AdOrga Solutions GmbH - Data Protection

Diese Frage „Wann dürfen per­so­nen­be­zo­ge­ne Daten von Be­schäf­tig­ten in­ner­halb eines Kon­zerns an andere Kon­zern­ge­sell­schaf­ten über­mit­telt werden? be­schäf­tigt immer öfter Ar­beit­ge­ber. Etwa im Zu­sam­men­hang mit der Ein­rich­tung eines un­ter­neh­mens­über­grei­fen­den Kon­takt­da­ten­ma­nage­ments, eines Ta­lent­pools oder bei der Ein­füh­rung eines kon­zern­über­grei­fen­den Human Capital Ma­nage­ment Soft­ware­sys­tems („HR-Sof­t­­wa­re“).

Grund­sätz­lich gilt: Die Wei­ter­ga­be von Daten in­ner­halb eines Konzern (ver­bun­de­ne Un­ter­neh­men) stellt eine da­ten­schutz­recht­li­che re­le­van­te Da­ten­über­mitt­lung dar. Die Da­ten­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) kennt, wie bereits auch das Bun­des­da­ten­schutz­ge­setz (BDSG), kein Kon­zern­pri­vi­leg.

Was be­deu­tet das?

Das be­deu­tet, dass jedes Kon­zern­un­ter­neh­men oder jede Toch­ter­ge­sell­schaft da­ten­schutz­recht­lich ein eigener Ver­ant­wort­li­cher (Art. 4 Nr. 7 DSGVO) ist und die Un­ter­neh­men im Ver­hält­nis zu­ein­an­der als „Dritte“ (Art. 4 Nr. 10 DSGVO) an­zu­se­hen sind. Daraus folgt wie­der­um, dass jede Da­ten­über­mitt­lung in­ner­halb der Un­ter­neh­mens­grup­pe so zu be­wer­ten ist, als ob es sich um ein „fremdes“ Un­ter­neh­men, einen Dritten, handelt und auf eine da­ten­schutz­recht­li­che Er­laub­nis­vor­schrift ge­stützt werden muss.

Welche Er­laub­nis­tat­be­stän­de kommen in Betracht?

Es kommen zwei ge­setz­li­che Er­laub­nis­tat­be­stän­de in Betracht:

  1. Nach § 26 Abs. 1 S. 1 BDSG ist die Über­mitt­lung ins­be­son­de­re zu­läs­sig, wenn sie für die Be­grün­dung, Durch­füh­rung oder Be­en­di­gung eines be­stimm­ten Ar­beits­ver­hält­nis­ses er­for­der­lich ist.
  2. Art. 6 Abs. 1 lit. f) DSGVO ge­stat­tet eine Da­ten­über­mitt­lung im Konzern, wenn der Ar­beit­ge­ber ein be­rech­tig­tes In­ter­es­se vor­wei­sen kann, das ge­gen­über dem In­ter­es­se der be­trof­fe­nen Ar­beit­neh­mer am Un­ter­blei­ben der Da­ten­ver­ar­bei­tung über­wiegt. Dies ist nach­weis­lich zu be­grün­den und zu dokumentieren.
Kon­zern­be­triebs­ver­ein­ba­rung

Grund­sätz­lich kann eine Da­ten­über­mitt­lung im Konzern auch auf eine Kon­zern­be­triebs­ver­ein­ba­rung ge­stützt werden, die als Kol­lek­tiv­ver­ein­ba­rung im Sinne von Art. 88 Abs. 1 DSGVO eben­falls als „spe­zi­fi­sche Vor­schrift“ für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Be­schäf­tig­ten­da­ten an­er­kannt ist. Hierbei ist al­ler­dings zu be­ach­ten, dass die Kon­zern­be­triebs­ver­ein­ba­rung keine Da­ten­ver­ar­bei­tung für zu­läs­sig er­klä­ren kann, die nach dem ver­bind­li­chen Min­dest­stan­dard der DSGVO un­zu­läs­sig wäre. Die Kon­zern­be­triebs­ver­ein­ba­rung kann somit fak­tisch nur dazu dienen, kon­zern­spe­zi­fi­sche Rah­men­be­din­gun­gen für eine von Ge­set­zes wegen ohnehin zu­läs­si­ge Da­ten­ver­ar­bei­tung auf­zu­stel­len, die Da­ten­über­mitt­lung dadurch zu­sätz­lich ab­zu­si­chern und dem Grund­satz der Re­chen­schafts­pflicht (Art. 5 Abs. 2 DSGVO) Rech­nung zu tragen.

