In einem aufsehenerregenden Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) hat das Bundesarbeitsgericht (BAG) die datenschutzrechtliche Position von Arbeitnehmerinnen und Arbeitnehmern deutlich gestärkt. Im Zentrum des Verfahrens stand die unzulässige Übermittlung von Mitarbeiterdaten in die USA durch den Arbeitgeber im Rahmen der Einführung eines cloudbasierten Personalverwaltungssystems. Das Gericht stellte klar: Ein bloßer Kontrollverlust über personenbezogene Daten kann bereits einen ersatzfähigen immateriellen Schaden darstellen – mit entsprechenden Konsequenzen für die Praxis.
I. Sachverhalt
Die Arbeitgeberin hatte im Jahr 2017 beschlossen, ein neues cloudbasiertes Personalmanagementsystem namens „Workday“ einzuführen, dessen Server in den Vereinigten Staaten betrieben werden. Im Zuge eines mehrphasigen Testbetriebs wurden dabei nicht nur anonymisierte Testdaten, sondern auch personenbezogene Echtdaten der Beschäftigten verwendet. Die Einführung erfolgte auf Grundlage einer mit dem Betriebsrat geschlossenen Betriebsvereinbarung, die die Verarbeitung bestimmter – ausdrücklich aufgeführter – personenbezogener Daten zu Testzwecken zuließ.
Allerdings übermittelte der Arbeitgeber darüber hinaus auch sensible Daten wie Gehaltsinformationen, Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID – ohne entsprechende Grundlage in der Betriebsvereinbarung. Ein betroffener Mitarbeiter, zugleich Vorsitzender des Betriebsrats, klagte auf immateriellen Schadensersatz wegen des Kontrollverlusts über seine Daten.
II. Rechtliche Bewertung
1. Datenschutzrechtliche Maßstäbe der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an die Verarbeitung personenbezogener Daten. Die Übermittlung von Daten in Drittländer ist nach Art. 44 ff. DSGVO nur unter strengen Voraussetzungen zulässig. Insbesondere muss ein angemessenes Datenschutzniveau sichergestellt sein – etwa durch einen Angemessenheitsbeschluss der EU-Kommission oder geeignete Garantien wie Standardvertragsklauseln.
Im vorliegenden Fall war die Übermittlung zusätzlicher Daten über die in der Betriebsvereinbarung genannten hinaus nicht erforderlich im Sinne von Art. 6 Abs. 1 DSGVO und damit rechtswidrig. Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine konkrete Rechtsgrundlage – die pauschale Bezugnahme auf eine Testphase genügt hierfür nicht.
2. Bedeutung und Grenzen von Betriebsvereinbarungen
Gemäß Art. 88 Abs. 1 DSGVO können nationale Vorschriften den Datenschutz im Beschäftigungskontext konkretisieren. In Deutschland geschieht dies insbesondere durch § 26 Abs. 4 BDSG, wonach Betriebsvereinbarungen eine Rechtsgrundlage für Datenverarbeitungen sein können – jedoch nur, wenn sie ihrerseits die Vorgaben der DSGVO einhalten.
Die Betriebsvereinbarung in diesem Fall regelte ausdrücklich, welche Daten für den Testbetrieb verwendet werden dürfen. Die Überschreitung dieser Grenzen war daher nicht von der Betriebsvereinbarung gedeckt und stellte eine eigenständige Datenschutzverletzung dar.
Der Europäische Gerichtshof hatte hierzu in einer Entscheidung vom 19. Dezember 2024 (C-65/23) ausdrücklich betont, dass nationale Regelungen zur Verarbeitung personenbezogener Daten im Beschäftigungskontext die Anforderungen der DSGVO vollumfänglich erfüllen müssen – und dass dies auch gerichtlich überprüfbar ist.
3. Schadensersatz wegen Kontrollverlusts
Das BAG erkannte in der unzulässigen Datenübermittlung einen Kontrollverlust über die personenbezogenen Daten des Klägers, der einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO begründe. Es sprach dem Kläger einen Schadensersatz in Höhe von 200 Euro zu.
Dabei berief sich das Gericht auf die Rechtsprechung des EuGH, der im Urteil vom 25. Januar 2024 (C-687/21) klarstellte, dass ein Schadensersatzanspruch nicht voraussetzt, dass ein materieller Schaden oder eine konkrete Nutzung der Daten durch Dritte nachgewiesen wird. Der Verlust der Kontrolle über die eigenen Daten genügt.
III. Bedeutung für die Praxis
1. Arbeitgeberpflichten bei der Einführung von Cloud-Systemen
Arbeitgeber sind verpflichtet, bei der Einführung cloudbasierter Systeme und der Nutzung von Dienstleistern mit Serverstandorten außerhalb der EU besonders sorgfältig vorzugehen. Eine pauschale Übertragung von Echtdaten zu Testzwecken ist ohne klare Rechtsgrundlage unzulässig. Der Einsatz personenbezogener Daten muss stets auf das erforderliche Maß beschränkt sein.
2. Betriebsvereinbarungen als notwendige, aber nicht hinreichende Grundlage
Auch wenn eine Betriebsvereinbarung existiert, schützt dies nicht vor Verstößen gegen die DSGVO. Arbeitgeber sind an die Inhalte der Vereinbarung gebunden und dürfen keine darüber hinausgehenden Daten verarbeiten. Betriebsräte sind gefordert, bei der Gestaltung solcher Vereinbarungen auf Klarheit und Begrenzung zu achten.
3. Zunehmende Haftungsrisiken für Unternehmen
Das Urteil zeigt: Beschäftigte haben bei Datenschutzverstößen reale Chancen auf Schadensersatz – auch wenn die Beträge bislang eher symbolischen Charakter haben. Unternehmen müssen daher Compliance-Strukturen etablieren, interne Prozesse prüfen und ihre Datenschutzorganisation regelmäßig an neue technische und rechtliche Entwicklungen anpassen.
IV. Fazit
Das BAG hat mit seiner Entscheidung deutlich gemacht, dass Arbeitnehmer nicht schutzlos gestellt sind, wenn ihre Daten ohne ausreichende Rechtsgrundlage an ausländische Server übermittelt werden. Der bloße Kontrollverlust über personenbezogene Daten kann bereits einen ersatzfähigen immateriellen Schaden begründen. Für Arbeitgeber bedeutet dies eine klare Aufforderung, bei der Einführung digitaler Systeme wie Workday nicht nur technische und organisatorische Maßnahmen zu beachten, sondern auch rechtlich einwandfreie Betriebsvereinbarungen zu schließen – und diese auch einzuhalten.
Die Entscheidung fügt sich nahtlos in eine zunehmende Rechtsprechung des EuGH ein, die dem Datenschutz im Beschäftigungsverhältnis einen hohen Stellenwert beimisst. Unternehmen sind gut beraten, ihre Datenverarbeitungsprozesse insbesondere im Bereich der Cloudnutzung umfassend zu überprüfen und zu dokumentieren.
