Ob Matrixstrukturen, Office 365 oder Personalmanagementsoftware: Die konzernweite Nutzung von Beschäftigtendaten ist relevanter denn je. Datenschutzrecht wird hierbei üblicherweise als Blockade wahrgenommen, doch mit Inkrafttreten der EU-Datenschutz-Grundverordnung zum 25. Mai 2018 verbessert sich die Situation für Konzerne…
Konzernprivileg nach der EU-Datenschutz-Grundverordnung?
Konzernprivileg bedeutet, dass Konzerngesellschaften personenbezogene Daten untereinander austauschen können, ohne dass die besonderen Vorgaben der Datenschutzgesetze beachtet werden müssen. Nach dem derzeit noch geltenden Bundesdatenschutzgesetz besteht ein Konzernprivileg nicht; Konzerngesellschaften werden wie sonstige Dritte behandelt. Wenn sie Mitarbeiterdaten etwa zum Zwecke der Personalplanung austauschen wollen, bedarf es daher eines Erlaubnistatbestands, beispielsweise in Form einer (Konzern-)Betriebsvereinbarung.
Ändert sich das mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DS-GVO)? Jein. Einerseits enthält der Gesetzestext der EU-DS-GVO nach wie vor kein ausdrückliches Konzernprivileg, so dass für den Datenaustausch weiterhin eine Erlaubnis nach der EU-DS-GVO notwendig ist. Andererseits steht in Erwägungsgrund Nr. 48 der EU-DS-GVO wörtlich (Hervorhebung nicht im Original):
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind[,] können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“
Danach gilt: Für „interne Verwaltungszwecke“ ist der Austausch von Beschäftigtendaten anerkannt.
Und was heißt das konkret? Werden Mitarbeiterdaten anderen Konzernunternehmen für dessen eigene Zwecke zur Verfügung gestellt, kommt üblicherweise eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 lit. f) EU-DS-GVO in Betracht. Danach ist die Datenverarbeitung rechtmäßig, wenn dies zur Wahrung berechtigter Interessen erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es muss also eine Abwägung zwischen den Interessen des Konzerns sowie den Rechten der Mitarbeiter stattfinden. Im Rahmen dieser Abwägung können Konzerne anführen, dass „interne Verwaltungszwecke“ aufgrund der ausdrücklichen Erwähnung in Erwägungsgrund Nr. 48 besonders gewichtige Interessen darstellten, hinter denen Mitarbeiterrechte grundsätzlich zurückstehen müssten.
Zwar bedeutet das nicht, dass allein „interne Verwaltungszwecke“ den Datenaustausch innerhalb des Konzerns in jedem Fall rechtfertigen werden. Soweit Konzerne aber flankierende Maßnahmen insbesondere zum Schutz der Daten ergreifen, wird eine Rechtfertigung meist gelingen, weil die Abwägung insgesamt zu Gunsten der Konzerne ausgeht.
Was sind „interne Verwaltungszwecke“?
Ungeklärt ist hierbei, was unter „internen Verwaltungszwecken“ zu verstehen ist. Gute Argumente für das Vorliegen „interner Verwaltungszwecke“ lassen sich jedenfalls häufiger finden, als man auf den ersten Blick glauben mag: In Matrixstrukturen kann der „interne Verwaltungszweck“ üblicherweise mit der strukturellen Eigenheit der Matrixstruktur begründet werden, die den Zugriff auf Mitarbeiterdaten notwendig macht. Bestimmte Austausch- und Kommunikationsmodule bei Office 365 können ebenfalls im weiteren Sinne einem „internen Verwaltungszweck“ dienen. Und für Personalmanagementsysteme kann der „interne Verwaltungszweck“ jedenfalls für die Kernelemente wie Bonusberechnungen nachvollziehbar begründet werden.
Fazit: Potenzial der EU-DS-GVO nutzen
So kritisch man die EU-DS-GVO auch sehen mag – Konzerne haben es zukünftig leichter, einen konzerninternen Mitarbeiterdatentransfer rechtmäßig aufzustellen. Soweit keine Mitbestimmungsrechte betroffen sind, kann sogar eine Betriebsvereinbarung, die sonst als datenschutzrechtlicher Erlaubnistatbestand notwendig gewesen wäre, obsolet werden.