Die Datentübermittlung im Konzern

Durch den anhaltenden Trend zum Outsourcing von Verwaltungsdienstleistungen gerade auch im Personalbereich und den vermehrten Einsatz konzerneinheitlicher Personalinformations-systeme gewinnt die Übermittlung zunehmend an Bedeutung. Sie birgt jedoch gleichzeitig das größte Risikopotenzial der Phasen der Datenverarbeitung.

Während die unternehmensinterne Weitergabe oder Veröffentlichung personenbezogener Daten eine Nutzung darstellt, liegt grundsätzlich eine Übermittlung vor, wenn Daten über die Grenzen des Unternehmens hinaus weitergeleitet werden. Der Gesetzgeber hat im Datenschutzrecht im Gegensatz zu anderen Gebieten wie dem Steuerrecht bewusst auf ein Konzernprivileg verzichtet. Somit hat sich auch konzernintern die Weitergabe an den Vorgaben des BDSG auszurichten. Eine Übermittlung ist ausnahmsweise dann nicht gegeben, wenn die Bedingungen zur Datenverarbeitung im Auftrag nach § 11 BDSG erfüllt sind. Ergibt sich jedoch aus den zwischen den Konzern-Unternehmen getroffenen Vereinbarungen das Vorliegen einer Funktionsübertragung, so kann nicht mehr von einer Auftragsdatenverarbeitung ausgegangen werden. Es sind wiederum die Kriterien der Übermittlung anzuwenden.

Für die Zulässigkeit der Übermittlung sind die Erlaubnistatbestände des § 4 Abs 1 BDSG maßgeblich:

Die Einwilligung des Betroffenen im Sinne § 4a BDSG scheidet aus, da diese rechtlich für den Arbeitnehmer ausschließlich mit Nachteilen verbunden wäre. § 28 Abs 1 Satz 1 Nr. 1 BDSG ist dann ausreichende Zulässigkeitsnorm, wenn sich die konzerninterne Daten-Übermittlung aus dem Arbeitsvertragszweck rechtfertigt. Dies ist jedoch nur gegeben, wenn der Betroffene auch in einer Rechtsbeziehung zu dem Konzern-Unternehmen steht, zu dem die Daten übermittelt werden sollen. Dies ist auch bei konzerndimensionalen Arbeitsverhältnissen gegeben.

Ein Abteilungsleiter hat in seinem Arbeitsvertrag die Bereitschaft erklärt, auch in anderen Unternehmen des Konzerns eingesetzt zu werden. Dann rechtfertigt der Arbeitsvertragszweck die Übermittlung der hierfür erforderlichen Personaldaten an andere Konzern-Unternehmen. Der Arbeitsvertragszweck begründet auch dann die Übermittlung, wenn bestimmte Entscheidungskompetenzen im Rahmen einer Funktionsübertragung an eine andere Konzern-Gesellschaft übertragen wurden. Es muss sich hierbei jedoch um abgegrenzte Zuständigkeiten handeln, die vom Betroffenen als solche erkennbar sind.

Frage nach Krankheiten zulässig?

Strittig ist hingegen die Anwendbarkeit des § 28 Abs. 1 Satz 1 Nr. 2 und Abs 3 Satz 1 Nr. 1 BDSG (überwiegende berechtigte Interessen der verantwortlichen Stelle bzw. Dritter). Einzelne Juristen sehen hierdurch den Verzicht des Gesetzgebers auf das datenschutzrechtliche Konzernprivileg ausgehebelt. Anders äußern sich die Aufsichtsbehörden für den nicht-öffentlichen Bereich, die eine Übermittlung auf Basis der genannten Vorschriften jedenfalls dann als zulässig betrachten, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der Arbeitnehmer treffen. Das Ergebnis der Abwägung fällt dennoch zugunsten der berechtigten Interessen der Konzernunternehmen aus.

Genannt werden z. B. die Schaffung eines konzernweiten Datenschutzkonzepts sowie Maßnahmen zu Sicherstellung von Transparenz und Betroffenenrechten. Entsprechende Regelungen müssten sowohl zwischen den beteiligten Konzernunternehmen als auch im Verhältnis zu den Arbeitnehmern verbindlich vereinbart werden.

Auch eine Betriebsvereinbarung als andere Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG kann die Übermittlung rechtfertigen. Hierbei ist jedoch zu beachten, dass die Schutzwirkung von Betriebsvereinbarun-gen sich generell am Schutzniveau des BDSG ausrichten muss.

Betriebsvereinbarungen können vom BDSG abweichen, wenn sie die dort getroffenen Regelungen durch Schutzvorkehrungen ersetzen, die den besonderen Beschäftigungsbedingungen angepasst, mindestens ebenso weitreichend sind.

Des Weiteren haben sich auch die Betriebsvereinbarungen am Grundsatz der Erforderlichkeit der Datenübermittlung auszurichten. Bei Kontrollen der Aufsichtbehörden wird dies regelmäßig Prüfungs-Gegenstand sein. Es müssen daher Möglichkeiten der Anonymisierung und Pseudonymisierung in Betracht gezogen werden.

Wird die konzernweite Planung von Personalbedarf und -kosten je Tochterunternehmen, Standort oder Funktionsbereich durch eine zentrale Personalabteilung der Muttergesellschaft übernommen, werden regelmäßig anonymisierte Daten für die Erfüllung der Aufgaben ausreichend sein. Befindet sich das Empfänger-Unternehmen zusätzlich in einem Land ohne ein dem BDSG vergleichbares Datenschutz-Niveau,sind zunächst Vorkehrungen zur Schaffung eines entsprechenden Schutzniveaus zu treffen.

Datenschutzrechtliche Hinweise für Betriebe

• Prüfung, ob lediglich eine Auftragsdatenverarbeitung vorliegt
• Beachtung zwischen verbundenen Unternehmen der Erfüllung der vertraglichen Anforderungen aus § 11 BDSG
• Prüfung konzerndimensionaler Arbeitsverhältnisse vorliegen oder der Funktionsübertragung bestimmter Entscheidungskompetenzen; ist dies nicht der Fall, so ist eine Betriebsvereinbarung abzuschließen
• Prüfung, welche Daten im Rahmen der Aufgaben vom Empfängerunternehmen tatsächlich benötigt werden und ob diese ggf. anonymisiert werden können
• Festlegung der Datenkategorien in einer Betriebsvereinbarung.
• Berücksichtigung der Betroffenenrechte, insbesondere der Unterrichtung der Betroffenen
• Prüfung der eingesetzten Systeme auf erforderliche Datensicherungsmaßnahmen
• Prüfung der Beschränkungen für Datenübermittlungen in unsichere Drittstaaten
• Einbindung des Betriebsrats mit ein gemäß des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG