaterieller Schaden gelten könne.

Auf dieser Grundlage urteilte das BAG nun, dass die Übermittlung der über die Betriebsvereinbarung hinausgehenden personenbezogenen Daten rechtswidrig gewesen sei. Es habe an einer Erforderlichkeit im Sinne von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe f DSGVO gefehlt. Die Interessen des Arbeitgebers an einem realitätsnahen Softwaretest würden nicht so schwer wiegen, dass sie die Rechte der betroffenen Person überlagern könnten.

Entscheidend sei, dass die betroffene Person durch die unkontrollierte Übermittlung ihrer Daten einen Verlust an Verfügungsmacht erlitten habe. Das reiche aus, um einen immateriellen Schaden anzunehmen. Zwar folgten die Richter nicht der Höhe nach dem Antrag des Klägers, sprachen ihm aber eine Entschädigung in Höhe von 200 Euro zu. Sie orientierten sich dabei an der Rechtsprechung des EuGH, wonach der Schadensersatz keine abschreckende Wirkung entfalten müsse, sondern nur den konkret erlittenen Nachteil ausgleichen solle.

Der Kläger hatte in der mündlichen Verhandlung vor dem BAG klargestellt, dass er sich nicht weiter darauf berufe, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Das BAG hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden.

Unternehmen müssen sensibilisiert sein

Die Entscheidung des BAG macht deutlich, dass datenschutzrechtliche Vorgaben auch im Rahmen interner Systemtests strikt einzuhalten sind. Betriebsvereinbarungen dürfen nicht als Freibrief für Datenverarbeitungen verstanden werden, sondern müssen ihrerseits im Einklang mit europäischem Datenschutzrecht stehen. Arbeitgeber tragen die Verantwortung für jede Datenverarbeitung, auch dann, wenn sie zur Vorbereitung technischer Neuerungen erfolgt.

Wer als Unternehmen personenbezogene Daten zu Testzwecken verarbeiten will, sollte diese Prozesse sorgfältig dokumentieren und prüfen. Der Einsatz von Echtdaten kann zulässig sein, erfordert jedoch eine fundierte rechtliche Grundlage. Die Einhaltung der Prinzipien der Zweckbindung und Datenminimierung ist dabei unerlässlich.

Die Entscheidung zeigt erneut, wie wichtig Datenschutz und Compliance im Unternehmen sind. Als Kanzlei sind wir auf das Datenschutzrecht spezialisiert. Wir beraten Unternehmen und Einzelpersonen u.a. bei allen Fragen rund um die rechtssichere Verarbeitung von Daten im Betrieb. Wenn auch Sie Fragen zur Zulässigkeit der Verarbeitung personenbezogener Daten haben oder überlegen, wie Sie Ihre internen Prozesse DSGVO-konform gestalten können, stehen wir Ihnen gerne zur Seite. Unsere erfahrenen Anwälte prüfen Ihre Verfahren und unterstützen Sie dabei, rechtliche Risiken zu vermeiden. Kontaktieren Sie uns jederzeit unter 0221 / 951 563 0 (Beratung bundesweit). Wir helfen Ihnen kompetent und engagiert.

tsp