Datenschutz: BAG verschärft Pflichten beim Einsatz von HR-Software

Mit seinem Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) hat das BAG die Anforderungen an den Umgang mit personenbezogenen Daten im Unternehmen erheblich verschärft und damit für Arbeitgeber neue Haftungsrisiken geschaffen. Im Mittelpunkt der Entscheidung steht die Frage, unter welchen Voraussetzungen die Weitergabe von Mitarbeiterdaten im Konzern oder an Dienstleister, insbesondere in Drittländer wie die USA, zulässig ist und welche Folgen ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) nach sich zieht. 

Für Unternehmen bringt das Urteil schärfere Vorgaben für Cloud- und HR-Software, zwingt zur Überprüfung von Betriebsvereinbarungen und zum Ausbau der Datenschutz-Organisation, insbesondere wenn zentrale HR-Dienste von ausländischen Konzerngesellschaften gesteuert werden. 

Der Fall: Datenübermittlung in die USA 

Seit 2017 plante der international tätige Arbeitgeber, das cloudbasierte HR-System Workday konzernweit einzuführen. Im Rahmen eines Softwaretests übertrug er an die US-amerikanische Konzernobergesellschaft nicht nur anonymisierte Testdaten, sondern auch sensible Angaben wie Gehaltsdaten, Steuer-ID, Sozialversicherungsnummer, Familienstand, Geburtsdatum und private Anschrift. 

Die Betriebsvereinbarung erlaubte jedoch ausschließlich die Nutzung anonymisierter Testdaten. Ein betroffener Mitarbeiter klagte deshalb auf Schadensersatz nach Art. 82 DSGVO und machte geltend, dass schon der Kontrollverlust über seine personenbezogenen Daten einen immateriellen Schaden darstelle. 

Kontrollverlust als Schaden – Neue Haftungsrisiken 

Das BAG folgte dieser Argumentation und sprach dem Kläger pauschal einen Schadensersatzanspruch in Höhe von EUR 200,00 zu. Das Gericht hat dabei keinen konkreten Missbrauch oder Schaden vorausgesetzt, sondern bereits die unzulässige Übermittlung und den damit verbundenen Kontrollverlust als ersatzfähigen immateriellen Schaden anerkannt. 

Für Arbeitgeber bedeutet dies eine erhebliche Ausweitung der Haftung: Eine unzureichende Rechtsgrundlage für die Datenübermittlung oder eine zu allgemein gehaltene Betriebsvereinbarung – können zu Schadensersatzforderungen führen.

Präzise Betriebsvereinbarungen und technische Schutzmaßnahmen

Das Urteil unterstreicht die zentrale Bedeutung präziser und transparenter Regelungen. Arbeitgeber können sich nicht auf pauschale Formulierungen verlassen, sondern müssen konkret regeln, welche Daten zu welchem Zweck verarbeitet werden, wer Zugriff erhält, wie die Daten technisch und organisatorisch geschützt werden und auf welcher Rechtsgrundlage die Verarbeitung erfolgt.

Zwar gilt aktuell für die Übermittlung personenbezogener Daten in die USA noch) das EU/US Privacy Framework (Nachfolgeabkommen zum Privacy Shield) und darauf basierend ist ein Angemessenheitsbeschluss erforderlich. Es steht zu erwarten, dass dieser im Lichte der Executive Orders der Trump-Administration aufgehoben werden wird. Dennoch ist es dringend anzuraten, sich bereits jetzt darauf vorzubereiten, dass ein Datentransfer in die USA wieder nur mit den strengen Schutzmaßnahmen und Standardvertragsklauseln oder Verschlüsselung usw. zulässig sein wird und regelmäßige Risikoanalysen implementiert werden. Das BAG macht deutlich, dass Unternehmen diese Anforderungen nicht nur auf dem Papier erfüllen, sondern auch tatsächlich umsetzen und dokumentieren müssen.

Handlungsbedarf für Unternehmen

Für die betriebliche Praxis bedeutet das Urteil, dass Unternehmen ihre bestehenden Datenschutzprozesse und IT-Infrastrukturen dringend überprüfen und anpassen sollten. 

Insbesondere bei der Einführung neuer Softwarelösungen, der Nutzung von Cloud-Diensten oder der Auslagerung von HR-Prozessen ins Ausland ist eine sorgfältige Datenschutz-Folgenabschätzung unerlässlich. Die Zusammenarbeit mit dem Betriebsrat gewinnt weiter an Bedeutung: Betriebsvereinbarungen müssen gemeinsam entwickelt und regelmäßig auf Aktualität und Konformität mit der DSGVO überprüft werden.

Signalwirkung und Ausblick

Darüber hinaus hat das Urteil Signalwirkung für die gesamte Wirtschaft. Es ist zu erwarten, dass die Zahl der Klagen auf immateriellen Schadensersatz wegen Datenschutzverstößen steigen wird, da die Hürden für einen erfolgreichen Anspruch deutlich gesunken sind.

Arbeitgeber sind daher gut beraten, ihre Beschäftigten regelmäßig zu schulen, klare Verantwortlichkeiten für den Datenschutz festzulegen und bei Unsicherheiten frühzeitig rechtlichen Rat einzuholen. Auch die Dokumentation aller datenschutzrelevanten Prozesse und Entscheidungen gewinnt weiter an Gewicht, um im Streitfall nachweisen zu können, dass alle gesetzlichen Vorgaben eingehalten wurden.

Fazit: Datenschutz als Führungsaufgabe

Das BAG-Urteil vom 8. Mai 2025 macht klar: DSGVO-Compliance ist keine IT-Nebensache, sondern Chefsache. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch empfindliche Schadensersatzforderungen. Nutzen Sie das Urteil, um Ihre Datenschutzpraxis auf ein rechtssicheres Fundament zu stellen – so profitieren Sie sorgenfrei von der Digitalisierung.

Mit unserem Newsletter halten wir Sie regelmäßig über aktuelle arbeitsrechtliche Entwicklungen in Rechtsprechung und Gesetzgebung auf dem Laufenden:

 Jetzt Newsletter abonnieren