Was auf den ersten Blick nach einem technischen Detail klingt, hat das Potenzial, weitreichende Folgen für Unternehmen in ganz Europa zu entfalten: Am 8. Mai 2025 hat das deutsche Bundesarbeitsgericht (BAG) ein wegweisendes Urteil (BAG, 8 AZR 209/21) zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis gefällt. Konkret ging es um die Frage, ob in der Testphase einer neuen cloudbasierten Personalverwaltungssoftware echte Mitarbeiter*innendaten an die US-Konzernmutter übermittelt werden dürfen oder ob hierfür strengere Maßstäbe gelten. Die Entscheidung ist auch für österreichische Unternehmen von erheblicher Bedeutung.

Sachverhalt

Der Kläger, Betriebsratsvorsitzender und langjähriger Mitarbeiter des Unternehmens, forderte gem Art 82 Abs 1 DSGVO immateriellen Schadenersatz in der Höhe von 3.000 Euro von der beklagten Gesellschaft. Hintergrund war die Übermittlung sensibler Echtdaten – darunter Gehalt, private Wohnadresse, Geburtsdatum, Sozialversicherungsnummer und Steuer-ID – an die US-amerikanische Konzernmutter zur Erprobung der neuen HR-Software „Workday“. 

Ergänzend ist anzumerken, dass hierzu zwar eine Betriebsvereinbarung existierte, diese jedoch nur die Verarbeitung bestimmter Daten (Personalnummer, Nachname, Vorname, Eintrittsdatum, Eintrittsdatum im Konzern, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse) zuließ. Die tatsächlich übermittelten Daten gingen jedoch erheblich darüber hinaus.

Die Entscheidung

Das BAG stellte in seiner Entscheidung fest, dass die Verarbeitung personenbezogener Daten zu Testzwecken grundsätzlich nur dann zulässig ist, wenn anonymisierte „Dummy-Daten“ (sog Demodaten) nicht ausreichen, um den Testzweck zu erreichen. 

Fallgegenständlich stellte das BAG kein solches Erfordernis fest und sprach dem Kläger 200 Euro immateriellen Schadenersatz zu. Das BAG begründete dies damit, dass durch die unzulässige Übermittlung ein Kontrollverlust über die eigenen Daten eingetreten sei. Auch wenn die zugesprochene Summe auf den ersten Blick gering erscheinen mag, entfaltet die Entscheidung eine erhebliche Signalwirkung. Dies insbesondere vor dem Hintergrund, dass sich bei systematischen Verstößen, die eine Vielzahl von Beschäftigten betreffen, die finanziellen Risiken deutlich vervielfachen können.

Praktische Konsequenzen für Unternehmen

Für die Praxis empfiehlt sich daher bei Softwaretests vorrangig auf anonymisierte / synthetische Daten zurückzugreifen und im Falle einer Erforderlichkeit von Echtdaten deren Umfang strikt zu begrenzen. Zudem sollten Betriebsvereinbarungen regelmäßig im Lichte der DSGVO und aktueller Judikatur auf ihre Wirksamkeit und Praxistauglichkeit überprüft werden.

Bei Fragen zur datenschutzkonformen Einführung neuer Software oder zur Gestaltung entsprechender Betriebsvereinbarungen steht Ihnen das KWR-Datenschutz- und Arbeitsrechtsteam gerne zur Verfügung.