Betriebsvereinbarungen verlieren ihren Datenschutz-Schutz

Die EU-Datenschutzgrundverordnung (DSGVO) bricht endgültig den Widerstand nationaler Regelungen. Das ist die zentrale arbeitsrechtliche Erkenntnis des Jahres 2025. In umfassenden Jahresrückblicken, die heute und diese Woche veröffentlicht wurden, stufen führende deutsche Rechtsanalysten und die Legal Tribune Online (LTO) ein Grundsatzurteil des Bundesarbeitsgerichts (BAG) vom Mai als Wendepunkt ein. Die Botschaft ist klar: Die Ära, in der Betriebsvereinbarungen als Schild gegen DSGVO-Haftung dienten, ist vorbei.

BAG-Urteil zählt zu den wichtigsten des Jahres

In einer heute, am 25. Dezember, veröffentlichten Analyse der „wichtigsten BAG-Entscheidungen 2025“ wird das Urteil des Ersten Senats (Aktenzeichen 8 AZR 209/21) als eine der folgenreichsten gewertet. Die Experten betonen: Eine Betriebsvereinbarung kann keine Datenverarbeitung legitimieren, die gegen die Grundprinzipien der DSGVO verstößt.

Zwar erlaubt Artikel 88 DSGVO „spezifischere Regelungen“ durch Tarifverträge oder Betriebsvereinbarungen. Diese dürfen das Schutzniveau der europäischen Verordnung jedoch nicht unterschreiten. Das BAG setzte mit seinem Endurteil vom 8. Mai 2025 die Vorgaben des Europäischen Gerichtshofs (EuGH) aus dessen Entscheidung vom Dezember 2024 (Rechtssache C-65/23) um.

Viele Unternehmen unterschätzen die Bedeutung einer lückenlosen Dokumentation ihrer Datenverarbeitungen – das Workday‑Urteil zeigt, wie schnell Betriebsvereinbarungen allein nicht schützen. Mit der kostenlosen Excel‑Vorlage für das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) erstellen Personal‑ und Rechtsabteilungen prüfungssichere Dokumentation, identifizieren Drittlandtransfers und belegen Rechtsgrundlagen. Inklusive Schritt‑für‑Schritt‑Anleitung für Audits. Verarbeitungsverzeichnis jetzt kostenlos herunterladen

„Betriebsvereinbarungen erlauben keine Datenschutzverstöße“, so das Fazit der heutigen Analyse. Klauseln in Vereinbarungen zur Datenverarbeitung – etwa bei der Einführung von HR-Software wie Workday – unterliegen nun einer vollständigen gerichtlichen Überprüfung. Maßstab sind stets die Prinzipien aus Artikel 5 und die Rechtmäßigkeit nach Artikel 6 DSGVO.

Schadensersatz auch bei geringfügigen Verstößen möglich

Die finanziellen Konsequenzen dieser Rechtswende analysierten Experten der Kanzlei Kupka-Stillfried bereits am Dienstag, dem 23. Dezember. Im Fokus steht die praktische Anwendung von Artikel 82 DSGVO (Recht auf Schadensersatz) nach dem „Workday“-Urteil.

Das BAG stellte im Mai klar: Ein Verstoß gegen die DSGVO im Arbeitsverhältnis kann auch dann Schadensersatzansprüche auslösen, wenn er formal durch eine Betriebsvereinbarung gedeckt war. Im konkreten Fall sprach das Gericht dem klagenden Betriebsratsvorsitzenden 200 Euro Schadensersatz zu. Der Betrag mag gering erscheinen, das etablierte Prinzip wiegt schwer: Der „Kontrollverlust“ über die eigenen personenbezogenen Daten stellt bereits einen ersatzfähigen immateriellen Schaden dar.

Die Analyse hebt hervor, dass das Gericht die Idee einer „Bagatellgrenze“ für Schadensersatz ablehnte. Allerdings muss der Arbeitnehmer beweisen, dass die Datenverarbeitung – etwa die Übermittlung sensibler Steuer- und Adressdaten an ein US-Mutterunternehmen – tatsächlich zu einer Beeinträchtigung wie Besorgnis oder Kontrollverlust führte.

