Die Beauftragte für den Datenschutz und die Informationsfreiheit

Beschäftigtendaten im Konzern

Innerhalb von Konzernen sind Datenflüsse von Mitarbeiterdaten von großer praktischer Relevanz. Dabei geht es häufig um den Zugriff des Mutterkonzerns auf Daten der Töchter oder um eine konzernweite einheitliche Personalverwaltung, aber auch um den konzernweiten Zugriff auf die Mitarbeiterdaten im Rahmen von konzernumfassenden Personaldatenpools.

Zwar gibt es keine allgemein und für alle Rechtsbereiche gültige Definition des Begriffs "Konzern". Soll es aber, wie im Folgenden, um die Übermittlung von Mitarbeiterdaten innerhalb eines "Konzerns" gehen, so kann unter einem Konzern ganz allgemein die Verflechtung von Unternehmen in der Form verstanden werden, dass die Unternehmen rechtlich selbständig, aber wirtschaftlich und finanziell miteinander verbunden sind. Häufig – aber nicht in jedem Fall – liegt die Leitung des Konzerns bei einem herrschenden Unternehmen (Mutterunternehmen), das Einfluss auf die wirtschaftlichen und finanziellen Entscheidungen bei den anderen Unternehmen (Töchterunternehmen) nimmt (siehe § 18 Aktiengesetz).

Zunächst gibt es datenschutzrechtlich grundsätzlich kein Konzernprivileg. Die rechtlich selbständigen Unternehmen innerhalb eines Konzerns sind somit aus datenschutzrechtlicher Sicht im Verhältnis zueinander eigenständige Dritte. Jede Weitergabe von Daten zwischen ihnen ist daher eine Datenübermittlung an Dritte. Dies gilt auch für Mitarbeiterdaten. Es ist dabei nicht von Bedeutung, ob der Konzern eine konzerneinheitliche Personalpolitik anstrebt.

Wenn die Konzernmutter dennoch beispielsweise die gesamte Personalverwaltung für alle selbständigen Konzerntöchter eigenverantwortlich erledigen will oder Beschäftigtendaten aus anderem Grund innerhalb des Konzerns übermittelt werden sollen, ist also zunächst eine Rechtsgrundlage nötig, die die Datenübermittlung erlaubt. Zusätzlich zu dem Erfordernis einer solchen Rechtsgrundlage bestehen Besonderheiten, wenn die Daten an ein Konzernunternehmen mit Sitz im Ausland übermittelt werden sollen.

Voraussetzungen des § 32 Absatz 1 BDSG

Als Rechtsgrundlage für die Übermittlung kommt zunächst § 32 Absatz 1 BDSG in Betracht. Diese Vorschrift setzt voraus, dass die Datenübermittlung für die Begründung, Durchführung oder Beendigung des jeweiligen Beschäftigungsverhältnisses erforderlich ist. Allgemeine Konzerninteressen reichen  allerdings nicht aus, um eine solche Übermittlung zu rechtfertigen. In Bezug genommen werden muss stets das einzelne Arbeitsverhältnis. Eine Datenübermittlung innerhalb eines Konzerns ist daher auf der Grundlage von § 32 BDSG nur in Ausnahmefällen denkbar. So käme eine Datenübermittlung in Beschäftigungsverhältnissen mit Konzernbezug dann in Betracht, wenn

  • Führungskräften konzernweit eingesetzt werden (sollen),
  • gemeinsame Arbeits-/Projektgruppen mit Mitarbeitern aus mehreren Konzernunternehmen geschaffen werden (sollen).

Auch wenn bereits arbeitsvertraglich ein konzernweiter Einsatz des Arbeitnehmers vorgesehen ist, wäre die Übermittlung der maßgebenden Personaldaten zulässig.

Regelung durch Betriebsvereinbarung

Liegen die Voraussetzungen des § 32 Absatz 1 BDSG nicht vor, so kommt als Rechtsgrundlage für konzernweite Datenübermittlungen der normative Teil von Betriebsvereinbarungen in Betracht. Dabei darf jedoch  das vom BDSG gewährleistete Schutzniveau nicht mit Hilfe von Betriebsvereinbarungen unterschritten werden. Diese dürfen zwar vom BDSG abweichen, doch nur soweit, wie sie die dort getroffenen Regelungen durch Schutzverordnungen ersetzen, die den im jeweiligen Unternehmen spezifischen Beschäftigungsbedingungen besser angepasst sind, allerdings mindestens auch so weitreichend sind. Soll keine Betriebsvereinbarung zur Schaffung einer Rechtsgrundlage für die Datenübermittlung abgeschlossen werden, etwa weil eine solche im konkreten Fall schon nach § 32 Absatz 1 BDSG zulässig ist, so wird der Betriebsrat in der Regel dennoch zu beteiligen sein. Da die konzerninternen Datenflüsse regelmäßig auf der Grundlage automatisierter Datenverarbeitung erfolgen, unterliegen sie der Mitbestimmung nach dem Betriebsverfassungsgesetz (§ 87 Absatz 1 Nummer 6 BetrVG).

