Datenübermittlung im Konzern, geht das einfach so?

Insbesondere große, weltweit agierende Konzerne mit einer einheitlichen Personalinformationssoftware (bspw. SuccessFactors, Workday) verschieben personenbezogene Daten ihrer Beschäftigten ebenfalls weltweit und zwischen den unterschiedlichen Konzernunternehmen. Wo aber ist die Rechtsgrundlage für diese Datenverarbeitung?

Rechtsgrundlagen

Nach neuem Datenschutzrecht gilt das sogenannte Verbot mit Erlaubnisvorbehalt, Art. 6 Absatz 1 DS-GVO. Daraus folgt zunächst, dass jede Datenverarbeitung ohne Rechtsgrundlage verboten ist. Rechtsgrundlage für eine Datenverarbeitung können sich grundsätzlich aus Art. 6 DS-GVO oder den folgenden Rechtsquellen ergeben:

Gesetz

  • §26 BDSG
  • §22 BDSG (besondere Kategorien personenbezogener Daten)

Betriebsvereinbarung

  • Nicht unterhalb der Datenschutzgrundverordnung
  • Unter Beachtung der Grundsätze aus Art.88 Abs.2
  • Verbesserung ist möglich

Einwilligung

  • Nach §26 Abs.2 BDSG nur eingeschränkt möglich
  • Widerrufsmöglichkeit

Auch für die Datenverarbeitung im Konzern bedarf es einer Rechtsgrundlage, da die Konzernunternehmen im Verhältnis zueinander Dritte im Sinne der DS-GVO sind. Dies gilt auch im Verhältnis zur Konzernmutter.

Wege der DS-GVO

Das ursprünglich im Gesetzesentwurf enthaltene große Konzernprivileg ist zum Ende des Gesetzgebungsverfahrens nicht in der DS-GVO verankert worden. Danach sollten ohne Weiteres personenbezogen Daten zwischen den Unternehmen eines Konzerns ausgetauscht werden können. Der europäische Gesetzgeber definiert nunmehr aber die sogenannte „Unternehmensgruppen“ und erkennt grundsätzlich an, dass es innerhalb der Gruppe ein berechtigtes Interesse an der Datenübermittlung geben kann. Man spricht hier vom kleinen Konzernprivileg. Nach Erwägungsgrund 48 könne ein berechtigtes Interesse an der Übermittlung für interne Verwaltungszwecke bestehen.
Alleine dieses grundsätzliche Anerkenntnis eines berechtigten Interesses stellt jedoch noch keine Rechtsgrundlage für die Verarbeitung dar. Selbst wenn sich der Arbeitgeber auf die Generalklausel des Art. 6 Absatz 1 DS-GVO berufen sollte, muss nach dessen Voraussetzungen eine Abwägung der widerstreitenden Interessen des Unternehmens und den Persönlichkeitsrechten der betroffenen Arbeitnehmer erfolgen.

Fazit

Eine Datenübertragung zwischen den Konzernunternehmen ist nicht ohne Rechtsgrundlage zulässig. Üblicherweise wird dies im Rahmen bilateraler Verträge zwischen den Unternehmen und über den Abschluss von Betriebsvereinbarungen zur Einführung neuer technischer Einrichtungen umgesetzt. Arbeitgeber sind gut beraten den Betriebsrat hier einzubinden, da er als Verantwortlicher der Datenverarbeitung das Haftungsrisiko trägt und eine rechtssichere Grundlage für die Datenverarbeitung am ehesten durch Betriebsvereinbarungen geschaffen werden kann.

Nicolas Ballerstaedt
Abt. Mitbestimmung