activeMind AG Internationaler Datenverkehr mittels Betriebsvereinbarung

Konzerne sind meist auf eine konzernweite IT-Infrastruktur, beispielsweise ein ERP- oder CRM-System, angewiesen. Die große Herausforderung besteht darin, einen aus Sicht des Datenschutzes rechtskonformen Einsatz zu gewährleisten, ohne dabei größeren technischen oder organisatorischen Aufwand zu erzeugen oder den Datentransfer zu beschränken. Ein geeignetes Mittel dafür kann eine Betriebsvereinbarung sein, deren Form und Inhalte hier erläutert werden.

Was schreibt der Datenschutz beim konzerninternen Datentransfer vor?

Das grundlegende Problem ist, dass das deutsche und wohl auch das sich anbahnende europäische Datenschutzrecht kein Konzernprivileg vorsehen, das einen freien Datenaustausch im Konzern ermöglichen würde. Vielmehr sind auch Datentransfers zwischen unternehmerischen Müttern und Schwestern den gleichen Regeln unterworfen, wie zwischen beliebigen fremden Unternehmen.

Daher müssen auch Konzernunternehmen mit Niederlassung(en) in Deutschland mit den Instrumenten auskommen, die das deutsche Rechtssystem zur Verfügung stellt. Dies sind als mögliche Rechtsgrundlagen

  1. die Einwilligung der Betroffenen,
  2. das Stützen auf einen gesetzlichen Erlaubnistatbestand oder
  3. der Abschluss einer Betriebsvereinbarung.

Mangels Praktikabilität kann die Einwilligung bereits im Vorfeld außer Acht gelassen werden. Auch das Stützen auf einen gesetzlichen Erlaubnistatbestand ist meist nicht empfehlenswert, da diese regelmäßig auf einer Interessenabwägung basieren, deren positiver Ausgang für jede einzelne Datenübertragung erneut festgestellt werden müsste. Daher bleibt oft allein die Betriebsvereinbarung als sinnvolle rechtliche Gestaltungsmöglichkeit.

Die Betriebsvereinbarung als Form einer Einwilligungserklärung

Die Betriebsvereinbarung stellt eine sogenannte „andere Rechtsvorschrift“ nach § 4 Abs. 1 BDSG dar und kann somit grundsätzlich eine Datenweitergabe rechtfertigen. Sie ist (nicht-juristisch) als eine Art kollektive Einwilligungserklärung aller Mitarbeiter zu sehen. Die Betriebsvereinbarung ist deshalb unter anderem auch dem Transparenzgebot, das für Einwilligungserklärungen gilt, unterworfen. Für die Betroffenen muss also aus der Betriebsvereinbarung klar hervorgehen, wer welche Daten zu welchem Zweck verarbeitet.

Behördliche Anforderungen an die Betriebsvereinbarung

Folgende Mindestanforderungen stellen die Aufsichtsbehörden an eine Betriebsvereinbarung, die als Legitimationsgrundlage für den konzernweiten Datenaustausch fungieren soll:

1. Schaffung eines konzernweiten Datenschutzkonzepts

Ein konzernweites Datenschutzkonzept soll zum einen die konkreten Zwecke festlegen, zu denen personenbezogene Daten im Konzern verarbeitet werden dürfen. Hierdurch wird der Arbeitnehmer auf organisatorischer Ebene davor geschützt, dass seine personenbezogenen Daten in nach deutschen Gesetzen rechtswidriger Art und Weise ausgewertet werden. Zum anderen sollen auch technisch-organisatorische Maßnahmen festgelegt werden, die den Schutz der Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten sollen.

2. Transparenz bzgl. des Verarbeitungsverlaufs der Daten

Da jede Verarbeitung von personenbezogenen Daten eines Mitarbeiters im Konzern grundsätzlich einen (wenn auch gerechtfertigten) Verstoß gegen das informationelle Selbstbestimmungsrecht darstellt, muss für den Mitarbeiter zumindest erkenntlich sein, von wem, auf welche Art und zu welchem Zweck seine Daten verarbeitet werden. Eine solche Schaffung geeigneter Transparenz-Maßnahmen ist Grundvoraussetzung dafür, dass der Mitarbeiter seine Betroffenenrechte überhaupt wahrnehmen kann.

3. Arbeitgeber bleibt Verantwortlicher für personenbezogene Daten

Der eigene Arbeitgeber muss umfassender Ansprechpartner des Arbeitnehmers bleiben, dessen Daten im Konzern verarbeitet werden. Diese Anforderung dient ebenso wie das Transparenzgebot der Wahrnehmung der Rechte der Mitarbeiter. Denn gäbe es den eigenen Arbeitgeber nicht als zentralen Ansprechpartner, so müssten die Mitarbeiter sich unmittelbar an das datenverarbeitende Unternehmen wenden, was oftmals mit Sprachbarrieren oder auch Problemen bei der Auffindung eines zuständigen Ansprechpartners verbunden wäre. Um dies zu verhindern, werden diese Probleme auf den eigenen Arbeitgeber abgewälzt.

Verbindlichkeit der & Zuständigkeit für die Betriebsvereinbarung

Soll eine Betriebsvereinbarung konzernweit Transfer und Verarbeitung von Daten legitimieren, ist sicherzustellen, dass dafür überhaupt die notwendigen Befugnisse der Vertragspartner vorliegen. Denn die Zuständigkeit des eigenen Betriebsrats endet an der Unternehmensgrenze. Das heißt, der Betriebsrat kann Verarbeitungen im eigenen Unternehmen regeln; es ist ihm aber nicht möglich, über die Rechte der eigenen Mitarbeiter hinsichtlich der Datenverarbeitung durch andere konzernangehörige Unternehmen zu bestimmen.

Infrage kommt deswegen nur eine Konzernbetriebsvereinbarung. Für den Abschluss einer solchen Regelung muss jedoch – sofern ein solcher existiert – der Konzernbetriebsrat herangezogen werden. Denn nur ein solches Gremium kann eine vertragliche Bindung aller konzernangehörigen Unternehmen herstellen.

Betriebsvereinbarung gilt nur für Beschäftigte

Zu guter Letzt noch der Hinweis, dass eine Betriebsvereinbarung stets nur Wirkung für Beschäftigte haben kann. Abgesehen von Konzernbetriebsvereinbarungen sind auch nur die Kollegen in einem konkreten Betrieb erfasst, für den die Betriebsvereinbarung gilt. Niemals können jedoch Rechtsverhältnisse von Bewerbern oder Dritten, externen Personen, mit einer Betriebsvereinbarung geregelt werden.

Bitte bewerten Sie diese Inhalte!
[7 Bewertung(en)/ratings]