Im Blick: Arbeitsrecht

Genau darin liegt das Risiko: Solche Daten sind dann nicht mehr kontrollierbar – weder was den Zugriff noch was die Weiterverarbeitung betrifft. Dass der Rechner zuhause „auch alle Updates hat“ oder dass die Bearbeitung angeblich besonders dringend war, spielt dabei keine Rolle. Rechtlich zählt allein, ob die Verarbeitung erlaubt war – und das war sie hier eindeutig nicht.

Besonders ins Gewicht fiel im konkreten Fall auch der Umfang der weitergeleiteten Daten. Das Gericht stellte klar: Schon die mehrfache, unzulässige Weiterleitung personenbezogener Daten – vor allem der Vergütungsdaten – reicht für eine grobe Pflichtverletzung aus. Die Schwelle dafür liegt nicht besonders hoch.

Nebenbei bemerkt: Das Gericht hat offengelassen, ob § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) hier als Rechtfertigung herangezogen werden könnte. Da aber der Europäische Gerichtshof (EuGH) bereits klargestellt hat, dass diese Norm nicht im Einklang mit der Datenschutz-Grundverordnung (DS-GVO) steht, sollte das Thema eigentlich vom Tisch sein.

Der Sachverhalt

Konkret ging es darum, ob ein Betriebsratsvorsitzender aus dem Gremium ausgeschlossen werden muss. Der Hintergrund: Der Arbeitgeber betreibt eine Klinik mit rund 390 Mitarbeitenden. Dort gibt es einen neunköpfigen Betriebsrat, dessen Vorsitzender der betroffene Kollege war.

Im September 2023 stellte der Arbeitgeber fest, dass dieser Vorsitzende alle dienstlichen E-Mails automatisch an seine private E-Mail-Adresse weitergeleitet hatte. Dafür gab es keine Freigabe. Der Arbeitgeber sprach eine Abmahnung aus – doch im Oktober zeigte sich, dass weiterhin dienstliche Inhalte, zum Beispiel Kalendereinträge, an die private Adresse gingen. Daraufhin wurde die Weiterleitung technisch unterbunden.

Stattdessen leitete der Betriebsratsvorsitzende sich dann am 07.11.2023 eine Excel-Datei mit sensiblen Personaldaten – konkret: eine komplette Personalliste mit Namen, Positionen, Tarifeinstufungen, Gehaltsdaten und internen Vergleichswerten – von seinem dienstlichen Account an eine neue private E-Mail-Adresse weiter. Er bearbeitete die Datei zu Hause und schickte sie anschließend wieder zurück an seine dienstliche Adresse sowie an den Betriebsrat.

Am 8. November verschickte er dieselbe Liste erneut von seinem privaten Account – diesmal wieder an den Betriebsrat und an seinen eigenen dienstlichen Account.

Nachdem das alles aufgefallen war, beantragte der Arbeitgeber am 21.12.2023 den Ausschluss des Vorsitzenden aus dem Betriebsrat – wegen grober Pflichtverletzung.

Der Betroffene verteidigte sich unter anderem damit, dass die Daten auf seinem privaten Computer gut geschützt seien, dass er zu Hause effizienter arbeiten könne und dass niemand sonst Zugriff auf die Daten gehabt habe. Außerdem habe er keine böse Absicht verfolgt, keine Amtspflicht verletzt und sei davon ausgegangen, dass die Bearbeitung dringend gewesen sei. Die Zusammenarbeit mit dem Arbeitgeber sei aus seiner Sicht nicht gestört gewesen. In der Datenschutzschulung sei außerdem nie gesagt worden, dass man keine Weiterleitungen einrichten dürfe. Seiner Meinung nach habe er jedenfalls keine grobe Pflichtverletzung begangen.

Die Entscheidung

Das LAG widersprach dem Betriebsratsvorsitzenden im Einklang mit der ersten Instanz. Das Gericht stellte klar, dass der Betriebsratsvorsitzende durch das Weiterleiten der personenbezogenen Daten an seine private E-Mail-Adresse eine besonders grobe Pflichtverletzung begangen hatte und er damit aus dem Betriebsrat auszuschließen war.

Begründet wurde diese Entscheidung mit Verweis auf § 79a S. 1 BetrVG. Danach hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Damit muss er innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DS-GVO vornehmen. Bei jeder Datenverarbeitung personenbezogener Daten sind die Normen der DS-GVO einzuhalten. Abhängig von der Schwere des Verstoßes gegen datenschutzrechtliche Pflichten liegt eine grobe Pflichtverletzung nach § 23 Abs. 1 BetrVG vor.

Vorliegend hatte der Betriebsratsvorsitzende eine Excelliste mit nahezu sämtlichen Mitarbeiterdaten an seine private E-Mail-Adresse geschickt, was das Gericht als ausreichend für eine grobe Pflichtverletzung ansah. Insbesondere lag kein Rechtfertigungsgrund nach Art. 6 Abs. 1 DS-GVO vor, sodass die Datenverarbeitung rechtswidrig war. Auch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c DS-GVO wurde missachtet. Das LAG verneinte auch § 26 Abs. 1 BDSG als Rechtfertigungsgrund, ließ dessen Anwendbarkeit aber bewusst offen.

Das Gericht betonte, dass aufgrund insbesondere der Weiterleitung der Vergütung der Mitarbeiter ein besonders grober Verstoß gem. § 23 S. 1 BetrVG vorlag. Der Betriebsratsvorsitzende hätte erkennen müssen, dass es sich um höchst sensible Daten handelt. Außerdem hat er extra eine neue private Adresse angelegt, als ihm die alte Weiterleitung gesperrt wurde. Er zeigte sich damit unbelehrbar. Eine Eilbedürftigkeit in dem Sinne, dass er betriebsratsbezogene Aufgaben erledigen musste, reicht nicht als Rechtfertigung aus. Ebenso wenig ist kein Argument, dass er zu Hause besser hätte arbeiten können. Vielmehr hätte er auch „bessere“ Arbeitsmittel gem. § 40 Abs. 2BetrVG verlangen können. Zudem sei auch das Argument, dass sein privater PC immer über alle Updates verfüge, keine Rechtfertigung.

Konsequenzen für die Praxis

• Die Entscheidung aus Hessen macht deutlich: Wer als Betriebsratsmitglied gegen den Datenschutz verstößt, muss mit echten Konsequenzen rechnen. Es gibt keinen „datenschutzrechtlichen Freifahrtschein“ für die Betriebsratsarbeit. Im Gegenteil: Das BetrVG ist an dieser Stelle ziemlich eindeutig – und sieht bei groben Verstößen auch den Ausschluss aus dem Gremium vor.
• Gleichzeitig stehen Arbeitgeber hier vor einem Dilemma: Sie dürfen die Datenverarbeitung durch den Betriebsrat nicht kontrollieren – haben aber trotzdem die Verantwortung für die Einhaltung der Datenschutzvorgaben im Unternehmen. Und genau hier wird es heikel.

Praxistipps für Unternehmen

Die spannende Frage in der Praxis lautet daher: Wie kann der Arbeitgeber überhaupt überprüfen, ob der Betriebsrat die Datenschutzvorgaben einhält, ohne dabei in unzulässiger Weise Einfluss zu nehmen?

Ein möglicher Lösungsansatz liegt im Einsatz des Datenschutzbeauftragten. Er unterliegt gegenüber dem Arbeitgeber der Schweigepflicht und kann damit als vermittelnde Instanz agieren – als Bindeglied zwischen Arbeitgeber und Betriebsrat. In dieser Rolle kann er zum Beispiel ein Audit beim Betriebsrat durchführen, also die datenschutzrechtlichen Prozesse dort systematisch überprüfen. Grundlage dafür kann eine Checkliste sein, die beide Seiten in einer Betriebsvereinbarung gemeinsam festgelegt haben.

Und wenn dabei Schwachstellen auftauchen? Dann ist es ebenfalls Aufgabe des Datenschutzbeauftragten, Verbesserungen zu begleiten und umzusetzen – immer mit dem Ziel, ein rechtssicheres, aber auch praxistaugliches Datenschutzniveau sicherzustellen.

