GDD-Praxishilfe DS-GVO XVII - Mitarbeiterdaten im Unternehmensverbund - GDD eV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD-Praxishilfe DS-GVO XVII Mitarbeiterdaten im Unternehmensverbund
INHALT
A. Hinweise zur Nutzung der Praxishilfe.............................. 6
B. Allgemeines.................................................................. 6
I. Begriff der Unternehmensgruppe ............................................................ 6
II. Verantwortliche Stellen im Unternehmensverbund..................................... 6
III. Weitergabe von Mitarbeiterdaten im Unternehmensverbund....................... 7
IV. Transfer von Mitarbeiterdaten im internationalen Unternehmensverbund.... 8
C. Rechtsgrundlagen der Personaldatenverarbeitung
im Unternehmensverbund............................................... 8
I. Einleitung.............................................................................................. 8
II. Allgemeine Zulässigkeitsvoraussetzungen .............................................. 10
1. Übersicht.......................................................................................... 10
2. Verhältnis zwischen § 26 BDSG und Art. 6 DS-GVO ............................... 11
3. Zulässigkeitsvoraussetzungen des § 26 Abs. 1 S. 1 BDSG ..................... 11
4. Zulässigkeitsvoraussetzungen des § 26 Abs. 1 S. 2 BDSG ..................... 12
5. Zulässigkeitsvoraussetzungen des Art. 6 Abs. 1 lit. f DS-GVO ............... 13
6. Einwilligung ..................................................................................... 13
7. Weitergabe sensitiver Mitarbeiterdaten .............................................. 14
D. Die Auftragsverarbeitung............................................. 14
I. Allgemeines ........................................................................................ 14
II. Auswahl eines konzernangehörigen Auftragnehmers............................... 15
III. Anforderungen an den Vertrag............................................................... 15
IV. Abgrenzung zwischen Auftragsverarbeitung und Übermittlung ................ 16INHALT
E. Die gemeinsame Verantwortlichkeit .............................. 17
F. Unterrichtungspflichten bei der Datenerhebung ............. 17
G. Informationspfichten bei unrechtmäßiger Kenntnis-
erlangung von Daten .................................................... 18
H. Besondere Zulässigkeitsvoraussetzungen beim
Drittlandtransfer.......................................................... 18
I. Zulässigkeit der Verarbeitung (Prüfstufe 1) ............................................ 18
II. Werkzeuge zur Gewährleistung eines angemessenen
Datenschutzniveaus (Prüfstufe 2) .......................................................... 19
1. Angemessenheitsbeschluss der Kommission........................................ 19
2. Geeignete Garantien (Art. 46 DS-GVO) ............................................... 19
2.1 EU-Standardvertragsklauseln („Standardschutzklauseln“) ............... 19
2.2 Binding Corporate Rules ............................................................... 20
2.3 Verhaltensregeln und Zertifizierungen ........................................... 21
3. Ausnahmen für bestimmte Fälle ........................................................ 21
3.1 Einwilligung (Art. 49 Abs. 1 UAbs. 1 lit. a DS-GVO) ........................ 21
3.2 Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 UAbs. 1
lit. b DS-GVO) ............................................................................. 21
3.3 Erforderlichkeit zur Vertragserfüllung mit einem Dritten
(Art. 49 Abs. 1 UAbs. 1 lit. c DS-GVO) ............................................ 22
3.4 Notwendigkeit aus wichtigen Gründen des öffentlichen Interesses
(Art. 49 Abs. 1 UAbs. 1 lit. d DS-GVO) ........................................... 22
3.5 Erforderlichkeit zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen (Art. 49 Abs. 1 UAbs. 1 lit. e DS-GVO) .......... 22
3.6 Auffangtatbestand Art. 49 Abs. 1 UAbs. 2 S. 2 DS-GVO ................... 23
4. Nicht zulässige Offenlegungen (Art. 48 DS-GVO) ................................. 23INHALT
I. Beispiele typischer Mitarbeiterdatenflüsse im
Unternehmensverbund .................................................. 24
I. Allgemeines ........................................................................................................... 24