Einwilligung

Außerdem kann die Datenübermittlung auf der Grundlage einer Einwilligung des betroffenen Beschäftigten erfolgen (§§ 4 Absatz 1, 4a BDSG). Diese muss den Anforderungen des § 4a BDSG genügen, insbesondere also auf der freien Entscheidung des Betroffenen beruhen. Gerade an der Freiwilligkeit wird es jedoch aufgrund des spezifischen Machtgefälles im Arbeitsverhältnis häufig fehlen. Die Frage, ob die Einwilligung tatsächlich freiwillig erfolgte, verdient daher ganz besondere Beachtung.

Personaldatenfluss im Rahmen einer Auftragsdatenverarbeitung

Von großer praktischer Bedeutung sind schließlich die Regelungen der Auftragsdatenverarbeitung in § 11 BDSG. Eine Auftragsdatenverarbeitung wird für die Fälle angenommen, in denen die technische Abwicklung der Datenverarbeitung auf den Auftragnehmer übertragen wird, während die inhaltliche Verantwortung für die Aufgabenerfüllung beim Auftraggeber verbleibt. Dies hat für den Konzern den Vorteil, dass es sich bei den konzernweiten Datenflüssen dann gerade nicht um Übermittlungen handelt, sondern um eine quasi „interne Angelegenheit“, denn der Auftragnehmer ist kein „Dritter“ (§ 3 Absatz 8 BDSG). Konzerne machen daher davon gerne Gebrauch. Betreibt ein Konzernunternehmen zum Beispiel ausschließlich die Datenverarbeitung für die übrigen Konzernfirmen als Dienstleistungsunternehmen, so wird dies als Auftragsdatenverarbeitung qualifiziert. Dies ist jedoch nicht möglich, wenn der Auftragnehmer seinen Sitz in einem Staat außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes (Island, Lichtenstein, Norwegen) hat (Drittstaat). Es handelt sich hierbei vielmehr um eine Datenübermittlung, d.h. um eine Bekanntgabe personenbezogener Daten an Dritte.

Für das Unternehmen ist die Auftragsdatenverarbeitung allerdings nicht immer von Vorteil und vor allem datenschutzrechtlich nicht so regelfrei, wie oft angenommen wird. So hat eine Auftragsdatenverarbeitung etwa zur Konsequenz, dass der Auftragnehmer bei der Verarbeitung bestimmte Grenzen beachten und der Auftraggeber den Auftragnehmer kontrollieren können muss. Wenn in einem Konzern etwa das Mutterunternehmen für die angeschlossenen Töchter eine zentrale Personalverwaltung im Sinne einer Auftragsdatenverarbeitung betreiben will, muss sichergestellt sein, dass die Töchter den Mutterkonzern bei dieser Verarbeitung kontrollieren können, da die Töchterunternehmen die eigentlich Verantwortlichen für die Personaldaten ihrer Beschäftigten sind und bleiben. Dies dürfte in der Praxis bereits wegen des Machtgefälles innerhalb der Konzerne kaum vorstellbar sein. Auch müssten die jeweiligen betrieblichen Datenschutzbeauftragten der Töchterkonzerne die Einhaltung der Vorschriften des Datenschutzes beim Mutterkonzern sicherstellen. Dies bedeutet, dass die betrieblichen Datenschutzbeauftragten bei der Auswahl eines Auftragnehmers und bei der Auftragsvergabe regelmäßig unter Datensicherungsgesichtspunkten zu beteiligen wären und über eine Aufstellung der verschiedenen Auftragsdatenverarbeitungsverträge ihres Unternehmens verfügen beziehungsweise davon in anderer Weise unmittelbar Kenntnis erlangen können müssten.

Entsprechendes würde sich aus den Kontroll- und Unterrichtungsrechten der Mitarbeitervertretung ergeben, die auch im Falle der Auftragsdatenverarbeitung von Personaldaten bestehen und vom Arbeitgeber gegenüber dem Auftragnehmer gewährleistet werden müssen (§ 80 Abs. 1 Nr. 1 und Abs. 2 BetrVG).

Soll in einem Konzern die Personalverwaltung von dem Mutterunternehmen durchgeführt werden, so könnten alternativ schließlich die jeweiligen Arbeitsverträge direkt mit dem Mutterunternehmen als datenverarbeitende Stelle geschlossen werden. Dies kann aber weitreichende Folgen etwa im Falle von Kündigungen haben, da Vertragspartner des Beschäftigten in diesem Fall nicht das selbständige Tochterunternehmen, sondern allein der Mutterkonzern wäre.