Das Bundesarbeitsgericht (Urteil vom 26. März 2024 – 9 AZR 244/20) hat entschieden, dass eine Betriebsvereinbarung die Anforderungen der DSGVO nicht ersetzen kann.

Im konkreten Fall hatte ein Unternehmen im Rahmen eines Tests einer HR-Software personenbezogene Daten, unter anderem darunter Gehalt, Steuer-ID, Sozialversicherungsnummer und Kontaktdaten, an die Konzernobergesellschaft weitergeleitet. Die Weitergabe ging über das hinaus, was in der Betriebsvereinbarung vorgesehen war. Das BAG sprach dem betroffenen Mitarbeiter daher einen immateriellen Schadenersatz wegen Kontrollverlusts zu.

Das Urteil zeigt klar: Auch interne Tests und konzerninterne Datenverarbeitungen unterliegen den Vorgaben der DSGVO. Eine Betriebsvereinbarung allein reicht nicht immer aus, um eine rechtliche Grundlage für die Weitergabe personenbezogener Daten zu schaffen.

Damit es gar nicht erst zu solchen rechtlichen Risiken kommt, sollten Unternehmen frühzeitig prüfen, ob Systeme, Vereinbarungen und Prozesse datenschutzkonform aufgesetzt sind. Dabei kann rechtliche Unterstützung insbesondere in folgenden Bereichen sinnvoll sein:

– bei der Einführung oder Anpassung von HR- und IT-Systemen,
– bei der Ausgestaltung datenschutzkonformer Betriebsvereinbarungen und
– bei datenschutzkonformen Datenübermittlungen innerhalb von Konzernstrukturen.

Pressemitteilung des BAG: https://www.bundesarbeitsgericht.de/presse/schadenersatz-nach-datenschutz-grundverordnung-dsgvo-betriebsvereinbarung-workday/