Übermittlung von Arbeitnehmerdaten zwischen Konzernunternehmen meist unzulässig
- 6 Minuten Lesezeit
Z.B. bei einem Arbeitsplatzwechsel eines Mitarbeiters oder einer Mitarbeiterin innerhalb eines Konzerns, also zwischen Unternehmen der selben Unternehmensgruppe, kommt es immer wieder vor, dass die Unternehmen (der neue und der alte Arbeitgeber) Personaldaten des_der wechselnden Arbeitnehmers_in weitergeben. Hier ist Vorsicht geboten, und zwar nicht nur bei Daten, die auf den Gesundheitszustand (z.B. Krankheitstage) oder die Leistungsbereitschaft (genommene Urlaubstage, Überstunden) schließen lassen!
1. Kein Konzernprivileg
Unternehmen einer Unternehmensgruppe sind datenschutzrechtlich selbstständig und jeweils selbst "Verantwortliche" i.S.D. DSGVO. Konzerne genießen im Datenschutzrecht/in der DSGVO grundsätzlich kein sog. Konzernprivileg (anders als z.B. im Steuerrecht).
Für die Übermittlung personenbezogener Daten zwischen Unternehmen eines Konzerns (innerhalb der EU) ist daher, wie sonst auch, eine eigene Rechtsgrundlage (Einwilligung oder sonstige Rechtsgrundlage, bspw. ein berechtigtes Interesse) erforderlich, vgl. Art. 6 Abs. 1 DSGVO.
2. Einwilligung im Beschäftigungsverhältnis nicht ausreichend
Die Übermittlung und sonstige Verarbeitung personenbezogener Daten kann grundsätzlich zwar mit einer aufgeklärten und freiwilligen, widerruflichen Einwilligung des_der Betroffenen gerechtfertigt werden, Art. 6 Abs. 1 lit. a), Art. 7 DSGVO. In Deutschland gelten dabei über die DSGVO hinausgehende Mindestanforderungen für die Einwilligung im Beschäftigungskontext nach § 26 Abs. 2 BDSG. Allerdings fehlt es im Beschäftigungskontext aufgrund der bestehenden Abhängigkeit der beschäftigten Person sowie der Umstände, unter denen die Einwilligung (z.B. im Arbeitsvertrag) erteilt wurde, i.d.R. an der erforderlichen Freiwilligkeit der Einwilligung.
In der Praxis ist diese Lösung also mit Vorsicht zu genießen!
3. Berechtigtes Interesse?
Der Transfer von Beschäftigtendaten zwischen zwei Verantwortlichen einer Unternehmensgruppe wird daher in der Praxis meist auf eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO (berechtigtes Interesse) gestützt. In Betracht kommen insb.:
a. Verwaltungszwecke
Solche Interessen i.S.v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO können z.B. interne Verwaltungszwecke sein oder die Erforderlichkeit der Datenverarbeitung zur Durchführung des Arbeitsverhältnisses, vgl. Entscheidungsgrund 48 zur DSGVO. Dabei ist einzelfallbezogen zu prüfen, ob die konkrete Datenübermittlung erforderlich war. Eine pauschale Behauptung, das ein solches berechtigtes Interesse besteht, reicht nicht aus.
b. Zweckbestimmung des Beschäftigungsvertrags
Eine Rechtfertigung für die die Datenweitergabe i.S.v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO kann sich auch aus der Zweckbestimmung der Beschäftigungsverträge ergeben und/oder, daraus, dass ein Arbeitsvertrag ein Tätigwerden des_der Arbeitnehmer_in auch in anderen Konzernunternehmen vorsieht. Auch insoweit bedarf es einer Einzelfallprüfung. Die immer mal wieder vernommene Begründung, dass Daten innerhalb eines Konzerns generell weitergegeben werden dürfen, reicht aber jedenfalls nicht aus!
c. Betriebsvereinbarung
Vertreten wird, dass eine Befugnisgrundlage für die konzerninterne Weitergabe von Beschäftigtendaten in (Konzern-) Betriebsvereinbarungen als ggü. der DSGVO/dem BDSG "spezifischeren Vorschriften" geschaffen werden kann, wobei aber die Grenzen des Art. 6 Abs. 1 DSGVO (Interessenabwägung, keine Einführung eines generellen Konzernprivilegs "durch die Hintertür", etc.) und des Art. 5 DSGVO (Verarbeitungsgrundsätze) eingehalten werden müssen.
4. Interessenabwägung
Nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist eine einzelfallbezogene Abwägung vorzunehmen, ob ein solches berechtigtes Interesse auf Seiten des verantwortlichen besteht und das Interesse der Betroffenen an der Nicht-Verarbeitung ihrer Daten überwiegt.
a. Beschäftigungskontext
Dabei kann die Zugehörigkeit des_der für die Datenverarbeitung Verantwortlichen zu einer Unternehmensgruppe eine Rolle spielen. Art. 88 DSGVO erlaubt grundsätzlich eine "Datenverarbeitung im Beschäftigungskontext" (vgl. auch § 26 BDSG); die DSGVO anerkennt insoweit, dass Unternehmen einer Unternehmensgruppe "ein berechtigtes Interesse haben [können], personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln" (Erwägungsgrund 48 zur DSGVO).
Diese und andere Punkte sind bei der nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO anzustellenden Interessenabwägung zu berücksichtigen; die Konzernstellung verschiebt dabei die Interessenlage (etwas) zugunsten des Unternehmens (manche sprechen von einem "klein Konzernprivileg").
