Unser Datenschutz-Update im Mai 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Mai 2025.

1. Nachrichten aus der Welt des Datenschutzes

DSGVO-Verstoß bei Softwaretests mit Echtdaten: Was Unternehmen beachten sollten

Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) zeigt erneut: Datenschutz ist immer mit einzubeziehen. Auch bei internen Tests von HR-Software wie „Workday“ kann es schnell zu DSGVO-Verstößen kommen – mit finanziellen und rechtlichen Folgen.

Der Fall im Überblick

Ein Unternehmen hatte personenbezogene Echtdaten seiner Mitarbeitenden – darunter sensible Informationen wie Gehaltsdaten, Privatanschrift, Geburtsdatum und Steuer-ID – an die Konzernobergesellschaft übermittelt, um die cloudbasierte Personalsoftware Workday zu testen. Eine Betriebsvereinbarung erlaubte zwar die Übermittlung einiger Daten (z. B. Name, Arbeitsort, geschäftliche Kontaktdaten), doch die Übertragung der sensibleren Angaben ging darüber hinaus.

Ein Mitarbeiter klagte auf Schadenersatz nach Art. 82 DSGVO. Die Vorinstanzen lehnten dies ab. Das Revisionsgericht setzte das Verfahren aus und legte dem Europäischen Gerichtshof (EuGH) Rechtsfragen betreffend die Auslegung des Unionsrecht zu zentralen Datenschutzgrundsätzen vor. Aufgrund des Urteils des EuGH hatte die Revision teilweise Erfolg und das BAG sprach dem Kläger nun 200 € immateriellen Schadenersatz zu.

Warum das Urteil wichtig ist

Das Urteil macht deutlich: Echtdaten in Testszenarien sind datenschutzrechtlich hochsensibel.
Die Weitergabe von Daten innerhalb eines Konzerns unterliegt denselben strengen Regeln wie externe Übermittlungen. Für jede Übermittlung zwischen zwei oder mehreren Konzerngesellschaften muss eine Rechtsgrundlage vorliegen.

Verstöße gegen Vereinbarungen oder den DSGVO-Grundsatz der Erforderlichkeit können Schadenersatzansprüche nach sich ziehen – auch bei immateriellen Schäden wie dem Kontrollverlust über persönliche Daten.

Datentransfer nach Großbritannien: EU will Datenschutzbeschluss verlängern 

Gute Nachrichten für Unternehmen, die mit Partner:innen in Großbritannien zusammenarbeiten: Die Europäische Kommission plant, den sogenannten Angemessenheitsbeschluss mit dem Vereinigten Königreich um weitere sechs Monate – bis zum 27. Dezember 2025 – zu verlängern.

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss bedeutet: Die EU erkennt an, dass ein Drittland (außerhalb der EU) ein vergleichbares Datenschutzniveau bietet wie die EU selbst. Dadurch dürfen personenbezogene Daten ohne zusätzliche Schutzmaßnahmen (wie Standardvertragsklauseln oder Binding Corporate Rules) in dieses Land übermittelt werden – eine enorme rechtliche Erleichterung.

Warum ist die Verlängerung wirtschaftlich wichtig?

Großbritannien ist für viele kleine und mittlere Unternehmen in Deutschland ein relevanter Markt- und Handelspartner – etwa im E-Commerce, bei Dienstleistungsaufträgen oder im Bereich Cloud- und IT-Dienste. Ohne eine gültige Datenschutzregelung müssten Unternehmen aufwändige und teure Zusatzmaßnahmen treffen, um den Datentransfer rechtskonform abzusichern.

Die Verlängerung des Angemessenheitsbeschlusses bietet diesen Unternehmen nun Planungssicherheit. Sie können weiterhin Daten rechtssicher nach Großbritannien übertragen – etwa bei:

• Kund:innenanfragen über britische Plattformen
• Auftragsverarbeitung durch britische IT-Dienstleister:innen
• gemeinsamen Projekten mit britischen Partner:innen

Ohne Verlängerung hätte ein „Datentransfer-Stopp“ gedroht – mit erheblichen rechtlichen und wirtschaftlichen Folgen.

