Das Bundesarbeitsgericht hatte in einem interessanten Fall über den Arbeitnehmerdatenschutz im Konzern zu entscheiden (BAG-Urteil vom 8. Mai 2025 – 8 AZR 209/21). Ein Unternehmen testete eine neue HR-Software (Workday) und ließ dabei sensible Personaldaten durch den Mutterkonzern verarbeiten – gestützt auf eine Betriebsvereinbarung der Tochtergesellschaft. Das Gericht entschied: unzulässig. Die Datenweitergabe war nicht von der Betriebsvereinbarung gedeckt und damit nicht datenschutzkonform.
Was Arbeitgeber und Betriebsräte jetzt wissen müssen:
- Betriebsvereinbarungen sind kein Blankoscheck: Sie müssen klar regeln, wer welche Daten wofür verarbeiten darf – auch innerhalb eines Konzerns.
- Auch konzerninterne Datenweitergaben brauchen eine eigene Rechtsgrundlage – z. B. eine Vereinbarung auf Konzernebene oder die Einwilligung der Beschäftigten.
- Softwareeinführungen sind kritisch: Tools wie Workday oder SAP SuccessFactors greifen tief in die Datenstrukturen ein – der Betriebsrat muss frühzeitig eingebunden werden.
- Datenschutzverstöße können teuer werden: Auch wenn im Urteil nur 200 € Schadensersatz zugesprochen wurden – bei vielen Betroffenen summiert sich das. Zudem drohen Bußgelder der Behörden.
Bei der Einführung oder Änderung von IT-Systemen sind regelmäßig Mitbestimmungsrechte des Betriebsrats betroffen. Daher sollte frühzeitig rechtliche und fachliche Beratung (z. B. durch Datenschutzexperten) eingeholt werden.