II. IT-Infrastruktur..................................................................................... 24
1. Übergreifende Netzwerkadministration, Service und Support ................. 24
2. Elektronische Kommunikationsverzeichnisse ........................................ 25
3. Zentraler E-Mail-/Internet-Server ........................................................ 26
3.1 Verhältnis Arbeitgeber und Beschäftigter ...................................... 26
3.2 Verhältnis Konzernunternehmen und Konzern-Service-Provider ........ 27
4. Helpdesk .......................................................................................... 27
5. Cloud-Computing ............................................................................... 28
III. Personalrecruiting ............................................................................... 29
IV. Shared-Service-Center „Human Resources“............................................ 30
V. Zentrale Führungskräftebetreuung und -entwicklung.............................. 31
VI. Übermittlung an Matrix-Vorgesetzte ..................................................... 31
VII. Remotezugriffe auf Mitarbeiterdaten.................................................... 32
VIII. Skill-Management............................................................................... 33
IX.. Mitarbeiterbefragung .......................................................................... 34
X. Compliance......................................................................................... 34
XI.. Bonusprogramme................................................................................. 35
XII. Unternehmenstransaktionen................................................................ 36Mitarbeiterdaten im Unternehmensverbund Vermehrt werden unternehmerische Ziele in nationalen und multinationalen Unternehmens- verbünden verfolgt und weltweite Datennetze sowie moderne Informations- und Kommu- nikationstechnologien vereinfachen den Datenaustausch. Im Zuge der Optimierung ihrer Geschäftstätigkeiten sind die Konzerne in wachsendem Maße darauf angewiesen, Mitar- beiterdaten an die konzernangehörigen Unternehmen - häufig auch grenzüberschreitend - zu transferieren. Angesichts der Tatsache, dass die EU-Datenschutz-Grundverordnung (DS-GVO) ein „Konzern- privileg“ nicht kennt, ist die datenschutzrechtliche Zulässigkeit der Weitergabe von Mitar- beiterdaten im Unternehmensverbund häufig nicht unproblematisch. Vor diesem Hintergrund greift die vorliegende Praxishilfe Grundsatzfragen und typische Personaldatenflüsse unter datenschutzrechtlichen Gesichtspunkten beispielhaft auf, um dem Verantwortlichen unter Zurateziehung des Datenschutzbeauftragten die praktische Umsetzung der einschlägigen rechtlichen Vorgaben zu erleichtern und zugleich einen Beitrag zu mehr Rechtssicherheit in diesem Bereich zu leisten. GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund Stand: Juni 2020 5
A. Hinweise zur Nutzung „Unternehmensgruppe“ betrachtet werden. Ent-
scheidend ist damit nicht ausschließlich, ob eine
der Praxishilfe Beherrschung im gesellschaftsrechtlichen Sinne
gegeben ist. Erfasst werden auch faktische Beherr-
Diese Praxishilfe besteht aus einem Grundlagenteil, schungsverhältnisse. Ein Solches ist etwa anzuneh-
der allgemein in die Rechtsgrundlagen der Personal- men, wenn aufgrund von Verträgen ein bestimmtes
datenverarbeitung in Unternehmensgruppen ein- Unternehmen berechtigt ist, Richtlinien zur Daten-
führt, sowie einem zweiten Teil, der typische Perso- verarbeitung vorzugeben.
naldatenflüsse in Unternehmensgruppen unter da- Der Konzern ist ein Fall der Unternehmensgrup-
tenschutzrechtlichen Gesichtspunkten beispielhaft pe nach Art. 4 Nr. 19 DS-GVO. Ein Konzern liegt
aufgreift. Damit ermöglicht die Praxishilfe sowohl nach deutschem Recht gemäß § 18 Abs. 1 Satz 1
eine grundlegende als auch eine fallbezogene Lek- Hs. 1 AktG vor, sofern ein herrschendes und ein
türe. Im Übrigen ist diese Praxishilfe aufgrund der oder mehrere abhängige Unternehmen unter der
Verweise in das BDSG vorrangig für den deutschen einheitlichen Leitung des herrschenden Unterneh-
Rechtsanwender konzipiert. mens zusammengefasst sind. Der Begriff der Un-
ternehmensgruppe ist insofern weiter als der des
Konzerns.
