Arbeitgeber müssen genau hinsehen, wenn sie neue Software testen – insbesondere bei der Verarbeitung von Mitarbeiterdaten. Das zeigt eine aktuelle Entscheidung des Bundesarbeitsgerichts (BAG, Urteil vom 08.05.2025 – 8 AZR 209/21): Ein Unternehmen, das im Rahmen eines Testbetriebs personenbezogene Daten ohne ausreichende rechtliche Grundlage überträgt, muss Schadenersatz zahlen – auch wenn der Schaden "nur" immateriell ist.
DER FALL
Ein langjähriger Mitarbeiter, zugleich Betriebsratsvorsitzender, war betroffen: Sein Arbeitgeber bereitete konzernweit die Einführung einer neuen Personalverwaltungssoftware (Workday) vor. Zu Testzwecken wurden personenbezogene Daten echter Mitarbeiter – darunter Name, Steuer-ID, Gehaltsdaten und Privatanschrift – auf einen SharePoint-Server in den USA übertragen.
Die Übermittlung ging über das hinaus, was in einer mit dem Betriebsrat geschlossenen „Duldungs-Betriebsvereinbarung“ erlaubt war. Der Mitarbeiter klagte auf immateriellen Schadenersatz nach Art. 82 DSGVO – mit Erfolg.
DIE ENTSCHEIDUNG
Das BAG sah in der Datenübermittlung einen Verstoß gegen die DSGVO: Die Verarbeitung personenbezogener Daten zu Testzwecken war nicht durch die Betriebsvereinbarung gedeckt und auch nicht anderweitig gerechtfertigt.
Insbesondere:
- § 26 BDSG reiche als Rechtsgrundlage nicht aus – er erfüllt die Vorgaben des Art. 88 DSGVO nicht, weil es an besonderen Schutzmaßnahmen für Beschäftigte fehlt.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) greift ebenfalls nicht – denn es lag keine Erforderlichkeit der überschießenden Datenverarbeitung vor.
- Auch Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) trage nicht – es handelte sich um eine Zweckänderung, nicht mehr um eine originäre Erfüllung des Arbeitsvertrags.
Die Richter betonten: Schon der Verlust der Kontrolle über persönliche Daten stelle einen immateriellen Schaden dar. Ein konkreter wirtschaftlicher Nachteil sei nicht erforderlich.
Das begründet den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO.
DAS FAZIT
Das Urteil macht deutlich: Auch ein „Testbetrieb“ ist kein datenschutzrechtsfreier Raum. Wer Daten ohne belastbare Rechtsgrundlage verarbeitet – etwa im Rahmen von Softwaretests – riskiert Schadensersatzansprüche. Und zwar auch dann, wenn der Schaden „nur“ im Kontrollverlust besteht.
Für Arbeitgeber heißt das:
Betriebsvereinbarungen müssen präzise regeln, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden dürfen. Allgemeine oder pauschale Formulierungen reichen nicht aus, insbesondere wenn es um sensible Informationen wie Gehaltsdaten, Steuer-ID oder private Kontaktdaten geht. Die bloße Angabe von „Testzwecken“ rechtfertigt nicht automatisch eine umfassende Weitergabe solcher Daten – schon gar nicht an Konzernobergesellschaften oder Dritte außerhalb des Unternehmens. Gerade bei der Einführung cloudbasierter HR-Systeme mit internationaler Anbindung ist höchste Vorsicht geboten: Hier gilt das Prinzip der Datensparsamkeit uneingeschränkt. Ein belastbares Datenschutzkonzept, das den Anforderungen der DSGVO tatsächlich standhält, ist daher keine bloße Formalität, sondern eine rechtliche Notwendigkeit – auch und gerade im Beschäftigungskontext.
