Diese Frage „Wann dürfen personenbezogene Daten von Beschäftigten innerhalb eines Konzerns an andere Konzerngesellschaften übermittelt werden? beschäftigt immer öfter Arbeitgeber. Etwa im Zusammenhang mit der Einrichtung eines unternehmensübergreifenden Kontaktdatenmanagements, eines Talentpools oder bei der Einführung eines konzernübergreifenden Human Capital Management Softwaresystems („HR-Software“).
Grundsätzlich gilt: Die Weitergabe von Daten innerhalb eines Konzern (verbundene Unternehmen) stellt eine datenschutzrechtliche relevante Datenübermittlung dar. Die Datenschutz-Grundverordnung (DSGVO) kennt, wie bereits auch das Bundesdatenschutzgesetz (BDSG), kein Konzernprivileg.
Was bedeutet das?
Das bedeutet, dass jedes Konzernunternehmen oder jede Tochtergesellschaft datenschutzrechtlich ein eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) ist und die Unternehmen im Verhältnis zueinander als „Dritte“ (Art. 4 Nr. 10 DSGVO) anzusehen sind. Daraus folgt wiederum, dass jede Datenübermittlung innerhalb der Unternehmensgruppe so zu bewerten ist, als ob es sich um ein „fremdes“ Unternehmen, einen Dritten, handelt und auf eine datenschutzrechtliche Erlaubnisvorschrift gestützt werden muss.
Welche Erlaubnistatbestände kommen in Betracht?
Es kommen zwei gesetzliche Erlaubnistatbestände in Betracht:
- Nach § 26 Abs. 1 S. 1 BDSG ist die Übermittlung insbesondere zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines bestimmten Arbeitsverhältnisses erforderlich ist.
- Art. 6 Abs. 1 lit. f) DSGVO gestattet eine Datenübermittlung im Konzern, wenn der Arbeitgeber ein berechtigtes Interesse vorweisen kann, das gegenüber dem Interesse der betroffenen Arbeitnehmer am Unterbleiben der Datenverarbeitung überwiegt. Dies ist nachweislich zu begründen und zu dokumentieren.
Konzernbetriebsvereinbarung
Grundsätzlich kann eine Datenübermittlung im Konzern auch auf eine Konzernbetriebsvereinbarung gestützt werden, die als Kollektivvereinbarung im Sinne von Art. 88 Abs. 1 DSGVO ebenfalls als „spezifische Vorschrift“ für die Verarbeitung von personenbezogenen Beschäftigtendaten anerkannt ist. Hierbei ist allerdings zu beachten, dass die Konzernbetriebsvereinbarung keine Datenverarbeitung für zulässig erklären kann, die nach dem verbindlichen Mindeststandard der DSGVO unzulässig wäre. Die Konzernbetriebsvereinbarung kann somit faktisch nur dazu dienen, konzernspezifische Rahmenbedingungen für eine von Gesetzes wegen ohnehin zulässige Datenverarbeitung aufzustellen, die Datenübermittlung dadurch zusätzlich abzusichern und dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) Rechnung zu tragen.
Einwilligung der Beschäftigten
Eine Einwilligung der Beschäftigten ist jedenfalls in der Praxis in aller Regel keine taugliche Rechtsgrundlage für die Datenverarbeitung. Sie kann jederzeit ohne Angabe von Gründen widerrufen werden. Standard- und/oder wiederkehrende Prozesse können damit nicht abgesichert werden. Des Weiteren besteht hier grundsätzlich die Frage nach der Freiwilligkeit der Einwilligung durch den Beschäftigten (Art. 7 Abs. 4 DSGVO; „Abhängigkeit im Beschäftigtenverhältnis“).
Was sagen die Gerichte?
Wann rechtfertigt ein „berechtigtes Interesse“ des Arbeitgebers die Datenübermittlung?
Eine Arbeitnehmerin klagte auf Unterlassung und Schadensersatz in Bezug auf eine unzulässige Datenübermittlung innerhalb eines Krankenhaus-Konzerns.
Der Arbeitgeber hatte mit dem Ziel einer Vergleichsdatenbildung unter anderem Daten zur Person und zum Gehalt von Beschäftigten an eine andere Konzerngesellschaft übermittelt. Er stützte sich dabei auf ihr berechtigtes Interesse gemäß Art 6 Abs. 1 lit. f) DSGVO. Der Arbeitgeber argumentierte, dass die Datenübermittlung auch im Interesse der Beschäftigten liege, weil ein Vergleichsdatenbestand zu mehr Lohngerechtigkeit führe. Auch für die Klägerin könne der Datenvergleich positive Auswirkungen haben, weil Gehaltsanpassungen immer nur nach oben denkbar seien.
Die Klägerin war demgegenüber der Auffassung, dass die Übermittlung zumindest in dem vorgenommenen Umfang nicht erforderlich gewesen sei, um die Zielsetzung des Arbeitgebers zu erreichen. Vielmehr hätte eine Datenübermittlung in anonymisierter bzw. pseudonymisierter Form ausgereicht. Durch geeignete Vorkehrungen, z.B. durch Übermittlung der Informationen in einem neutralen Umschlag, der keinen Hinweis auf den Absender beinhaltet, kann sichergestellt werden, dass eine Zuordnung zu einem einzelnen Unternehmen und damit einem dort Beschäftigten ausgeschlossen werde.