Wie geht es weiter?

Der Hintergrund: In Großbritannien läuft derzeit ein Gesetzgebungsverfahren („Data Use and Access Bill“), das das dortige Datenschutzrecht ändert. Die EU-Kommission möchte diese Änderungen erst in Ruhe bewerten, bevor sie über eine neue langfristige Regelung entscheidet. Der europäische Datenschutzausschuss (EDSA) unterstützt diese technische Übergangslösung – betont aber, dass sie einmalig bleiben soll.

Fazit für KMU

Für Unternehmen bedeutet die Verlängerung: Keine zusätzlichen Verträge, keine Unsicherheiten – zumindest bis Ende 2025. Das ist nicht nur rechtlich, sondern auch wirtschaftlich wichtig. Wer regelmäßig mit britischen Geschäftspartner:innen zusammenarbeitet, sollte die Entwicklung jedoch weiter im Blick behalten.

Rechtlicher Hintergrund

Nach Art. 6 Abs. 1 lit. f DSGVO ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn sie „zur Wahrung berechtigter Interessen erforderlich“ ist – und keine überwiegenden Interessen der betroffenen Person entgegenstehen.

Art. 82 Abs. 1 DSGVO gibt Betroffenen Anspruch auf Schadenersatz bei Verstößen – auch ohne konkreten finanziellen Schaden.

Im aktuellen Fall befand das BAG, dass die Weitergabe sensibler Daten nicht „erforderlich“ war – und sprach deshalb Schadenersatz zu.

Handlungsempfehlungen für Unternehmen

Damit Ihr Unternehmen nicht ungewollt gegen die DSGVO verstößt, empfehlen wir folgende Maßnahmen:

1. Keine Echtdaten für Tests verwenden
   Nutzen Sie für die Erprobung neuer Systeme ausschließlich anonymisierte oder synthetische Testdaten. Tools zur Datenmaskierung oder -generierung bieten hier sichere Alternativen.
2. Betriebsvereinbarungen genau einhalten
   Wenn Datenübermittlungen durch eine Betriebsvereinbarung geregelt sind, darf der Umfang nicht eigenmächtig überschritten werden. Prüfen Sie den Inhalt regelmäßig gemeinsam mit Ihrer Rechtsabteilung oder externen Datenschutzbeauftragten.
3. Erforderlichkeit prüfen und dokumentieren
   Jede Datenverarbeitung – insbesondere konzerninterne Übermittlungen – muss „erforderlich“ im Sinne von Art. 6 DSGVO sein. Dokumentieren Sie diese Beurteilung nachvollziehbar.
4. Transparente Kommunikation mit Mitarbeitenden
   Informieren Sie Ihre Mitarbeitenden offen über den Umgang mit ihren Daten. Das stärkt Vertrauen – und hilft im Streitfall, nachzuweisen, dass Ihre Maßnahmen DSGVO-konform sind.
5. Schulungen und Awareness-Maßnahmen
   Sensibilisieren Sie Ihre HR- und IT-Abteilungen regelmäßig für datenschutzrechtliche Anforderungen – insbesondere bei der Einführung neuer Softwarelösungen.

Fazit: Auch gute Absichten wie die Verbesserung interner Systeme schützen nicht vor DSGVO-Pflichten. Wer personenbezogene Daten übermittelt, trägt Verantwortung – selbst im Konzern. Unternehmen sollten ihre Datenprozesse regelmäßig überprüfen, vor allem aber, bevor neue Verarbeitungen eingeführt werden.

2. Entscheidungen des Monats

Ausschluss eines Betriebsratsmitglied wegen Datenschutzverstoßes

In Deutschland genießen Mitglieder des Betriebsrats einen besonderen Schutz – nicht nur vor Kündigungen, sondern auch bei der Ausübung ihres Ehrenamts. Doch auch dieser Schutz hat Grenzen: Wer seine Pflichten grob verletzt, kann aus dem Betriebsrat ausgeschlossen werden. Ein aktueller Fall vor dem Arbeitsgericht Wiesbaden (AZ 16 TaBV 109/24) zeigt, wie es dazu kommen kann.

Der Fall im Überblick

Ein Klinikbetrieb mit etwa 390 Beschäftigten hatte ein Problem: Der Vorsitzende des neunköpfigen Betriebsrats hatte dienstliche E-Mails mit sensiblen Personaldaten an seinen privaten E-Mail-Account weitergeleitet. Dabei ging es um eine Excel-Tabelle mit Informationen zu Namen, Tätigkeiten, Tarifgruppen, Gehältern und anderen vertraulichen Daten sämtlicher Mitarbeiterinnen und Mitarbeiter.

Diese Daten hatte der Betriebsratsvorsitzende zu Hause auf seinem privaten Rechner bearbeitet, weil sein Bildschirm größer sei und er dort ungestörter arbeiten könne – so seine Begründung. Er habe die Daten anschließend gelöscht und alle Sicherheitsmaßnahmen (z. B. Passwortschutz und Virensoftware) eingehalten.

Der Arbeitgeber sah darin einen groben Verstoß gegen den Datenschutz und beantragte beim Arbeitsgericht den Ausschluss des Betriebsratsvorsitzenden aus dem Gremium. Das Arbeitsgericht gab dem Antrag statt – ebenso wie später das Landesarbeitsgericht.

Worum geht es rechtlich?

Der Ausschluss eines Betriebsratsmitglieds ist nur unter bestimmten Voraussetzungen möglich. Nach § 23 Abs. 1 des Betriebsverfassungsgesetzes (BetrVG) kann ein Betriebsratsmitglied ausgeschlossen werden, wenn es seine gesetzlichen Pflichten grob verletzt.

Eine solche grobe Pflichtverletzung liegt vor, wenn das Verhalten des Betriebsratsmitglieds objektiv schwer wiegt und auch subjektiv nicht nachvollziehbar oder entschuldbar ist.

Im konkreten Fall wurde eine grobe Pflichtverletzung angenommen, weil:

• personenbezogene Daten (insbesondere Gehälter) unbefugt auf ein privates Gerät übertragen wurden,
• keine Einwilligung der betroffenen Beschäftigten vorlag,
• keine Notwendigkeit für die Weiterleitung bestand (es hätten auch dienstliche Geräte oder Adapter genutzt werden können),
• trotz vorheriger Abmahnung erneut private Weiterleitungen erfolgten,
  und 
• dadurch ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und gegen § 79a BetrVG vorlag.

Warum der Datenschutz hier entscheidend ist

Betriebsrätinnen und Betriebsräte müssen sich – wie auch der Arbeitgeber:innen – an die Datenschutzvorgaben halten. Das gilt insbesondere bei der Verarbeitung sensibler Daten wie Gehaltsinformationen.

Im Fall des Klinikbetriebs stellte das Gericht klar: Der Betriebsratsvorsitzende hätte ausschließlich die ihm zur Verfügung gestellten dienstlichen Mittel nutzen dürfen. Auch die bessere Bildschirmgröße zu Hause rechtfertige keine Weiterleitung auf ein privates Gerät. Es sei Sache des Arbeitgebers, die notwendige Technik bereitzustellen – nicht des Betriebsrats, private Hardware einzusetzen.

Fazit: Was Unternehmen und Betriebsrätinnen und Betriebsräte daraus lernen können

Dieser Fall zeigt deutlich: Auch Betriebsrätinnen und Betriebsräte müssen sich an klare Regeln halten. Datenschutz ist ein zentrales Thema, gerade im sensiblen Umfeld von Personalfragen. Unternehmen sollten deshalb:

• Betriebsrätinnen und Betriebsräte regelmäßig und gezielt zum Thema Datenschutz schulen,
• angemessene technische Lösungen bereitstellen, die eine sichere und gesunde Arbeit ermöglichen (z. B. große Bildschirme, gesicherte Remote-Zugänge),
• gemeinsam mit der Betriebsrätin oder dem Betriebsrat Datenschutzrichtlinien entwickeln, um Missverständnisse zu vermeiden.