Der Begriff der Unternehmensgruppe ist insbe-
B. Allgemeines sondere insofern bedeutsam, weil ErwG 48 DS-GVO
explizit festlegt, dass Verantwortliche in einer Un-
ternehmensgruppe ein berechtigtes Interesse daran
I. Begriff der Unterneh- haben können, Daten innerhalb der Unternehmens-
mensgruppe gruppe für interne Verwaltungszwecke zu übermit-
teln.
Der Begriff der Unternehmensgruppe ist in Art. 4
Nr. 19 DS-GVO legal definiert. Hiernach handelt
es sich um eine Gruppe, die aus einem herrschen-
den Unternehmen und den von diesem abhängi-
II. Verantwortliche Stellen
gen Unternehmen besteht. Kennzeichnend für das im Unternehmens-
Vorliegen einer Unternehmensgruppe im Sinne der verbund
DS-GVO ist damit das Bestehen eines Über-/Unter-
ordnungsverhältnisses zwischen den Unternehmen. Einem Unternehmensverbund, z.B. einem Konzern,
Eine nähere Erläuterung dazu, wann ein Unterneh- gehören typischerweise mehrere rechtlich selbst-
men als herrschend anzusehen ist, enthält ErwG 37 ständige Unternehmen an. Diese sind jeweils eigen-
DS-GVO. Herrschend soll demnach ein Unternehmen ständige Verantwortliche i.S.v. Art. 4 Nr. 7 DS-GVO.
sein, „das zum Beispiel aufgrund der Eigentums- Letzteres schließt allerdings nicht aus, dass im
verhältnisse, der finanziellen Beteiligung oder der Rahmen der Zusammenarbeit - etwa bei konzern-
für das Unternehmen geltenden Vorschriften oder übergreifenden Projekten - zusätzlich eine weitere,
der Befugnis, Datenschutzvorschriften umsetzen gemeinsame verantwortliche Stelle (Joint Control-
zu lassen, einen beherrschenden Einfluss auf die lership, Art. 26 DS-GVO) entstehen kann.
übrigen Unternehmen ausüben kann“ (ErwG 37 Es existieren vielfältige Konzernformen und die
Satz 1 DS-GVO). Gemäß ErwG 37 Satz 2 DS-GVO soll Konzernstrukturen sind oft dynamisch. Im Hin-
ein Unternehmen, das die Verarbeitung personen- blick auf die datenschutzrechtliche Zulässigkeit
bezogener Daten in ihm angeschlossenen Unter- von Datenflüssen stellt die DS-GVO allerdings nicht
nehmen kontrolliert, zusammen mit diesen als eine auf Beherrschungsverhältnisse, sondern allein auf
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 6den Verantwortlichen i.S.v. Art. 4 Nr. 7 DS-GVO ab. unabhängigen Datenschutzbeauftragten des Bun-
Hinsichtlich der datenschutzrechtlichen Verant- des und der Länder steht diesbezüglich noch aus,
wortlichkeit kommt es dabei nur auf die rechtliche wobei sich einzelne Aufsichtsbehörden bezüglich
Selbstständigkeit der Daten verarbeitenden Stelle der öffentlichen Stellen bereits gegen eine eigene
an. Des Weiteren können im Unternehmensverbund Verantwortlichkeit des Betriebsrats ausgesprochen
gemeinsame zentrale Dienstleister (gemeinsames haben.4
Rechenzentrum, Shared-Service-Center etc.) auf-
treten. Bei einem rechtlich selbstständigen Dienst-
leister kommt es hinsichtlich der datenschutzrecht-
lichen Verantwortung darauf an, ob dieser lediglich
III. Weitergabe von Mitar-
als weisungsabhängiger Auftragsverarbeiter i.S.v. beiterdaten im Unter-
Art. 28 DS-GVO tätig ist. Ist dies der Fall, so ver- nehmensverbund
bleibt die datenschutzrechtliche Verantwortlichkeit
grundsätzlich beim Auftraggeber. Ferner ist das Verantwortliche Stellen im Unternehmensverbund
rechtliche Konstrukt der gemeinsamen Verantwort- sind im Rahmen der Verfolgung ihrer gemeinsa-
lichkeit ebenso zu beachten, wie eine Datenüber- men unternehmerischen Ziele vielfach auf die Ver-
mittlung an den neuen Datenempfänger. arbeitung personenbezogener Daten angewiesen.
Teilweise wird angeregt, sich vom Kriterium der Die Übermittlung wird in der DS-GVO nicht legal
rechtlichen Selbstständigkeit einer Konzerngesell- definiert. Im Rahmen der Definition der „Verarbei-
schaft zu lösen und vielmehr auf die tatsächlichen tung“ in Art. 4 Nr. 2 DS-GVO wird die Übermittlung
Weisungsbefugnisse abzustellen. In der Folge wür- mit einer Offenlegung personenbezogener Daten
den dann in vielen Fällen bei der einer Datenwei- verbunden. Eine Übermittlung findet statt, wenn
tergabe im Konzern an Mitarbeiter einer Matrix-Or- personenbezogene Daten im Zuge konzerninter-
ganisation keine Übermittlung personenbezogener ner Datenflüsse im Konzernverbund weitergegeben
Daten an einen Dritten vorliegen, wenn der jeweili- werden oder diesen beispielsweise zur Einsicht oder
ge Mitarbeiter der Matrix einem Vorgesetzten inner- zum Abruf bereitgehalten werden.
halb der Matrix zugeordnet wäre.1 Dies ist jedoch Da die DS-GVO keine Privilegierung hinsichtlich
noch keine aufsichtsbehördlich bestätigte Auffas- der Übermittlung von Mitarbeiterdaten an verbun-
sung. dene Unternehmen kennt und Personaldaten grund-
Eine Stellung des Betriebsrats als Verantwortli- sätzlich vertraulich zu behandeln sind, bedarf es
cher für die mit der Betriebsratstätigkeit einher- zur Legitimation einer solchen Übermittlung von
gehenden Beschäftigtendatenverarbeitung wurde Beschäftigtendaten stets eines gesetzlichen Er-
in der der alten Rechtslage abgelehnt, da der Be- laubnistatbestandes. Anzumerken ist aber, dass es
triebsrat lediglich Teil einer verantwortlichen Stelle vielfach gerade auch im Interesse der Mitarbeiter
sei.2 Bezogen auf die DS-GVO mehren sich jedoch liegt, dass ihr Beschäftigungsunternehmen (Ar-
die Stimmen3, dass auch der Betriebsrat verant- beitgeber) ihre Daten an verbundene Unternehmen
wortlich für die Verarbeitung von Beschäftigtenda- weitergibt. Dies kann z.B. aus Karrieregründen oder
ten sein kann. Eine Entscheidung der Konferenz der zur Abwicklung von Bonusprogrammen geschehen.
1 Vgl. Bussche v.d./Voigt, Konzerndatenschutz Teil 3. Rn. 4. 4 Vgl. BayLfD, Aktuelle Kurz-Information 23: Der Personalrat -
2 Vgl. Pötters/Gola, RDV 2017, 279 (280). Verantwortlicher im Sinne des Datenschutzrechts?, abrufbar
3 Vgl. Kort, NZA 2015, 1345 (1347); LfDI Baden-Württemberg, unter https://t1p.de/qkre.
Tätigkeitsbericht 2018, S. 37.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 7IV. Transfer von Mitarbei- etwa Tarifverträge und Mitbestimmungsrechte. So
terdaten im internatio- ist z.B. zu beachten, dass das Outsourcing der Per-
sonaldatenverarbeitung jedenfalls insoweit durch
nalen Unternehmens- den Betriebsrat mitbestimmt sein muss, wie die
verbund an den Auftragnehmer delegierte Datenverarbei-
tung eine Leistungs- oder Verhaltenskontrolle der
Im Rahmen der Globalisierung hat die Anzahl mul- Mitarbeiter ermöglicht (§ 87 Abs. 1 Nr. 6 BetrVG).