Schadensersatzpflicht des Arbeitgebers
Das Arbeitsgericht Herne gab der Unterlassungsforderung der Klägerin überwiegend statt und verurteilte den Arbeitgeber zur Zahlung von 2.000,00 Euro Schadensersatz. Das Landesarbeitsgericht Hamm liefert mit seinem Urteil einen Präzedenzfall (Urteil vom 14.12.2021 (Az. 17 Sa 1185/20) und bestätigte die Entscheidung. Das LAG argumentierte, dass der Arbeitgeber grundsätzlich ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f) DSGVO habe, die Gehaltsdaten konzernintern zu übermitteln, um einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten außertariflichen Beschäftigten zu ermöglichen. Allerdings sei die Datenverarbeitung in dem konkreten Umfang nicht erforderlich gewesen. Es wäre eine Pseudonymisierung der übermittelten Daten möglich gewesen, ohne den Verarbeitungszweck des Arbeitgebers zu gefährden. Es wäre auch möglich gewesen, sich einen Überblick über das Gehaltsgefüge der Beschäftigten der Verbundkliniken zu verschaffen, ohne z.B. den Namen und das Geburtsdatum der Beschäftigten zu übermitteln.
Was gilt es noch zu beachten (ein Auszug)?
- Die Aufnahme eines Bewerbers in einen Talentpool, d.h. die Weiterleitung der Bewerberdaten an verbundene Unternehmen, bedarf grundsätzlich einer Einwilligung des Bewerbers. Im Rahmen der Einwilligung muss der Bewerber darüber informiert werden, welche konzernangehörige Unternehmen auf seine personenbezogenen Daten zugreifen können. Er muss auch die Möglichkeit haben, keine Einwilligung dafür zu erteilen, ohne dass im dadurch ein Nachteil entsteht.
- Die Regelung des § 26 BDSG gilt auch für die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Stichwort: mündliche Datenweitergabe an ein Konzernunternehmen.
- Unter den Beschäftigtendatenschutz fallen u.a. auch handschriftlich gefertigte Notizen während eines Bewerbungsgesprächs sowie die alltägliche Informationserhebung durch persönliche Befragung oder eine Übermittlung durch Telefonate in den Anwendungsbereich von § 26 BDSG.
- Die Datenschutzgrundsätze sind selbstverständlich von allen beteiligten Unternehmen, auch bei einem Firmensitz außerhalb der EU, nachweislich einzuhalten und zu gewährleisten. Dies ist regelmäßig, wie bei jedem anderen Verarbeiter auch, zu prüfen.
- Regelmäßig ist zu prüfen, ob für die Datenübermittlung eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies wird regelmäßig der Fall sein, wenn z.B. besondere Kategorien von personenbezogenen Daten übermittelt werden, eine Datenübertragung in ein Drittland erfolgt oder wenn eine Verarbeitung ein einem HCM-System erfolgt.
Zusammenfassung
Die Entscheidungen der Gerichte dienen der Rechtsfortbildung und damit zugleich einer wachsenden Rechtssicherheit. Sie zeigen aber auch, dass Arbeitgeber gut beraten sind, genau zu prüfen, ob überhaupt auf berechtigtes Interesse abgestellt werden kann. Wenn ja, welche konkreten Daten zur Erreichung ihrer berechtigten Interessen tatsächlich erforderlich sind und deshalb konzernintern übermittelt werden müssen. Dabei sind entsprechende technisch-organisatorische Maßnahmen wie z.B. Pseudynomisierung, zu ergreifen.
Die Anforderungen an die Transparenzpflicht gegenüber den Beschäftigten (Informationspflicht nach Art. 12 ff. DSGVO) muss selbstverständlich auch hier – vor der ersten Weiterleitung – nachgekommen werden. Ungeachtet dessen kann der Beschäftigte grundsätzlich auch von seinem Recht auf Widerspruch Gebrauch (Art. 21 Abs. 1 DSGVO) machen.
Bei der internationalen Datenübermittlung an ein Konzernunternehmen in einem Drittland ist zudem dringend die Verwendung der (neuen) EU-Standarddatenvertragsklauseln anzuraten, mit Gewährleistung der zusätzlich geforderten technisch-organisatorischen Maßnahmen.
Fazit
Die rechtssichere Datenübermittlung innerhalb von verbundenen Unternehmen ist eine Herausforderung für den Arbeitgeber. Es ist vorab sorgfältig zu prüfen, ob und wenn ja unter welchen Voraussetzungen Beschäftigtendaten innerhalb einer Unternehmensgruppe übermittelt werden dürfen. Dies ungeachtet dessen, ob sich das verbundene Unternehmen in der EU/im EWR befindet oder in einem Drittland.
Es ist sodann regelmäßig zu prüfen, ob sich z.B. durch Gerichtsurteile die (nationale) Rechtslage geändert hat und Verarbeitungen nicht mehr oder ggf. dann doch gesetzeskonform möglich sind.
Auch bei einem Datenaustausch innerhalb der Unternehmensgruppe hat der Arbeitgeber als Verantwortlicher seinen Prüfpflichten beim Datenverarbeiter gemäß DSGVO nachzukommen, ungeachtet des Erlaubnistatbestandes und der vertraglichen Regelungen. Auch ungeachtet der gesellschaftsrechtlichen Konstellation – Tochterunternehmen prüft Mutterunternehmen.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Weiterführende Links:
LfDI Baden-Württemberg https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.pdf
Datenschutzstelle Liechtenstein – https://www.datenschutzstelle.li/datenschutz/themen-z/kleines-konzernprivileg