Weitergabe von Beschäftigtendaten im Konzern – Eine bisher unentdeckte Baustelle

PrintMailRate-it
veröffentlicht am 7. August 2018; Autoren: Christoph Kurzböck, Maximilian S. Dachlauer
 
Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Offen sind weiterhin zahlreiche Fragestellungen, insbesondere im Beschäftigtendatenschutz. Gerade Beschäftigtendaten sind besonders sensibel und daher zu schützen. Dazu gehört auch, dass die durch das Beschäftigungs­verhältnis erhaltenen Daten nicht generell durch eine Gesellschaft als Arbeitgeber innerhalb eines Konzerns an andere Gesellschaften weitergegeben werden können. Einen Überblick, wie das künftig in der Praxis gehandhabt werden kann, gibt der nachfolgende Beitrag. 
 

 

Nicht selten werden Beschäftigtendaten einer Gesellschaft im Rahmen einer bestehenden Konzern­struktur an andere Gesellschaften innerhalb des Konzerns weitergegeben. Nach dem alten Bundes­datenschutzgesetz (BDSG-alt) war das jedoch nicht ohne eine Rechtsgrundlage möglich. Nach § 3 Abs. 8 BDSG-alt verhielten sich Konzernunternehmen zueinander wie „Dritte”, es bestand daher kein Konzernprivileg. Für eine Daten­über­mittlung innerhalb der Konzernstruktur war eine gesetzliche Erlaubnis, eine Einwilligung oder eine Auftrags­daten­verarbeitung erforderlich. Nach der DSGVO soll heute zumindest ein sog. „kleines Konzernprivileg” bestehen. Zwar ist das nicht ausdrücklich in der DSGVO geregelt, dennoch erkennen zumindest die Erwägungsgründe zur DSGVO das Interesse eines Konzerns oder Unternehmensgruppe an einem internen Datenaustausch ausdrücklich als berechtigt an. Abgeleitet und begründet wird das explizit mit Erwägungsgrund 48 zur DSGVO. Er regelt, dass Beschäftigtendaten für interne Verwaltungszwecke aufgrund eines berechtigten Interesses weiter­gegeben werden können. Dabei erfordert die Weitergabe jedoch ein hohes Maß an Transparenz gegenüber den Beschäftigten.
 

Konzern oder Unternehmensgruppe

Was einen Konzern juristisch definiert darstellt, regelt § 18 AktG. Demnach ist ein Konzern eine Zusammen­fassung mehrerer selbstständiger Unternehmen zu einer wirtschaftlichen Einheit unter gemeinsamer Leitung. Auch die DSGVO versteht nach Art. 4 Nr. 19 unter einer Unternehmensgruppe eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.
 

Rechtsgrundlage im Konzern

Grundsätzlich ist für die Weitergabe  –  wie auch bei der Verarbeitung  –  von Beschäftigtendaten innerhalb eines Konzern oder einer Unternehmensgruppe eine Rechtsgrundlage erforderlich. Sie kann sich aufgrund eines berechtigten Interesses aus einer gesetzlichen Rechtsgrundlage, aus einer Auftrags­verarbeitungsvereinbarung oder einer Einwilligung ergeben. Dabei kann die Einwilligung kollektivrechtlich durch Abschluss einer Betriebs­vereinbarung oder gar einer Konzernbetriebsvereinbarung erfolgen. Findet innerhalb des Konzerns bspw. die Lohnabrechnung zentral über eine Gesellschaft statt, kann eine Auftragsverarbeitung mit der zentral abrechnenden Gesellschaften sinnvoll bzw. gar erforderlich sein. Bei der individualvertraglichen Einwilligung des einzelnen Arbeitnehmers ist jedoch zu beachten, dass sie unter dem jederzeitigen Widerrufsrecht steht. Die Rechtsgrundlage für eine Weitergabe im Konzern sollte daher bestenfalls nicht bzw. nur im absoluten Ausnahmefall auf einer Einwilligung des einzelnen Arbeitnehmers beruhen.
 

Kleines Konzernprivileg

Vor der DSGVO galt kein Konzernprivileg  –  d.h., Beschäftigtendaten durften nicht lediglich aufgrund der Tatsache, dass sie innerhalb eines Konzerns erhoben, verarbeitet oder gespeichert wurden, innerhalb der Gesellschaften weitergegeben werden. Das strenge Verbot eines gewissen Automatismus einer Weiter­gabe von Beschäftigtendaten soll durch die DSGVO etwas aufgelockert worden sein. So soll heute ein sog. „kleines Konzernprivileg” gelten. Abgeleitet wird das Konzernprivileg aus dem Erwägungsgrund 48 zur DSGVO, der bei der Auslegung unionsrechlticher Vorschriften grundsätzlich zu berücksichtigen ist.
 
Aber Achtung: Auch durch die gewisse Auflockerung der vormals geltenden strengen Regelung ist nach wie vor keine willkürliche und umfassende Weitergabe von Beschäftigtendaten innerhalb des Konzerns möglich. Sie soll nur dann erfolgen, wenn es zu verwaltungsinternen Zwecken erforderlich ist. Dazu muss ein berechtigtes Interesse des Unternehmens bestehen, das das Interesse des Betroffenen überwiegt. Das ist bei einer Interessensabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu prüfen. Bei konzern­abhängigen Unternehmen in Drittstaaten gelten nach wie vor zusätzliche Anforderungen (Art. 44 ff. DSGVO).

Bitte beachten Sie:

  • Es sollte innerhalb des Konzerns geprüft werden, ob überhaupt Beschäftigtendaten weitergegeben werden, denn nur dann besteht die Notwendigkeit einer Regelung.
  • Für die Weitergabe ist eine Rechtsgrundlage erforderlich. Es sollte überprüft werden, wie sie am besten auszugestalten ist.
  • Die Ausgestaltung hängt insbesondere auch von dem Umfang der Weitergabe und den jeweiligen Daten ab.
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu