Die Anzahl großer auch multinationaler Konzerne wächst weiter. Zugleich verstärken sich die Tendenzen zur konzernweit ausgerichteten Personalverwaltung. Während Konzerne sich als wirtschaftliche Einheit verstehen, ist für das Datenschutzrecht das einzelne Unternehmen maßgeblich. Es besteht in Deutschland kein Konzernprivileg. Übermittlungen zwischen rechtlich selbständigen Unternehmen sind nur unter besonderen Voraussetzungen zulässig. Hierzu hat der Düsseldorfer Kreis im November 2009 Voraussetzungen aufgestellt, die im Folgenden erläutert werden.

Datensparsamkeit

Grundsätzlich sollte unter Berücksichtigung der Datensparsamkeit (§ 3 a BDSG) vorab durch das verantwortliche Unternehmen geprüft werden, ob der mit der Weitergabe von personenbezogenen Daten an andere Konzern-Unternehmen verfolgte Zweck auch mit Pseudonymisierung oder Anonymisierung der Daten erreicht werden kann.

Auftragsdatenverarbeitung

Wird ein Konzern-Unternehmen als Auftragsdatenverarbeiter für ein oder mehrere andere Konzernunternehmen im Rahmen einer Hilfsfunktion weisungsgebunden tätig, so sind Auftraggeber und Auftragnehmer im Verhältnis zueinander nicht „Dritte“, so bleibt der Auftraggeber verantwortliche Stelle und die Datenweitergabe zwischen beiden stellt keine „Übermittlung“ dar (§ 3 Abs. 8 Satz 3 BDSG, § 3 Abs. 4 Nr. 3 BDSG). Es ist auch nicht generell anzunehmen, dass eine Konzern-Ober- bzw. Muttergesellschaft als Auftragnehmer fungiert. Dennoch wird es meist nicht der Fall sein, da die Konzernmutter meist eigenständigen Nutzungsrechten an den vom Auftraggeber zur Verfügung gestellten Daten haben will.

Funktionstrennung

Wenn hingegen eine ganze Funktion zur eigenverantwortlichen Wahrnehmung übertragen wird, wird der Datenverarbeiter selbst zur verantwortlichen Stelle. Die personenbezogenen Daten werden an ihn übermittelt. Dieser Fall soll hier betrachtet werden. Worin kann eine Rechtsgrundlage gesehen werden?

Erlaubnis aus der Zweckbestimmung des Vertrages.(§ 28 Abs. 1 Satz 1 Nr. 1 BDSG)

Das Erfordernis der „Zweckbestimmung“ des Arbeitsvertrages i.S.d. § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist erfüllt, sofern der Arbeitsvertrag bei Vertragsschluss ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht.

Berechtigtes Interesse der verantwortlichen Stelle (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG)

Grundsätzlich ist von einem vorangingen Interesse des Betroffenen an keiner Weitergabe auszugehen. Eine Übermittlung könnte sich jedoch dann im Rahmen des berechtigten Interesse des weitergebenden Konzernunternehmens rechtfertigen lassen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der Arbeitnehmer treffen. So kann das Ergebnis der Abwägung zugunsten der berechtigten Interessen der Konzernunternehmen ausfallen. Dies ist im Einzelfall zu entscheiden. Es kommen folgende Komponenten für die Betrachtung des Einzelfalles in Frage:

  • konzernweites Datenschutzkonzept;
  • einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen;
  • koordinierte Sicherheitsmaßnahmen;
  • der Verarbeitungsverlauf muss für die Betroffenen transparent sein;
  • der Arbeitgeber muss umfassender Ansprechpartner für den Arbeitnehmer bleiben, d.h. auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einstehen.

Die Regelungen müssen zwischen den Konzernunternehmen verbindlich getroffen werden, z.B. durch Verträge oder in Form von Unternehmensregelungen. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden. Soweit die hier genannten Voraussetzungen eingehalten werden können auch Besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) nach § 28 Abs. 6 Nr. 3 BDSG übertragen werden.

Einwilligung als Rechtsgrundlage

Eine Einwilligung des Beschäftigten sollte nur in den Fällen in Anspruch genommen werden, in denen dieser eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus.

Betriebsvereinbarungen

Wenn mit Hilfe von Betriebsvereinbarungen die oben beim Berechtigten Interesse der verantwortlichen Stelle genannten Anforderungen erfüllt sind bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung.

Bitte bewerten Sie diese Inhalte!
[6 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.