Ein­wil­li­gung der Beschäftigten

Eine Ein­wil­li­gung der Be­schäf­tig­ten ist je­den­falls in der Praxis in aller Regel keine taug­li­che Rechts­grund­la­ge für die Da­ten­ver­ar­bei­tung. Sie kann je­der­zeit ohne Angabe von Gründen wi­der­ru­fen werden. Stan­­dard- und/oder wie­der­keh­ren­de Pro­zes­se können damit nicht ab­ge­si­chert werden. Des Wei­te­ren besteht hier grund­sätz­lich die Frage nach der Frei­wil­lig­keit der Ein­wil­li­gung durch den Be­schäf­tig­ten (Art. 7 Abs. 4 DSGVO; „Ab­hän­gig­keit im Beschäftigtenverhältnis“).

Was sagen die Ge­rich­te?

Wann recht­fer­tigt ein „be­rech­tig­tes In­ter­es­se“ des Ar­beit­ge­bers die Datenübermittlung?

Eine Ar­beit­neh­me­rin klagte auf Un­ter­las­sung und Scha­dens­er­satz in Bezug auf eine un­zu­läs­si­ge Da­ten­über­mitt­lung in­ner­halb eines Krankenhaus-Konzerns.
Der Ar­beit­ge­ber hatte mit dem Ziel einer Ver­gleichs­da­ten­bil­dung unter anderem Daten zur Person und zum Gehalt von Be­schäf­tig­ten an eine andere Kon­zern­ge­sell­schaft über­mit­telt. Er stützte sich dabei auf ihr be­rech­tig­tes In­ter­es­se gemäß Art 6 Abs. 1 lit. f) DSGVO. Der Ar­beit­ge­ber ar­gu­men­tier­te, dass die Da­ten­über­mitt­lung auch im In­ter­es­se der Be­schäf­tig­ten liege, weil ein Ver­gleichs­da­ten­be­stand zu mehr Lohn­ge­rech­tig­keit führe. Auch für die Klä­ge­rin könne der Da­ten­ver­gleich po­si­ti­ve Aus­wir­kun­gen haben, weil Ge­halts­an­pas­sun­gen immer nur nach oben denkbar seien.

Die Klä­ge­rin war dem­ge­gen­über der Auf­fas­sung, dass die Über­mitt­lung zu­min­dest in dem vor­ge­nom­me­nen Umfang nicht er­for­der­lich gewesen sei, um die Ziel­set­zung des Ar­beit­ge­bers zu er­rei­chen. Viel­mehr hätte eine Da­ten­über­mitt­lung in an­ony­mi­sier­ter bzw. pseud­ony­mi­sier­ter Form aus­ge­reicht. Durch ge­eig­ne­te Vor­keh­run­gen, z.B. durch Über­mitt­lung der In­for­ma­tio­nen in einem neu­tra­len Um­schlag, der keinen Hinweis auf den Ab­sen­der be­inhal­tet, kann si­cher­ge­stellt werden, dass eine Zu­ord­nung zu einem ein­zel­nen Un­ter­neh­men und damit einem dort Be­schäf­tig­ten aus­ge­schlos­sen werde.

