Betriebsvereinbarungen, Datenschutz-Schutz

Betriebsvereinbarungen verlieren ihren Datenschutz-Schutz

30.12.2025 - 22:13:12

Neue Urteile stellen klar, dass Betriebsvereinbarungen keine DS-GVO-Verstöße legitimieren können. Unternehmen müssen Alt-Vereinbarungen dringend prüfen, um Bußgelder und Schadensersatzklagen zu vermeiden.

Betriebsvereinbarungen verlieren ihren Datenschutz-Schutz - Foto: über boerse-global.de
Betriebsvereinbarungen verlieren ihren Datenschutz-Schutz - Foto: über boerse-global.de

Frankfurt am Main, 30. Dezember 2025 – Deutsche Unternehmen müssen ihre Datenschutzpraxis dringend überprüfen. Das neue Jahr beginnt mit einer klaren Rechtslage: Betriebsvereinbarungen bieten keinen Schutz mehr vor DS-GVO-Haftung. Diese Warnung sprechen Arbeitsrechtsexperten zum Jahreswechsel aus.

Das Ende der Schonfrist

Jahrzehntelang galten Betriebsvereinbarungen als sichere Rechtsgrundlage für die Mitarbeiterdatenverarbeitung. Doch 2025 brachte eine Zäsur. Durch wegweisende Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesarbeitsgerichts (BAG) ist nun eindeutig: Die Datenschutz-Grundverordnung (DS-GVO) geht stets vor.

„Die Normenhierarchie wurde für Arbeitgeber schmerzhaft präzise geklärt“, stellt die Anwaltskanzlei Buse Heberer Fromm in einer aktuellen Analyse fest. Eine Betriebsvereinbarung kann demnach keine Datenverarbeitung „heilen“, die nicht den strengen Vorgaben der DS-GVO entspricht. Die vermeintliche Schonfrist ist abgelaufen.

Der „Workday“-Präzedenzfall: Ein 200-Euro-Warnschuss

Die praktischen Konsequenzen zeigte das BAG im Mai 2025 im sogenannten „Workday“-Fall auf. Ein Unternehmen hatte Mitarbeiterdaten – inklusive sensibler Steuer-IDs und Privatadressen – zur Testung einer HR-Software an seine US-Muttergesellschaft übermittelt. Als Rechtfertigung diente eine Duldungs-Betriebsvereinbarung.

Anzeige

Passend zum Thema Rechtsprechung und Datenschutz: Fehlt eine rechtssichere Datenschutz-Folgenabschätzung (DSFA) für Systeme, die sensible Mitarbeiterdaten verarbeiten, drohen Bußgelder und Haftungsrisiken – wie der „Workday“-Fall eindrücklich zeigt. Ein kostenloses E‑Book erklärt Schritt für Schritt, wann eine DSFA Pflicht ist, liefert prüffähige Muster‑Vorlagen, praktische Checklisten und Formulierungen für Datenschutzbeauftragte und HR. Sichern Sie Ihr Unternehmen proaktiv für 2026. DSFA-Muster & Anleitung jetzt gratis herunterladen

Das Gericht wies diese Argumentation zurück. Die Vereinbarung könne keine Übermittlung legitimieren, die nicht strikt erforderlich im Sinne der DS-GVO sei. Der klagenden Mitarbeiterin wurden 200 Euro Schadensersatz zugesprochen. Die Summe war symbolisch, das Signal alarmierend: Selbst bei Zustimmung des Betriebsrats können Mitarbeiter erfolgreich auf Schadensersatz klagen.

Warum Betriebsvereinbarungen an Bedeutung verlieren

Das Problem liegt in der Normenhierarchie. Ganz oben steht das EU-Recht (DS-GVO), gefolgt von nationalen Gesetzen wie dem BDSG. Betriebsvereinbarungen bilden die unterste Stufe.

Viele bestehende Vereinbarungen basieren auf der Annahme, die Tarifautonomie erlaube eigene Datenschutzregeln. Die Urteile von 2025 machen Schluss mit dieser Illusion. Eine Betriebsvereinbarung darf regeln, wie der Datenschutz umgesetzt wird. Sie darf aber keine Verarbeitung erlauben, die nach DS-GVO rechtswidrig oder unnötig ist. Tausende ältere Vereinbarungen – besonders zu Alt-IT-Systemen und Konzernübermittlungen – sind damit teilweise unwirksam.

Dringender Handlungsbedarf für 2026

Rechtsberater drängen Unternehmen zu einer sofortigen Überprüfung ihrer Alt-Betriebsvereinbarungen. Der Fokus sollte auf drei kritischen Punkten liegen:

  1. Erforderlichkeitsgrundsatz: Erlaubt die Vereinbarung Datenerhebungen, die für das Arbeitsverhältnis nicht strikt notwendig sind?
  2. Internationale Datenübermittlungen: Stützt sich die Übermittlung in Drittländer wie die USA nur auf die Zustimmung des Betriebsrats? Das genügt nicht mehr.
  3. Pauschale „Duldungs“-Klauseln: Vage Formulierungen, die „alle für das System notwendigen Verarbeitungen“ erlauben, entsprechen nicht den Transparenzanforderungen der DS-GVO.

Ausblick: Mehr Klagen und neue Rollen

Für Personalabteilungen bedeutet dies zusätzlichen Aufwand in einem ohnehin von Digitalisierung geprägten Jahr. Experten prognostizieren für 2026 einen Anstieg von Compliance-Klagen. Mitarbeiter – oft von Gewerkschaften unterstützt – werden konkrete Datenverarbeitungen anfechten, trotz bestehender Betriebsvereinbarung.

Auch die Rolle des Betriebsrats wandelt sich. Gremien werden zunehmend davor gewarnt, Vereinbarungen zu unterschreiben, die keiner gründlichen Datenschutz-Folgenabschätzung unterzogen wurden. Sonst riskieren sie, an Rechtsverstößen mit schuld zu sein.

Die Botschaft der Gerichte zum Jahresbeginn ist unmissverständlich: Der Datenschutz ist ein Grundrecht, das nicht wegverhandelt werden kann – auch nicht durch die kollektive Stimme der Belegschaft.

Anzeige

Übrigens: Viele Betriebsvereinbarungen stützen sich auf pauschale Duldungsklauseln – das reicht nicht für rechtssichere Übermittlungen in Drittländer. Ein kostenloses E‑Book zur Auftragsdatenverarbeitung zeigt, wie Sie Verarbeitungsverträge korrekt formulieren, Haftungsfallen vermeiden und Übermittlungen in die USA oder andere Drittstaaten rechtlich absichern. Mit praxiserprobten Vertragsmustern und Checklisten für Personaler, Datenschutzbeauftragte und Betriebsräte. Jetzt gratis E‑Book zur Auftragsverarbeitung herunterladen

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.