Ein Punkt darf am Ende nicht untergehen: Wenn ein Datenschutzverstoß feststeht, muss der Arbeitgeber handeln. Sofort – schließlich ist dieser in der Regel Letztverantwortlicher und haftet für Datenschutzverstöße.

Im konkreten Fall hätte bereits der erste Vorfall mit einer Abmahnung geahndet werden müssen. Denn ein datenschutzwidriges Verhalten eines Betriebsratsmitglieds kann nicht nur betriebsverfassungsrechtlich relevant sein – es stellt gleichzeitig auch eine Verletzung arbeitsvertraglicher Nebenpflichten dar. Je nach Schwere – und vor allem bei mehrfachen Verstößen – kann das auch eine außerordentliche Kündigung rechtfertigen.

Unternehmen sollten also nicht aus Sorge vor einem Konflikt untätig bleiben. Denn am Ende trägt der Arbeitgeber die volle Verantwortung für Datenschutzverstöße – egal, wer sie verursacht hat.

FAZIT

Kein Datenschutz-Sonderstatus für den Betriebsrat – auch Betriebsratsmitglieder müssen sich an die Datenschutzvorgaben halten – § 79a BetrVG ist verbindlich.

Private Weiterleitung = Datenschutzverstoß – das Versenden personenbezogener Daten an private E-Mail-Adressen entzieht sie der unternehmensseitigen Kontrolle – das ist in aller Regel rechtswidrig. D. h., selbst das Argument: „Ich wollte mir die Unterlagen zu Hause ausdrucken“, zählt nicht.

Arbeitgeber muss handeln – Datenschutzverstöße durch den Betriebsrat sind auch arbeitsrechtlich relevant. Abmahnung und – bei Schwere – Kündigung sind möglich und notwendig.

Probezeit darf nicht der gesamten Befristungsdauer entsprechen – Klarstellung zu § 15 Abs. 3 TzBfG

Bundesarbeitsgericht (BAG), Urteil vom 05.12.2024 – 2 AZR 275/23

Immer wieder sehen sich Arbeitgeber mit der Frage konfrontiert, wie lang eine Probezeit bei einem befristeten Arbeitsverhältnis sein darf. Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 05.12.2024 (Az. 2 AZR 275/23) Folgendes klargestellt: Eine Probezeit, die die gesamte Dauer des befristeten Arbeitsverhältnisses umfasst, ist in der Regel unverhältnismäßig und damit unwirksam. Arbeitgeber müssen künftig sehr genau prüfen, ob sie mit der vereinbarten Probezeit die gesetzlichen Grenzen überschreiten.

Einordnung des Urteils

Seit dem 01.08.2022 gilt eine Neufassung von § 15 Abs. 3 Teilzeit- und Befristungsgesetz (TzBfG). Danach muss die Dauer einer vereinbarten Probezeit im Verhältnis zur Gesamtdauer des befristeten Arbeitsverhältnisses und zur Art der Tätigkeit stehen. Die Vorschrift setzt Art. 8 Abs. 2 Satz 1 der EU-Arbeitsbedingungenrichtlinie (RL (EU) 2019/1152) um. Ziel: Befristete Arbeitnehmer sollen nicht durch überlange Probezeiten benachteiligt werden.

Der Gesetzeswortlaut ist offen gehalten. Eine konkrete Prozentgrenze oder Maximaldauer ergibt sich daraus nicht. Das BAG hat nun erstmals klargestellt: Eine vollständige Überlappung von Befristungsdauer und Probezeit ist regelmäßig unverhältnismäßig – und somit unwirksam.

Der Sachverhalt

Ein Autohaus stellte einen Serviceberater im Rahmen eines auf sechs Monate befristeten Vertrags ein. Zeitgleich wurde eine sechsmonatige Probezeit vereinbart, innerhalb derer das Arbeitsverhältnis mit einer Frist von zwei Wochen kündbar sein sollte (§ 622 Abs. 3 Bürgerliches Gesetzbuch (BGB)). Der Arbeitgeber kündigte das Arbeitsverhältnis nach rund zwei Monaten zum 11.11.2022. Der Arbeitnehmer hielt die Kündigung für unwirksam: Die Probezeitklausel sei wegen Unverhältnismäßigkeit unwirksam – eine Kündigungsmöglichkeit bestehe daher nicht.