Scha­dens­er­satz­pflicht des Arbeitgebers

Das Ar­beits­ge­richt Herne gab der Un­ter­las­sungs­for­de­rung der Klä­ge­rin über­wie­gend statt und ver­ur­teil­te den Ar­beit­ge­ber zur Zahlung von 2.000,00 Euro Scha­dens­er­satz. Das Lan­des­ar­beits­ge­richt Hamm liefert mit seinem Urteil einen Prä­ze­denz­fall (Urteil vom 14.12.2021 (Az. 17 Sa 1185/20) und be­stä­tig­te die Ent­schei­dung. Das LAG ar­gu­men­tier­te, dass der Ar­beit­ge­ber grund­sätz­lich ein be­rech­tig­tes In­ter­es­se im Sinne von Art. 6 Abs. 1 lit. f) DSGVO habe, die Ge­halts­da­ten kon­zern­in­tern zu über­mit­teln, um einen kon­zern­wei­ten Ver­gleich der Ge­häl­ter und sons­ti­gen Ent­gelt­be­stand­tei­le der im Konzern be­schäf­tig­ten au­ßer­ta­rif­li­chen Be­schäf­tig­ten zu er­mög­li­chen. Al­ler­dings sei die Da­ten­ver­ar­bei­tung in dem kon­kre­ten Umfang nicht er­for­der­lich gewesen. Es wäre eine Pseud­ony­mi­sie­rung der über­mit­tel­ten Daten möglich gewesen, ohne den Ver­ar­bei­tungs­zweck des Ar­beit­ge­bers zu ge­fähr­den. Es wäre auch möglich gewesen, sich einen Über­blick über das Ge­halts­ge­fü­ge der Be­schäf­tig­ten der Ver­bund­kli­ni­ken zu ver­schaf­fen, ohne z.B. den Namen und das Ge­burts­da­tum der Be­schäf­tig­ten zu übermitteln.

Was gilt es noch zu be­ach­ten (ein Auszug)?

  • Die Auf­nah­me eines Be­wer­bers in einen Ta­lent­pool, d.h. die Wei­ter­lei­tung der Be­wer­ber­da­ten an ver­bun­de­ne Un­ter­neh­men, bedarf grund­sätz­lich einer Ein­wil­li­gung des Be­wer­bers. Im Rahmen der Ein­wil­li­gung muss der Be­wer­ber darüber in­for­miert werden, welche konzernangehörige Un­ter­neh­men auf seine per­so­nen­be­zo­ge­nen Daten zu­grei­fen können. Er muss auch die Mög­lich­keit haben, keine Ein­wil­li­gung dafür zu er­tei­len, ohne dass im dadurch ein Nach­teil entsteht.
  • Die Re­ge­lung des § 26 BDSG gilt auch für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, ein­schließ­lich be­son­de­rer Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten, ohne dass sie in einem Da­tei­sys­tem ge­spei­chert sind oder ge­spei­chert werden sollen. Stich­wort: münd­li­che Da­ten­wei­ter­ga­be an ein Konzernunternehmen.
  • Unter den Beschäftigtendatenschutz fallen u.a. auch hand­schrift­lich ge­fer­tig­te Notizen während eines Bewerbungsgesprächs sowie die alltägliche In­for­ma­ti­ons­er­he­bung durch persönliche Be­fra­gung oder eine Übermittlung durch Te­le­fo­na­te in den An­wen­dungs­be­reich von § 26 BDSG.
  • Die Da­ten­schutz­grund­sät­ze sind selbst­ver­ständ­lich von allen be­tei­lig­ten Un­ter­neh­men, auch bei einem Fir­men­sitz au­ßer­halb der EU, nach­weis­lich ein­zu­hal­ten und zu ge­währ­leis­ten. Dies ist re­gel­mä­ßig, wie bei jedem anderen Ver­ar­bei­ter auch, zu prüfen.
  • Re­gel­mä­ßig ist zu prüfen, ob für die Da­ten­über­mitt­lung eine Da­ten­­schutz-Fol­­gen­a­b­­schä­t­­zung durch­zu­füh­ren ist. Dies wird re­gel­mä­ßig der Fall sein, wenn z.B. be­son­de­re Ka­te­go­rien von per­so­nen­be­zo­ge­nen Daten über­mit­telt werden, eine Da­ten­über­tra­gung in ein Dritt­land erfolgt oder wenn eine Ver­ar­bei­tung ein einem HCM-System erfolgt.

Zu­sam­men­fas­sung

Die Ent­schei­dun­gen der Ge­rich­te dienen der Rechts­fort­bil­dung und damit zu­gleich einer wach­sen­den Rechts­si­cher­heit. Sie zeigen aber auch, dass Ar­beit­ge­ber gut beraten sind, genau zu prüfen, ob über­haupt auf be­rech­tig­tes In­ter­es­se ab­ge­stellt werden kann. Wenn ja, welche kon­kre­ten Daten zur Er­rei­chung ihrer be­rech­tig­ten In­ter­es­sen tat­säch­lich er­for­der­lich sind und deshalb kon­zern­in­tern über­mit­telt werden müssen. Dabei sind ent­spre­chen­de tech­­nisch-or­­ga­­ni­­sa­­to­­ri­­sche Maß­nah­men wie z.B. Pseu­dyno­mi­sie­rung, zu ergreifen.

Die An­for­de­run­gen an die Trans­pa­renz­pflicht ge­gen­über den Be­schäf­tig­ten (In­for­ma­ti­ons­pflicht nach Art. 12 ff. DSGVO) muss selbst­ver­ständ­lich auch hier – vor der ersten Wei­ter­lei­tung – nach­ge­kom­men werden. Un­ge­ach­tet dessen kann der Be­schäf­tig­te grund­sätz­lich auch von seinem Recht auf Wi­der­spruch Ge­brauch (Art. 21 Abs. 1 DSGVO) machen.
Bei der in­ter­na­tio­na­len Da­ten­über­mitt­lung an ein Kon­zern­un­ter­neh­men in einem Dritt­land ist zudem drin­gend die Ver­wen­dung der (neuen) EU-Stan­­dar­d­­da­­ten­­ver­­­trags­­­klau­­seln an­zu­ra­ten, mit Ge­währ­leis­tung der zu­sätz­lich ge­for­der­ten tech­­nisch-or­­ga­­ni­­sa­­to­­ri­­schen Maßnahmen.

Fazit

Die rechts­si­che­re Da­ten­über­mitt­lung in­ner­halb von ver­bun­de­nen Un­ter­neh­men ist eine Her­aus­for­de­rung für den Ar­beit­ge­ber. Es ist vorab sorg­fäl­tig zu prüfen, ob und wenn ja unter welchen Vor­aus­set­zun­gen Be­schäf­tig­ten­da­ten in­ner­halb einer Un­ter­neh­mens­grup­pe über­mit­telt werden dürfen. Dies un­ge­ach­tet dessen, ob sich das ver­bun­de­ne Un­ter­neh­men in der EU/im EWR be­fin­det oder in einem Drittland.

Es ist sodann re­gel­mä­ßig zu prüfen, ob sich z.B. durch Ge­richts­ur­tei­le die (na­tio­na­le) Rechts­la­ge ge­än­dert hat und Ver­ar­bei­tun­gen nicht mehr oder ggf. dann doch ge­set­zes­kon­form möglich sind.

Auch bei einem Da­ten­aus­tausch in­ner­halb der Un­ter­neh­mens­grup­pe hat der Ar­beit­ge­ber als Ver­ant­wort­li­cher seinen Prüf­pflich­ten beim Da­ten­ver­ar­bei­ter gemäß DSGVO nach­zu­kom­men, un­ge­ach­tet des Er­laub­nis­tat­be­stan­des und der ver­trag­li­chen Re­ge­lun­gen. Auch un­ge­ach­tet der ge­sell­schafts­recht­li­chen Kon­stel­la­ti­on – Toch­ter­un­ter­neh­men prüft Mutterunternehmen.

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Daten­schutz. 
 

 

Wei­ter­füh­ren­de Links:

LfDI Baden-Wür­t­­te­m­­berg  https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.pdf 
Da­ten­schutz­stel­le Liech­ten­stein – https://www.datenschutzstelle.li/datenschutz/themen-z/kleines-konzernprivileg 

Related Posts

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!

Email schrei­ben
08142 4624920