tinationaler Unternehmensverbindungen stark zu- D.h. für dieses Mitbestimmungsrecht ist nicht ent-
genommen, womit verstärkt auch die grenzüber- scheidend, ob eine Überwachung auch tatsächlich
schreitende Übermittlung von Mitarbeiterdaten stattfindet. Es genügt, dass sie möglich ist bzw. das
einhergeht. Datenschutzrechtlich muss zwischen eingesetzte System hierzu geeignet ist.5
der Datenweitergabe in EU- bzw. EWR-angehörige Mitbestimmungspflichtig ist aber nur das aus-
Länder und in sog. Drittländer differenziert werden. gegliederte Datenverarbeitungsverfahren, nicht
Im Falle des Drittlandtransfers hat der Verantwort- die Ausgliederung an sich. Gegebenenfalls
liche, neben der Prüfung des Erlaubnistatbestan- empfiehlt sich der Abschluss einer Betriebs-
des, für die Datenverarbeitung allgemein, hier die vereinbarung zur Legitimierung einer Daten-
Datenweitergabe, auch zu klären, inwieweit beim weitergabe im Unternehmensverbund. Gem.
Empfänger ein angemessenes Datenschutzniveau § 26 Abs. 4 Satz 1 BDSG ist die Verarbeitung perso-
vorliegt (sog. „2-Stufen-Prüfung“). Die gesetzli- nenbezogener Daten von Beschäftigten, einschließ-
chen Anforderungen an das angemessene Daten- lich besonderer Kategorien personenbezogener Da-
schutzniveau bzw. mögliche Ausnahmetatbestände, ten, für Zwecke des Beschäftigungsverhältnisses
um von einem solchen abzusehen, finden sich in auf der Grundlage von Kollektivvereinbarungen zu-
Kapitel V der DS-GVO (vgl. V.). lässig. Bereits nach altem Recht wurden Kollektiv-
vereinbarungen aufgrund ihrer normativen Wirkung
(vgl. § 77 Abs. 4 BetrVG) als eine „andere Rechts-
vorschrift“ i.S.d. § 4 Abs. 1 BDSG a.F. angesehen.6
C. Rechtsgrundlagen Von aufsichtsbehördlicher Seite wurden Anforde-
rungen an Mindestinhalte einer Betriebsvereinba-
der Personaldaten- rung zum Austausch personenbezogener Mitarbei-
terdaten bereits zur alten Rechtslage formuliert.7
verarbeitung im Un- Zu regelnde Punkte waren hierbei:
ternehmensverbund >> Einschlägige Datenkategorien sowie die als
notwendig erachteten Verarbeitungsvorgänge
I. Einleitung >> Rechte der Arbeitnehmer (Widerspruchsrechte,
Informationsrechte)
Die nachfolgende Darstellung beschränkt sich im >> Regelung der Zugriffsberechtigungen
Wesentlichen auf die datenschutzrechtlichen As- >> Verantwortlichkeiten für die ordnungsgemäße
pekte der Personaldatenverarbeitung im Unter- Verarbeitung der Personaldaten
nehmensverbund. Daneben sind die allgemeinen >> Regelung der Mitwirkungs- und Überwachungs-
arbeitsrechtlichen Bestimmungen zu beachten, wie rechte des Betriebsrats
5 Vgl. BAG, Beschluss vom 27. 1. 2004, Az. 1 ABR 7/03.
6 Vgl. Schwartmann/Jaspers/Thüsing/Kugelmann/Thüsing-Traut
Art. 88 Rn. 49.
7 Hessischer Landtag, Drs. 15/4659, S. 18 m.w.N.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 8>> Gleichartige Datenorganisation, um die ein- Ob durch Betriebsvereinbarung nur die Zulässigkeit
heitliche Umsetzung der unternehmensweiten der Datenverarbeitung geregelt werden kann oder
Regelungen zu gewährleisten auch weitere datenschutzrelevante Themen, wie
z.B. technisch-organisatorische Fragen, ist im Hin-
Mit Blick auf die aktuelle Rechtslage bietet es blick auf den Wortlaut des § 26 Abs. 4 BDSG unklar.