Während die Vorinstanzen die Klage abwiesen, stellte das BAG klar: Eine Probezeit, die der vollen Dauer eines befristeten Vertrags entspricht, ist nur unter besonderen Umständen zulässig – solche lagen hier nicht vor. Die Folge: Die Probezeitklausel war unwirksam.

Die Entscheidung

Das BAG argumentiert wie folgt:

Zwar war die vereinbarte Probezeit von sechs Monaten unverhältnismäßig i. S. v. § 15 Abs. 3 TzBfG und damit unwirksam.

Denn endet das Arbeitsverhältnis durch eine Befristung, darf eine vereinbarte Probezeit jedenfalls ohne Hinzutreten von besonderen Umständen nicht der gesamten Befristungsdauer entsprechen. Nach der Neufassung von § 15 Abs. 3 TzBfG muss eine für ein befristetes Arbeitsverhältnis vereinbarte Probezeit im Verhältnis zu der erwarteten Dauer der Befristung und der Art der Tätigkeit stehen. Dies war vorliegend nicht gegeben.

Die Unwirksamkeit der Probezeitvereinbarung ließ vorliegend jedoch die ordentliche Kündbarkeit des Arbeitsverhältnisses unberührt. Rechtlicher Hintergrund ist folgender: Sind Allgemeine Geschäftsbedingungen (AGB) ganz oder teilweise unwirksam, bleibt der Vertrag im Übrigen wirksam (§ 306 Abs. 1 BGB) und sein Inhalt richtet sich insoweit nach den gesetzlichen Vorschriften (§ 306 Abs. 2 BGB). Vorliegend hatten die Parteien eine sprachlich und inhaltlich unabhängige Abrede über die Kündbarkeit während der Befristung getroffen. Eine Kündigung war nämlich damit unter Beachtung der Frist des § 622 Abs. 1 BGB von vier Wochen zum Fünfzehnten oder zum Ende eines Kalendermonats möglich.

Konsequenzen für die Praxis

• Das Urteil mahnt zur Vorsicht bei befristeten Arbeitsverträgen mit Probezeitklauseln. Besonders kritisch sind Fälle, in denen die Probezeit zeitlich identisch mit der Gesamtdauer des Arbeitsverhältnisses ausgestaltet ist.

Praxistipps für Unternehmen

Auch wenn es bislang keine festen Grenzwerte gibt, ist aus Sicht der Praxis Folgendes zu beachten:

• Verhältnis wahren: Die Probezeit darf nicht mehr als die Hälfte der Befristungsdauer betragen – eine Orientierung, die sich aus ersten Kommentierungen nach der TzBfG-Reform ergibt.
• Berufserfahrung beachten: Je qualifizierter und erfahrener der Arbeitnehmer, desto kürzer sollte die Probezeit bemessen sein.
• Befristungsdauer verlängern: Wer eine lange Probezeit wünscht, sollte einen entsprechend längeren befristeten Vertrag schließen.
• Vertraglich sauber trennen: Eine Probezeitklausel und die Regelung zur Kündigungsmöglichkeit sollten sprachlich und strukturell getrennt sein – andernfalls droht eine AGB-rechtliche Gesamtnichtigkeit.

FAZIT

Die Unwirksamkeit der Probezeitklausel führt nicht zur Unkündbarkeit – aber zur Anwendung der regulären Kündigungsfristen (§ 622 Abs. 1 BGB).

Schon wieder Neues zur Vergütung von Betriebsratsmitgliedern: Wer muss was beweisen?

BAG, Urteil vom 20.03.2025 – 7 AZR 46/24

Die rechtskonforme Vergütung freigestellter Betriebsratsmitglieder ist seit Jahren ein rechtliches Dauerthema – nicht zuletzt seit der Grundsatzentscheidung des Bundesgerichtshofs (BGH) vom 10.01.2023 (Az.: 6 StR 133/22), in der der 6. Strafsenat betonte, dass überhöhte Betriebsratsvergütungen eine strafbare Untreue nach § 266 Strafgesetzbuch (StGB) begründen können. Nun hat das Bundesarbeitsgericht (BAG) mit Urteil vom 20.03.2025 (Az.: 7 AZR 46/24) nachgelegt: Im Zentrum steht die Frage, wer im arbeitsgerichtlichen Verfahren die Darlegungsund Beweislast trägt, wenn eine als zu hoch erachtete Vergütung nachträglich reduziert wird.

Einordnung des Urteils

Das Betriebsratsamt ist gemäß § 37 Abs. 1 BetrVG ein Ehrenamt und grundsätzlich unentgeltlich. Eine Benachteiligung oder Besserstellung aufgrund der Amtsausübung ist gemäß § 78 Satz 2 BetrVG unzulässig und kann gemäß § 119 BetrVG sogar strafbar sein. Vergütungsrechtlich gilt der sogenannte hypothetische Karriereverlauf: Ein Betriebsratsmitglied ist so zu behandeln, als würde es regulär weiterarbeiten. Gehaltsentwicklungen müssen sich daher auch während der Freistellung vollziehen (§ 37 Abs. 4 Satz 1 BetrVG). Ein statisches Gehalt wäre eine unzulässige Schlechterstellung.

Der Sachverhalt

Im konkreten Fall war ein seit 2002 freigestelltes Betriebsratsmitglied des VW-Konzerns betroffen. Während seiner Freistellung erfolgte eine kontinuierliche Gehaltsentwicklung von Entgeltstufe (ES) 13 auf ES 20. Im Jahr 2015 war ihm eine Stelle als Fertigungskoordinator (ES 20) angeboten worden, auf die er sich wegen der Freistellung jedoch nicht bewarb. Im Jahr 2023 erfolgte eine Rückstufung auf ES 18 mit dem Hinweis, die vorherige Vergütung sei zu hoch gewesen. Der Arbeitnehmer klagte auf Zahlung der Differenz von rund 640 Euro monatlich.

Die Entscheidung

Das BAG gab ihm Recht. Es stellte klar: Will der Arbeitgeber eine zuvor gewährte Vergütung nachträglich korrigieren, so trägt dieser hierfür die volle Darlegungs- und Beweislast, dass die erhöhte Vergütung objektiv rechtswidrig war. Diese Beweislastverteilung ergibt sich aus § 37 Abs. 4 BetrVG und dient dem Schutz der Neutralität des Betriebsratsamts.

Konsequenzen für die Praxis

• Das Urteil reiht sich in eine Reihe arbeits- und strafrechtlicher Judikate ein, die die besondere Verantwortung von Arbeitgebern bei der Vergütung von Betriebsratsmitgliedern betonen. Mit der gesetzlichen Änderung des § 37 Abs. 4 BetrVG und der Einführung von Satz 3 in § 78 BetrVG (2024) hatte der Gesetzgeber auf die durch die BGH-Entscheidung angestoßene Diskussion reagiert und versucht, mehr Rechtsklarheit zu schaffen. Das BAG konkretisiert nun, wie diese Vorgaben im Prozess umzusetzen sind.
• Wer zur Vermeidung von Compliance-Risiken eine zu hohe Vergütung korrigieren will, muss belegen können, dass der zuvor angenommene hypothetische Karriereverlauf sachlich nicht haltbar war. Die bloße Behauptung, man habe „zu viel gezahlt“, reicht nicht aus. Es ist detailliert darzulegen, welche tariflichen (oder betrieblichen) Regelungen einschlägig sind und warum das Betriebsratsmitglied objektiv nicht auf der überhöhten Stufe stehen konnte.

Praxistipps

Unternehmen sollten bestehende Vergütungsregelungen für freigestellte Betriebsratsmitglieder regelmäßig auf den Prüfstand stellen. Die Dokumentation der hypothetischen Karriereentwicklung und ihrer Annahmen ist dabei essenziell.

Wichtig: Hierzu zählt zum Beispiel auch die nicht kontrollierte Auszahlung von Überstunden.

Zudem ist im Blick zu behalten, dass ab spätestens 2026 die Europäische Entgelttransparenzrichtlinie „scharf“ geschaltet wird (vollkommen unabhängig von einer deutschen Umsetzung). D. h. ab Juni 2026 ist die Datenlage noch klarer – dies kann für Arbeitgeber in Zurückstufungsfällen ein Vorteil sein. Kann aber auch etwaige Benachteiligungskonstellationen aufdecken.

FAZIT

Lohnausfallprinzip – Betriebsratsmitglieder müssen so vergütet werden, als würden sie ihrer regulären Arbeitspflicht nachkommen.

Falsche Einstufungen können strafrechtlich relevant sein.

Die Europäische Entgelttransparenzrichtlinie wirkt sich auf Betriebsratsvergütungen aus.

DS-GVO schlägt Betriebsvereinbarung – BAG bejaht Schadensersatz bei unzulässiger Konzernweitergabe

BAG, Urteil vom 08.05.2025 – 8 AZR 209/21

Betriebsvereinbarungen gelten in vielen Unternehmen als selbstverständliche Rechtsgrundlage für die Verarbeitung personenbezogener Mitarbeiterdaten. Doch seit der Entscheidung des EuGH vom 19.12.2024 steht fest: Auch Betriebsvereinbarungen müssen den Anforderungen der DS-GVO vollständig genügen. Das BAG hat dies mit Urteil vom 08.05.2025 (8 AZR 209/21) bestätigt – und einem Arbeitnehmer Schadensersatz zugesprochen, weil seine Daten ohne ausreichende Rechtsgrundlage an eine Konzerngesellschaft übermittelt wurden.

Einordnung des Urteils

Immer mehr Unternehmen nutzen cloudbasierte Softwarelösungen im Personalbereich. Ob Recruiting-Plattformen, digitale Zeiterfassung oder Personalmanagementsysteme – die Verarbeitung personenbezogener Daten erfolgt zunehmend durch externe Dienstleister. Umso wichtiger ist es, die rechtlichen Grundlagen für den Einsatz solcher Systeme sauber abzubilden. Nach Art. 28 DS-GVO ist dabei ein wirksamer Auftragsverarbeitungsvertrag erforderlich, der den Zweck, die Dauer, den Umfang sowie die Kategorien der verarbeiteten personenbezogenen Daten genau regelt. Zusätzlich sind gemäß Art. 32 DS-GVO angemessene technische und organisatorische Maßnahmen zu treffen.

Arbeitsrechtlich ist bei der Einführung solcher IT-Systeme regelmäßig der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG zu beteiligen. Die dabei geschlossenen Betriebsvereinbarungen müssen ihrerseits DS-GVO-konform ausgestaltet sein. Entscheidend sind insbesondere Transparenz, Zweckbindung und Datenminimierung. Die rechtssichere Umsetzung setzt eine enge Abstimmung mit Datenschutzbeauftragten und IT, eine lückenlose Dokumentation der Datenflüsse und eine klare Begrenzung auf erforderliche Daten gemäß Art. 6 Abs. 1 lit. f DS-GVO bzw. § 26 BDSG voraus.

Der Sachverhalt

Ein Arbeitgeber hatte im Rahmen der Einführung eines cloudbasierten Personalmanagementsystems („Workday“) Daten seiner Beschäftigten an die US-amerikanische Konzernobergesellschaft übermittelt. Eine Betriebsvereinbarung legitimierte ausdrücklich die Weitergabe bestimmter Daten – Name, Eintrittsdatum, Firma, geschäftliche Telefonnummer etc. –, nicht jedoch sensiblerer Daten wie Gehalt, private Anschrift oder Steuer-ID. Trotzdem wurden auch diese weitergegeben.

Der betroffene Mitarbeiter sah hierin einen DS-GVO-Verstoß und verlangte 3.000 Euro Schadensersatz. Das Landesarbeitsgericht Baden-Württemberg hatte die Klage zunächst abgewiesen (Urteil vom 25.02.2021, Az. 17 Sa 37/20), das BAG setzte das Revisionsverfahren aus und legte dem EuGH einige Fragen zur Auslegung des Unionsrechts vor.

Der EuGH (Urteil vom 19.12.2024, Az. C-65/23) stellte im Dezember 2024 klar: Betriebsvereinbarungen können eine Datenverarbeitung im Beschäftigungskontext nur dann legitimieren, wenn sie den Anforderungen der DS-GVO genügen – insbesondere hinsichtlich Transparenz und Rechtmäßigkeit gemäß Art. 5, 6 und 9 DS-GVO. Dabei geht es insbesondere um die Grundsätze der „Zweckbindung“ und der „Speicherbegrenzung“, die eine Verarbeitung nur im Rahmen des ursprünglich festgelegten Zwecks und für einen begrenzten Zeitraum erlauben. Hierbei sind jedoch die genauen datenschutzrechtlichen Vorgaben zu beachten.

Die Entscheidung

Das BAG schloss sich der Linie des EuGH an und erkannte dem klagenden Arbeitnehmer einen Schadensersatzanspruch in Höhe von 200 Euro zu. Grund dafür war die Übermittlung personenbezogener Daten an die Konzernobergesellschaft in einem Umfang, der über die in der Betriebsvereinbarung vorgesehene Datenweitergabe hinausging. Diese weitergehende Verarbeitung ließ sich – so das BAG – nicht auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DS-GVO stützen und stellte daher einen Verstoß gegen datenschutzrechtliche Vorgaben dar.

Das Bundesarbeitsgericht stellte klar: Die Überschreitung des in der Betriebsvereinbarung abgesteckten Rahmens führte zu einem immateriellen Schaden, da der Arbeitnehmer die Kontrolle über seine personenbezogenen Daten verlor. Es komme insoweit nicht auf einen finanziellen Nachteil an. Vielmehr genüge es, dass der Kläger ungewollt einer nicht transparenten und nicht rechtmäßig legitimierten Datenverarbeitung ausgesetzt wurde.

Konsequenzen für die Praxis

• Datenverarbeitungen müssen stets zweckgebunden und verhältnismäßig erfolgen – auch im Rahmen von Konzernprojekten.
• Betriebsvereinbarungen sind keine datenschutzrechtlichen Freifahrtscheine. Sie ersetzen nicht die strengen Anforderungen der DS-GVO
• Der zugesprochene Schadensersatz in Höhe von 200 Euro mag im Einzelfall gering erscheinen, bestätigt jedoch die grundsätzliche Ersatzfähigkeit des Kontrollverlusts im Sinne des Art. 82 DS-GVO.
• Wichtig: Der Schaden muss real und nicht nur gefühlt sein – das BAG knüpft die Ersatzfähigkeit nach wie vor an das Vorliegen eines tatsächlichen Kontrollverlusts.

Praxistipps für Unternehmen

Arbeitgeber sollten bestehende Betriebsvereinbarungen sorgfältig auf ihre Vereinbarkeit mit der DS-GVO prüfen, denn viele ältere Vereinbarungen genügen den aktuellen datenschutzrechtlichen Anforderungen nicht mehr.

Ein besonderes Augenmerk ist auf konzerninterne Datenflüsse zu legen: Es sollte dokumentiert werden, welche personenbezogenen Daten wohin übermittelt werden und auf welcher Rechtsgrundlage dies geschieht. Gerade bei der Einführung oder Änderung von IT-Systemen, die personenbezogene Daten verarbeiten – wie etwa cloudbasierte Personalmanagementsysteme – ist es unerlässlich, den betrieblichen Datenschutz frühzeitig einzubinden. Datenschutzbeauftragte sollten idealerweise bereits vor Projektbeginn beratend hinzugezogen werden. Außerdem sollte strikt nach dem Prinzip der Datenminimierung gearbeitet werden: Es dürfen nur solche Daten verarbeitet werden, die zwingend erforderlich sind. Diese Erforderlichkeit sollte jeweils dokumentiert werden, um im Fall eines Rechtsstreits eine fundierte Verteidigung führen zu können.

FAZIT

Betriebsvereinbarungen können Datenverarbeitung legitimieren – aber nur DS-GVO-konform.

Arbeitgeber müssen die Datenschutzkonformität von Vereinbarungen regelmäßig prüfen – besonders bei konzernweiten IT-Projekten.

Konsequenzen drohen nicht nur in Form von Bußgeldern, sondern auch durch gerichtliche Schadensersatzansprüche.

Dr. Michaela Felisiak, Councel bei Eversheds Sutherland/ Fachanwältin für Arbeitsrecht