Grundsätzlich bleibt aber die Voraussetzung des Bestehens eines berechtigten Interesses i.S.v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO, d.h. es bedarf einer Erforderlichkeit für die Übermittlung der (konkreten) Daten von dem einem, zu dem anderen Konzernunternehmen und die Erforderlichkeit ist nicht schon deshalb gegeben, weil die Unternehmen zu einer Unternehmensgruppe gehören.
b. Weitere Kriterien
Weitere Kriterien bei der Interessenabwägung sind z.B.
- Vorliegen eines konzernweiten Datenschutzkonzepts
- Einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen, einschließlich der Möglichkeit, die Betroffenenrechte bei jeder der Konzerngesellschaften gleichermaßen geltend machen zu können
- Für die Betroffenen transparenter Verarbeitungsverlauf (vgl. Art. 12 ff. DSGVO).
- Ein konzernweit realisiertes Datenschutzmanagementsystem mit konzernweitem Datenschutzstandard entsprechend DSGVO
- Bei der Übermittlung von Beschäftigtendaten muss der Arbeitgeber weiterhin umfassender Ansprechpartner für den_die Beschäftigte, z.B. hins. der Betroffenenrechte
- Keine Verlagerung des Haftungsrisikos für Schadenersatz und der Jurisdiktion/Gerichtsstand
- Keine Datenübermittlung und Verarbeitung in einem "unsicheren Drittland"
Entsprechende Regelungen müssen zwischen den Konzernunternehmen und im Verhältnis zu den Betroffenen verbindlich getroffen werden (Verträge, bindende Unternehmensregelungen, etc.).
c. Verschmelzung
Bei der Interessenabwägung kann auch der Grund des Wechsels dem alten, zu dem neuen Arbeitgeber zu ihrem neuen Arbeitgeber eine Rolle spielen. Wenn dem betriebsorganisatorische Maßnahmen zugrunde lagen (z.B. Verschmelzung zweier selbständiger Unternehmenseinheiten) kann dies ebenfalls ein berechtigtes Interesse begründen. Andererseits kann daraus auch ein gesteigertes Interesse der Betroffenen an der Nicht-Weitergabe von Daten folgen.
5. Art der Daten
a. Kunden- vs. Beschäftigtendaten
Für die Interessenabwägung i.S.v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist schließlich auch die Art der Daten relevant – Daumenregel:
- Die Übermittlung von Kundendaten zwischen Konzernunternehmen ist tendenziell zulässig.
- Die Übermittlung von Beschäftigtendaten, insb. solche der Personalverwaltung, ist hingegen i.d.R. nur bei Vorliegen der genannten Voraussetzungen (u.a. Erforderlichkeit) und bei einer "positiven" Interessenabwägung zulässig; stets ist eine Prüfung im Einzelfall erforderlich!
b. Gesundheitsdaten?
Daran schließt sich die Frage an, ob auch z.B. die Übermittlung von Gesundheitsdaten (Fehlzeiten/Krankheitstage, die noch im alten Unternehmen entstanden/angefallen sind) zulässig ist.
Nach Art. 9 DSGVO gelten für die Übermittlung und für Art und Weise der Verarbeitung "besonderer Kategorien" besonders sensibler Daten – u.a. Gesundheitsdaten – besonders strengere Regeln. Diese Daten dürfen grundsätzlich nicht verarbeitet werden, sofern nicht eine gesetzliche Ausnahme vorliegt. Zudem müssen solche Daten in besonderem Maße geschützt werden, bspw. muss bei einer Übermittlung auf Zugriffsbeschränkungen geachtet werden und, wenn möglich, müssen die Daten pseudonymisiert werden, und verschlüsselt übertragen werden, etc.
Da die strenge Zweckbindung auch im Rahmen der Übermittlung von personenbezogenen Daten zu beachten ist, dürfen die übermittelten Daten zudem nur zu dem Zweck verarbeitet werden, der von dem berechtigten Interesse nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO umfasst ist; für eine darüber hinausgehende und/oder weitere Verarbeitung der Daten wird eine neue Rechtsgrundlage benötigt.
Anwalt für Datenschutz für Unternehmen – bundesweit!
Unsere Leistungen im Datenschutz für Unternehmen:
Datenschutz-Audit, z.B. Prüfung und Beratung zu Technisch-Organisatorischen Maßnahmen T.O.M.s
Unterstützung bei Datenschutz-Compliance, z.B. Erstellung von Datenschutzerklärungen, Verzeichnis von Verarbeitungstätigkeiten und Auftragsdatenverarbeitungs-Verträgen gem. Art. 28 Abs. 3 DSGVO
Beratung zu Arbeitsnehmerdatenschutz und Beschäftigtendatenschutz und zur Datenübertragung/Datenaustausch zwischen Konzern-Unternehmen
Datenschutzkonforme Einführung von Softwarelösungen wie MS Office 365, MS Teams u.a., Erstellung von Betriebsvereinbarungen und Verhandlung mit Betriebsrat und Arbeitnehmervertreter
Unterstützung bei der Erteilung von Auskunft nach § 15 DSGVO und der Erfüllung von anderen Betroffenenrechten
Soforthilfe und umfassende Unterstützung bei Datenpanne, Datenleck & Data Breach!
Artikel teilen: