open search
close
Arbeitsrecht 4.0 Compliance Datenschutz Matrix Unternehmensführung

Mitarbeiterdaten konzernweit nutzen nach der EU-Datenschutz-Grundverordnung

Print Friendly, PDF & Email
DSGVO

Ob Matrixstrukturen, Office 365 oder Personalmanagementsoftware: Die konzernweite Nutzung von Beschäftigtendaten ist relevanter denn je. Datenschutzrecht wird hierbei üblicherweise als Blockade wahrgenommen, doch mit Inkrafttreten der EU-Datenschutz-Grundverordnung zum 25. Mai 2018 verbessert sich die Situation für Konzerne…

Konzernprivileg nach der EU-Datenschutz-Grundverordnung?

Konzernprivileg bedeutet, dass Konzerngesellschaften personenbezogene Daten untereinander austauschen können, ohne dass die besonderen Vorgaben der Datenschutzgesetze beachtet werden müssen. Nach dem derzeit noch geltenden Bundesdatenschutzgesetz besteht ein Konzernprivileg nicht; Konzerngesellschaften werden wie sonstige Dritte behandelt. Wenn sie Mitarbeiterdaten etwa zum Zwecke der Personalplanung austauschen wollen, bedarf es daher eines Erlaubnistatbestands, beispielsweise in Form einer (Konzern-)Betriebsvereinbarung.

Ändert sich das mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DS-GVO)? Jein. Einerseits enthält der Gesetzestext der EU-DS-GVO nach wie vor kein ausdrückliches Konzernprivileg, so dass für den Datenaustausch weiterhin eine Erlaubnis nach der EU-DS-GVO notwendig ist. Andererseits steht in Erwägungsgrund Nr. 48 der EU-DS-GVO wörtlich (Hervorhebung nicht im Original):

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind[,] können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Danach gilt: Für „interne Verwaltungszwecke“ ist der Austausch von Beschäftigtendaten anerkannt.


Und was heißt das konkret? Werden Mitarbeiterdaten anderen Konzernunternehmen für dessen eigene Zwecke zur Verfügung gestellt, kommt üblicherweise eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 lit. f) EU-DS-GVO in Betracht. Danach ist die Datenverarbeitung rechtmäßig, wenn dies zur Wahrung berechtigter Interessen erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es muss also eine Abwägung zwischen den Interessen des Konzerns sowie den Rechten der Mitarbeiter stattfinden. Im Rahmen dieser Abwägung können Konzerne anführen, dass „interne Verwaltungszwecke“ aufgrund der ausdrücklichen Erwähnung in Erwägungsgrund Nr. 48 besonders gewichtige Interessen darstellten, hinter denen Mitarbeiterrechte grundsätzlich zurückstehen müssten.

Zwar bedeutet das nicht, dass allein „interne Verwaltungszwecke“ den Datenaustausch innerhalb des Konzerns in jedem Fall rechtfertigen werden. Soweit Konzerne aber flankierende Maßnahmen insbesondere zum Schutz der Daten ergreifen, wird eine Rechtfertigung meist gelingen, weil die Abwägung insgesamt zu Gunsten der Konzerne ausgeht.

Was sind „interne Verwaltungszwecke“?

Ungeklärt ist hierbei, was unter „internen Verwaltungszwecken“ zu verstehen ist. Gute Argumente für das Vorliegen „interner Verwaltungszwecke“ lassen sich jedenfalls häufiger finden, als man auf den ersten Blick glauben mag: In Matrixstrukturen kann der „interne Verwaltungszweck“ üblicherweise mit der strukturellen Eigenheit der Matrixstruktur begründet werden, die den Zugriff auf Mitarbeiterdaten notwendig macht. Bestimmte Austausch- und Kommunikationsmodule bei Office 365 können ebenfalls im weiteren Sinne einem „internen Verwaltungszweck“ dienen. Und für Personalmanagementsysteme kann der „interne Verwaltungszweck“ jedenfalls für die Kernelemente wie Bonusberechnungen nachvollziehbar begründet werden.

Fazit: Potenzial der EU-DS-GVO nutzen

So kritisch man die EU-DS-GVO auch sehen mag – Konzerne haben es zukünftig leichter, einen konzerninternen Mitarbeiterdatentransfer rechtmäßig aufzustellen. Soweit keine Mitbestimmungsrechte betroffen sind, kann sogar eine Betriebsvereinbarung, die sonst als datenschutzrechtlicher Erlaubnistatbestand notwendig gewesen wäre, obsolet werden.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Partner
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Compliance Datenschutz Neueste Beiträge

Neues EuGH-Urteil zum Datenschutz: Betriebsvereinbarungen müssen umfassend DSGVO-konform sein

Im Beschäftigungskontext können Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten herangezogen werden. Die Betriebsparteien dürfen eine Datenverarbeitung jedoch nicht beliebig legitimieren. Vielmehr müssen die Vorgaben der DSGVO als Mindeststandard eingehalten werden. Eine Datenverarbeitung, die nach den gesetzlichen Erlaubnistatbeständen unzulässig wäre, kann damit nicht auf eine Betriebsvereinbarung gestützt werden. Dies hat der EuGH in einer aktuellen Entscheidung klargestellt. Nach Art. 88 Abs. 1 DSGVO können…
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Individualarbeitsrecht Neueste Beiträge

Leiharbeit: Beschränkung des Konzernprivilegs („und“ meint „oder“)

Innerhalb des Konzerns ist die Arbeitnehmerüberlassung privilegiert; das Arbeitnehmerüberlassungsgesetz (AÜG) findet nur sehr eingeschränkt Anwendung. Seit langem steht in der Diskussion, ob diese Privilegierung wirksam und wie sie auszulegen ist. Das Bundesarbeitsgericht (BAG) hat jedenfalls zu dem letztgenannten Punkt nunmehr Klarheit geschaffen – mit Folgen für die Praxis! Die Arbeitnehmerüberlassung innerhalb des Konzerns (sog. „Konzernleihe“) bietet flexible und v.a. wirtschaftliche Lösungen für den Personaleinsatz. Unternehmen…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert