Echtdaten, echte Folgen: Warum „Testzwecke“ keine Ausrede mehr sind
Was als interner Software-Test begann, endete vor dem Bundesarbeitsgericht (BAG): Ein Unternehmen nutzte echte Mitarbeiterdaten zur Einführung eines neuen Personalverwaltungssystems – und verstieß dabei gegen grundlegende Datenschutzregeln. Das BAG entschied am 8. Mai 2025: Wer ohne klare rechtliche Grundlage personenbezogene Daten weitergibt, macht sich haftbar. Selbst dann, wenn es eine Betriebsvereinbarung gibt.
Das Urteil ist ein Paukenschlag für die Arbeitswelt – denn es stellt klar: Betriebsvereinbarungen sind kein rechtsfreier Raum. Und schon gar keine Generalvollmacht für Datenverarbeitung.
Der Fall „Workday“: Mehr als erlaubt – und mehr als gewollt
Die Geschichte beginnt 2017: Ein Unternehmen plant, das cloudbasierte HR-System „Workday“ konzernweit einzuführen. Um die Software realitätsnah zu testen, sollen echte Daten der Beschäftigten verwendet werden. Mit dem Betriebsrat wird eine Betriebsvereinbarung getroffen – erlaubt ist die Weitergabe von Basisdaten wie Name, Eintrittsdatum, Arbeitsort und geschäftlicher E-Mail.
Doch bei der Umsetzung passiert mehr: Auch hochsensible Infos wie Gehalt, Wohnanschrift und Steuer-ID landen bei der Konzernmutter. Und zwar ohne jede rechtliche Grundlage und ohne Zustimmung der Betroffenen.
Ein Mitarbeiter, der das entdeckt, klagt. Zunächst ohne Erfolg: Das Landesarbeitsgericht Baden-Württemberg wiegelt ab. Doch das BAG schaltet den Europäischen Gerichtshof ein – und bekommt Rückendeckung. Der EuGH macht unmissverständlich klar: Eine Betriebsvereinbarung muss sich streng an die DSGVO halten – und darf niemals über deren Grenzen hinausgehen.
Kontrollverlust ist ein Schaden – und der ist ersatzpflichtig
Das BAG urteilte, dass durch die unerlaubte Datenweitergabe ein Kontrollverlust über die eigenen Informationen eingetreten sei – und genau dieser Verlust sei als immaterieller Schaden nach Art. 82 DSGVO zu ersetzen. Damit bekräftigt das Gericht seine bisherige Linie: Ein DSGVO-Schaden braucht mehr als nur ein „ungutes Gefühl“, aber er muss nicht zwingend finanzieller Natur sein. Es reicht, wenn Betroffene nachvollziehbar darlegen können, dass sie ihre Daten nicht mehr im Griff hatten.
Gleichzeitig stellte das BAG klar, dass nur solche Datenverarbeitungen durch eine Betriebsvereinbarung erlaubtsind, die auch im Sinne der DSGVO zulässig sind – etwa auf Grundlage eines berechtigten Interesses oder einer gesetzlichen Verpflichtung. Einfach zu sagen „Wir haben das intern geregelt“ reicht nicht.
Datenschutz im Konzern: Kein Selbstbedienungsladen
Auch innerhalb eines Konzerns gelten Datenschutzregeln – und zwar ohne Wenn und Aber. Nur weil Daten innerhalb der Unternehmensgruppe weitergegeben werden, macht das die Sache nicht weniger problematisch. Wer personenbezogene Daten an Dritte weitergibt – und auch eine Konzernmutter ist rechtlich ein Dritter –, braucht eine klare Rechtsgrundlage.
Für viele Unternehmen bedeutet dieses Urteil ein Umdenken: Betriebsvereinbarungen müssen DSGVO-konform ausgestaltet sein, dürfen keine Lücken enthalten und sind kein Blankoscheck. Dass der EuGH und das BAG das so deutlich sagen, zeigt, wie ernst der Schutz von Mitarbeiterdaten inzwischen genommen wird.
Sensible Daten müssen geschützt sein
Lange galt das Prinzip: Was im Betrieb vereinbart ist, wird schon passen. Doch diese Zeiten sind vorbei. Die DSGVO ist kein Papiertiger, und das BAG macht nun deutlich: Wer sensible Daten ohne triftigen Grund weitergibt – selbst in guter Absicht – muss zahlen. Der „Kontrollverlust“ ist mehr als nur ein juristischer Begriff. Es geht ums Grundvertrauen – und das lässt sich nicht per Betriebsratshandshake umgehen. Betriebsvereinbarungen sind wichtig – aber kein Schutzschild gegen die DSGVO.
Wer Echtdaten zum Testen nutzt, handelt wie jemand, der mit dem Original-Schlüssel die Alarmanlage ausprobiert – es ist vielleicht effizient, aber eben auch gefährlich. Und im Zweifel illegal. Firmen sollten lieber mit Dummydaten testen und mit echten Regeln arbeiten. Alles andere kann teuer werden.