sich an, zusätzliche Regelungspunkte in die Be- Die Gesetzesbegründung lässt jedoch auf eine wei-
triebsvereinbarung aufzunehmen. Hierbei kann aus tergehende Regelungsmöglichkeit schließen. Nach
datenschutzrechtlicher Sicht eine Anlehnung an dieser soll die Regelung ganz allgemein einen auf
Art. 30 Abs. 1 DS-GVO erfolgen. Ferner sollten As- die betrieblichen Bedürfnisse zugeschnittenen Be-
pekte der Mitarbeiterüberwachung, so z.B. geplante schäftigtendatenschutz ermöglichen.13 Hier dürfte
Auswertungen und Reportings berücksichtigt und auch der Hauptanwendungsbereich für Kollektivver-
dokumentiert werden. einbarungen liegen.14
Ob Betriebsvereinbarungen den Datenschutz ge- Kollektivvereinbarungen, die bereits vor An-
genüber der DS-GVO einschränken können, ist um- wendung der DS-GVO abgeschlossen wurden,
stritten.8 Der überwiegende Teil der Literatur ist gelten weiter fort und sind nicht gem. Art. 88
der Ansicht, dass Betriebsvereinbarungen den Da- Abs. 3 DS-GVO gegenüber der Europäischen Kom-
tenschutz gegenüber der DS-GVO/dem BDSG nicht mission meldepflichtig.15 Ob sie weiterhin eine
einschränken, sondern vielmehr nur präzisieren taugliche Rechtsgrundlage darstellen, hängt davon
können.9 Dies bedeutet, dass im Falle einer von ab, ob sie den Anforderungen der DS-GVO genügen,
DS-GVO bzw. BDSG abweichenden Regelung inner- d.h. vor allem angemessene Schutzmaßnahmen
halb der Betriebsvereinbarung diese mindestens so i.S.d. Art. 88 Abs. 2 DS-GVO enthalten. Das ist im
weitreichend sein muss, wie es die DS-GVO bzw. das jeweiligen Einzelfall zu prüfen.
BDSG es vorgeben. Beispielsweise wäre eine Ver- Darüber hinaus kann eine Betriebsvereinbarung
kürzung10 der Bearbeitungszeit für Anfragen be- als Rechtsgrundlage auch für den Datentransfer ins
troffener Mitarbeiter hinsichtlich der beim Verant- Drittland dienen, wenn ihre Regelungen zum Daten-
wortlichen gespeicherten Daten zu ihrer Person als schutz an den Datenempfänger im Drittland durch-
unzulässig anzusehen. gereicht werden, so z.B. indem diese in einem Ver-
Ob über eine Betriebsvereinbarung Verschärfun- trag oder in einer anderen Unternehmensregelung
gen hinsichtlich der Zulässigkeit der Verarbeitung für verbindlich erklärt werden. Die Betriebsverein-
personenbezogener Daten möglich sind (z.B. ein barung selbst besitzt im Ausland keine unmittelbare
absolutes Verbot heimlicher Videoüberwachung, Rechtsgültigkeit, so dass es insofern einer zusätz-
die Statuierung eines gerichtlichen Verwertungs- lichen Absprache bedarf.16 Auch an dieser Stelle
verbots für mitbestimmungs- oder datenschutzwid- ist ein Vergleich mit den Schutzvorgaben des Ka-
rig erlangtes Beweismaterial oder der Ausschluss pitels V der DS-GVO geboten. Eine Genehmigungs-
jeglicher Verhaltens- und Leistungskontrolle11), ist pflicht eigener vertraglicher Regelungen wird regel-
ebenfalls umstritten. Gute Argumente sprechen für mäßig durch Art. 46 Abs. 3 lit. a DS-GVO ausgelöst.
eine entsprechende Verschärfungsmöglichkeit.12
8 Zur Rechtslage nach BDSG a.F. vgl. Wurzberger, ZD 2017, 13 Vgl. BT-Drucks. 18/11325, S. 98.
258 (261). 14 Vgl. Kühling/Buchner/Maschmann, DS-GVO BDSG, § 26 Rn. 65.