Vom EuGH zum BAG: Ein jahrelanger Rechtsstreit gipfelt 2025

Die nun gefeierte Rechtssicherheit ist das Ergebnis eines mehrjährigen Rechtsstreits, der 2025 seinen Abschluss fand. Auslöser war die Einführung des HR-Systems „Workday“ in einem Unternehmen, bei dem Daten an eine US-Muttergesellschaft übermittelt wurden. Obwohl eine „Duldungs-Betriebsvereinbarung“ bestand, transferierte der Arbeitgeber auch Datenkategorien, die nicht explizit erfasst waren.

Das BAG legte den Fall dem EuGH vor. Dessen Grundsatzurteil vom 19. Dezember 2024 bereitete den Weg: Nationale Gerichte müssen nationale Vorschriften – wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) – unbeachtet lassen, wenn sie der DSGVO widersprechen.

Das BAG wandte diese strengen EU-Maßstäbe im Mai 2025 auf deutsches Recht an. Die Betriebsvereinbarung könne nicht die Verarbeitung von Daten rechtfertigen, die nicht strikt „erforderlich“ für das Arbeitsverhältnis seien. Damit entzog das Gericht Betriebsräten und Arbeitgebern die Autonomie, bequeme, aber nach EU-Standard rechtswidrige Datenverarbeitung auszuhandeln.

Compliance 2026: Die Schonfrist ist abgelaufen

Mit dem nahenden Jahr 2026 hat sich die Rechtslage dramatisch verschärft. Die in dieser Woche veröffentlichten Kommentare betonen: Die Schonfrist für die Anpassung an diese strenge Auslegung ist abgelaufen. Viele bestehende Betriebsvereinbarungen, besonders solche vor dem EuGH-Urteil von Dezember 2024, enthalten wahrscheinlich nichtige Klauseln.

Was bedeutet das konkret für Personal- und Rechtsabteilungen?

1. Überprüfung aller Alt-Vereinbarungen: Unternehmen müssen alle bestehenden IT- und Datenverarbeitungs-Betriebsvereinbarungen auditieren. Jede Klausel, die Datenübermittlung allein auf Basis der „Vereinbarung“ erlaubt, ohne eine eigenständige Rechtsgrundlage nach DSGVO (wie Art. 6 Abs. 1 lit. f berechtigtes Interesse), ist angreifbar.
2. Strikter Erforderlichkeits-Check: Die „Erforderlichkeit“ der Datenverarbeitung unterliegt nun voller gerichtlicher Kontrolle. Arbeitgeber können sich nicht mehr auf einen vermeintlichen Verhandlungsspielraum berufen. Hält ein Gericht ein bestimmtes Datum für nicht strikt erforderlich, ist die Verarbeitung rechtswidrig – egal, was der Betriebsrat unterschrieben hat.
3. Erhöhtes Schadensersatzrisiko: Da der „Kontrollverlust“ als Schaden anerkannt ist, steigt das Risiko für Sammelklagen. Zwar sind Einzelbeträge vielleicht niedrig, die kumulierte Summe bei Tausenden Beschäftigten könnte jedoch erheblich sein.

Die Analysen dieser Weihnachtswoche sind eine letzte Warnung an deutsche Arbeitgeber. Die Annahme, das Tarifrecht könne strenge Datenschutzrechte aushebeln, ist widerlegt. Die Vorrangstellung der DSGVO ist absolut. Für Personalabteilungen muss oberste Priorität im ersten Quartal 2026 die rigorose Überprüfung aller Vereinbarungen sein. Nur so halten sie der neuen, strengeren Rechtsrealität stand.

PS: Prüfer und Gerichte fragen zuerst nach dem Verzeichnis der Verarbeitungstätigkeiten – gerade bei HR‑Systemen mit Datenübermittlung in Drittländer. Die kostenlose Excel‑Vorlage nach Art. 30 DSGVO hilft Ihnen, Transfers zu markieren, Rechtsgrundlagen zu dokumentieren und Haftungsrisiken zu reduzieren. Ein unverzichtbares Werkzeug für die bevorstehenden Audits und die Überprüfung alter Betriebsvereinbarungen. Verarbeitungsverzeichnis jetzt kostenlos herunterladen