Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 08.05.2025 (Az. 8 AZR 209/21) klargestellt: Betriebsvereinbarungen allein rechtfertigen keine Datenverarbeitung, wenn sie nicht den Anforderungen der DSGVO entsprechen.
In dem Fall hatte ein Unternehmen im Rahmen der Einführung einer Personalsoftware („Workday“) mehr personenbezogene Mitarbeiterdaten übermittelt als in der Betriebsvereinbarung mit dem Betriebsrat vorgesehen – darunter sensible Informationen wie Gehaltsdaten und Steuer-IDs. Diese Daten wurden ohne ausreichende Rechtsgrundlage an die Konzernmutter weitergeleitet.
Der betroffene Mitarbeiter klagte auf Schadenersatz nach Art. 82 DSGVO. Das BAG gab ihm Recht: Die Betriebsvereinbarung erlaubte nur bestimmte Daten, nicht jedoch die übermittelten sensiblen Informationen. Eine Betriebsvereinbarung könne nur dann eine zulässige Grundlage für die Verarbeitung darstellen, wenn die darin geregelten Verarbeitungen auch eigenständig auf eine gültige DSGVO-Rechtsgrundlage, wie etwa Art. 6 I DSGVO bzw. Art 9 II DSGVO , gestützt werden können.
Der Europäische Gerichtshof hatte zuvor betont, dass Regelungen in Betriebsvereinbarungen vollständig DSGVO-konform sein müssen. Insbesondere seien die Grundsätze der Zweckbindung und Datenminimierung zwingend zu beachten.
Fazit:
Betriebsparteien können Datenverarbeitungen nicht „per Vereinbarung“ legitimieren. Es ist immer eine gültige Rechtsgrundlage nach der DSGVO erforderlich, die zusätzlich durch die Betriebsvereinbarung konkretisiert, aber nicht ersetzt werden kann.