Für Betriebsratsmitglieder gilt: Gut gemeint ist nicht immer gut gemacht. Selbst bei besten Absichten kann eine unbedachte Handlung gravierende Folgen haben – bis hin zum Ausschluss aus dem Gremium.

Mehr dazu: https://www.rv.hessenrecht.hessen.de/bshe/document/LARE250000513

Digitale Entgeltabrechnungen: Rechtlich zulässig und datenschutzkonform 

Digitale Prozesse sparen Zeit, Geld und Papier – doch gerade bei sensiblen Themen wie der Entgeltabrechnung fragen sich viele kleine und mittlere Unternehmen (KMU): Dürfen wir Gehaltsabrechnungen digital zustellen? Ist das überhaupt datenschutzrechtlich erlaubt?

Die Antwort lautet: Ja, das ist erlaubt – wenn bestimmte Voraussetzungen erfüllt sind. Das hat das Bundesarbeitsgericht (BAG) mit Urteil vom 28. Januar 2025 (Az. 9 AZR 48/24) klargestellt.

Das Wichtigste aus dem Urteil im Überblick

• Digitale Entgeltabrechnungen sind rechtlich zulässig: Arbeitgeber:innen dürfen Gehaltsabrechnungen als elektronische Dokumente in einem digitalen Mitarbeiter:innenpostfach bereitstellen.
• Datenschutzrechtlich unbedenklich: Die digitale Abrechnung ist nach DSGVO und BDSG zulässig – sie umfasst keine sensibleren Daten als die klassische Papierversion.
• Voraussetzung: Der digitale Zugang muss passwortgeschützt erfolgen – und Beschäftigten ohne privaten Internetzugang muss eine Einsicht im Betrieb ermöglicht werden.

Was sagt das Datenschutzrecht?

Viele Arbeitgeber:innen befürchten, dass eine digitale Entgeltabrechnung datenschutzrechtlich problematisch sein könnte. Das BAG stellte jedoch klar:

„Die Datenverarbeitung ist rechtlich erforderlich nach Art. 6 Abs. 1 lit. c und Abs. 3 DSGVO i. V. m. § 26 Abs. 1 BDSG, da sie der Pflicht zur Abrechnung gemäß § 108 Abs. 1 GewO dient.“

Auch wenn ein:e externe:r Anbieter:in für das digitale Mitarbeiterpostfach eingesetzt wird, bestehen keine Bedenken – sofern diese:r als Auftragsverarbeiter:in gemäß Art. 28 DSGVO eingebunden ist.

Was Unternehmen beachten müssen

Damit digitale Gehaltsabrechnungen rechts- und datenschutzkonform sind, sollten KMU:

• Ein sicheres, passwortgeschütztes Mitarbeiter:innenportal verwenden.
• Eine Betriebsvereinbarung zur digitalen Dokumentenzustellung abschließen (sofern ein Betriebsrat vorhanden ist).
• Beschäftigten ohne Online-Zugang eine Einsichtnahme und Ausdruckmöglichkeit im Betrieb anbieten.
• Bei Nutzung externer Anbieter:innen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen.

Fazit

Digitale Entgeltabrechnungen sind erlaubt – und sie sind sicher.
Das Urteil des BAG schafft klare rechtliche Verhältnisse und gibt Unternehmen Planungssicherheit. Wer als Unternehmen auf digitale Lohnabrechnungen umstellt, spart nicht nur Ressourcen, sondern modernisiert auch die Personalverwaltung nachhaltig.

3. Das schreiben die Anderen zum Datenschutz

• Blockchain & Datenschutz: Was die neuen EDSA-Leitlinien bedeuten
• Der Datenschutz kommt mit auf Geschäftsreise

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter