open search
close
Arbeitsrecht 4.0 Compliance Datenschutz Matrix Unternehmensführung

Mitarbeiterdaten konzernweit nutzen nach der EU-Datenschutz-Grundverordnung

Print Friendly, PDF & Email
DSGVO

Ob Matrixstrukturen, Office 365 oder Personalmanagementsoftware: Die konzernweite Nutzung von Beschäftigtendaten ist relevanter denn je. Datenschutzrecht wird hierbei üblicherweise als Blockade wahrgenommen, doch mit Inkrafttreten der EU-Datenschutz-Grundverordnung zum 25. Mai 2018 verbessert sich die Situation für Konzerne…

Konzernprivileg nach der EU-Datenschutz-Grundverordnung?

Konzernprivileg bedeutet, dass Konzerngesellschaften personenbezogene Daten untereinander austauschen können, ohne dass die besonderen Vorgaben der Datenschutzgesetze beachtet werden müssen. Nach dem derzeit noch geltenden Bundesdatenschutzgesetz besteht ein Konzernprivileg nicht; Konzerngesellschaften werden wie sonstige Dritte behandelt. Wenn sie Mitarbeiterdaten etwa zum Zwecke der Personalplanung austauschen wollen, bedarf es daher eines Erlaubnistatbestands, beispielsweise in Form einer (Konzern-)Betriebsvereinbarung.

Ändert sich das mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DS-GVO)? Jein. Einerseits enthält der Gesetzestext der EU-DS-GVO nach wie vor kein ausdrückliches Konzernprivileg, so dass für den Datenaustausch weiterhin eine Erlaubnis nach der EU-DS-GVO notwendig ist. Andererseits steht in Erwägungsgrund Nr. 48 der EU-DS-GVO wörtlich (Hervorhebung nicht im Original):

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind[,] können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Danach gilt: Für „interne Verwaltungszwecke“ ist der Austausch von Beschäftigtendaten anerkannt.


Und was heißt das konkret? Werden Mitarbeiterdaten anderen Konzernunternehmen für dessen eigene Zwecke zur Verfügung gestellt, kommt üblicherweise eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 lit. f) EU-DS-GVO in Betracht. Danach ist die Datenverarbeitung rechtmäßig, wenn dies zur Wahrung berechtigter Interessen erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es muss also eine Abwägung zwischen den Interessen des Konzerns sowie den Rechten der Mitarbeiter stattfinden. Im Rahmen dieser Abwägung können Konzerne anführen, dass „interne Verwaltungszwecke“ aufgrund der ausdrücklichen Erwähnung in Erwägungsgrund Nr. 48 besonders gewichtige Interessen darstellten, hinter denen Mitarbeiterrechte grundsätzlich zurückstehen müssten.

Zwar bedeutet das nicht, dass allein „interne Verwaltungszwecke“ den Datenaustausch innerhalb des Konzerns in jedem Fall rechtfertigen werden. Soweit Konzerne aber flankierende Maßnahmen insbesondere zum Schutz der Daten ergreifen, wird eine Rechtfertigung meist gelingen, weil die Abwägung insgesamt zu Gunsten der Konzerne ausgeht.

Was sind „interne Verwaltungszwecke“?

Ungeklärt ist hierbei, was unter „internen Verwaltungszwecken“ zu verstehen ist. Gute Argumente für das Vorliegen „interner Verwaltungszwecke“ lassen sich jedenfalls häufiger finden, als man auf den ersten Blick glauben mag: In Matrixstrukturen kann der „interne Verwaltungszweck“ üblicherweise mit der strukturellen Eigenheit der Matrixstruktur begründet werden, die den Zugriff auf Mitarbeiterdaten notwendig macht. Bestimmte Austausch- und Kommunikationsmodule bei Office 365 können ebenfalls im weiteren Sinne einem „internen Verwaltungszweck“ dienen. Und für Personalmanagementsysteme kann der „interne Verwaltungszweck“ jedenfalls für die Kernelemente wie Bonusberechnungen nachvollziehbar begründet werden.

Fazit: Potenzial der EU-DS-GVO nutzen

So kritisch man die EU-DS-GVO auch sehen mag – Konzerne haben es zukünftig leichter, einen konzerninternen Mitarbeiterdatentransfer rechtmäßig aufzustellen. Soweit keine Mitbestimmungsrechte betroffen sind, kann sogar eine Betriebsvereinbarung, die sonst als datenschutzrechtlicher Erlaubnistatbestand notwendig gewesen wäre, obsolet werden.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht).
Verwandte Beiträge
Betriebsrat Kündigung, allgemein Massenentlassung Umstrukturierung

Massenentlassung und Betriebsrat: es bleibt spannend!

Die Rechtsprechung zur Beteiligung des Betriebsrats im Rahmen der Massenentlassungsanzeige bleibt in Bewegung. Neue Unsicherheit entsteht aktuell im Hinblick auf die Frage, welche Rolle arbeitgeberfremde Unternehmen bei den Beratungen mit dem Betriebsrat gem. § 17 Abs. 2 KSchG spielen, wenn sie Einfluss auf die anzeigepflichtigen Entlassungen genommen haben. Hierzu hat jüngst das Landesarbeitsgericht Berlin-Brandenburg den EuGH angerufen, dessen Auffassung künftige Beteiligungsverfahren im Rahmen von Personalabbaumaßnahmen…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.