9 Vgl. Kort ZD 2017, 319 (322); Paal/Pauly/Pauly DS-GVO 15 Vgl. Gola/Pötters/Thüsing RDV 2016, 57 (58); Moos/Schefzig/
Art. 88 Rn. 12; Wurzberger ZD 2017, 258 (263). Arning/Baumgartner/Gausling, Die neue Datenschutz-Grund-
10 Vgl. Art. 12 Abs. 3 S. 1 DS-GVO. verordnung, S. 548.
11 Vgl. Maschmann, NZA-Beilage 2018, 115 (117). 16 Vgl. Berliner Beauftragter für Datenschutz und Informations-
12 Vgl. Düwell/Brink, NZA 2016, 665 (668); Gola/Pötters/ freiheit, Jahresbericht 2002, Ziffer 4.7.3.
Thüsing, RDV 2016, 57 (59 f.); Kort, DB 2015, 711 (714);
ders., ZD 2017, 319 (322); Taeger/Rose, BB 2016, 819 (831);
a.A. Maschmann, NZA-Beilage 2018, 115 (117).
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 9II. Allgemeine Zulässig- Tatbestandskongruenz vorliegt, d.h. der geregelte
keitsvoraussetzungen Sachverhalt deckungsgleich ist. Andernfalls ist das
BDSG anzuwenden.
Hinsichtlich des Austauschs von Mitarbeiterda-
ten im Unternehmensverbund kommen als Erlaub-
1. Übersicht
nistatbestände in Betracht:
Gemäß Art. 5 Abs. 1 lit. a DS-GVO muss die Ver-
arbeitung personenbezogener Daten insbesondere >> Betriebsvereinbarungen
rechtmäßig sein. >> § 26 Abs. 1 Satz 1 BDSG, sofern die Datenver-
Bei der Suche nach einer entsprechenden Rechts- arbeitung für die Entscheidung über die Be-
vorschrift für den Umgang mit Beschäftigtendaten gründung eines Beschäftigungsverhältnisses
im Unternehmensverbund ist an sich die vorrangige oder nach Begründung des Beschäftigungsver-
Geltung der Grundverordnung zu beachten. Durch hältnisses für dessen Durchführung oder Been-
die Öffnungsklausel des Art. 88 DS-GVO gilt für die digung erforderlich ist
Zulässigkeit der Verarbeitung von Beschäftigtenda- >> § 26 Abs. 1 Satz 2 BDSG zur Aufdeckung von
tendaten das BDSG in folgenden Fällen (vgl. § 1 Straftaten
Abs. 4 BDSG): >> Überwiegende berechtigte Interessen der über
mittelnden Stelle nach Art. 6 Abs. 1 lit. f
>> Der Verantwortliche oder Auftragsverarbeiter DS-GVO
verarbeitet personenbezogene Daten im Inland >> Überwiegende berechtigte Interessen des
>> Personenbezogene Daten werden im Rahmen Datenempfängers nach Art. 6 Abs. 1 lit. f
der Tätigkeiten einer inländischen Niederlas- DS-GVO
sung eines Verantwortlichen oder Auftragsver- >> Eine freiwillige und informierte Einwilligung
arbeiters verarbeitet nach Art. 6 Abs. 1 lit. a DS-GVO i.V.m. § 26
>> Der Verantwortliche oder Auftragsverarbei Abs. 2 BDSG (i.V.m. Art. 7 DS-GVO, Art. 4 Nr.
ter ohne Sitz im Inland fällt in den Anwen- 11 DS-GVO, ErwG 32)
dungsbereich der DS-GVO (vgl. Art. 3 Abs. 2 >> Bei besonderen Kategorien personenbezogener
DS-GVO), so z.B. indem er Betroffenen im Daten (Art. 9 Abs. 1 DS-GVO) besondere Grün
Inland Waren oder Dienstleistungen anbietet de nach Art. 9 Abs. 2 DS-GVO (z.B. Einwilli
gung nach § 26 Abs. 3 Satz 2)
Durch den im BDSG weiterhin verankerten Subsi-
diaritätsgrundsatz ist jedoch die vorrangige An- Werden Daten an Stellen außerhalb der EU/des EWR
wendung bereichsspezifischer Normen des Bundes weitergegeben, ergeben sich zusätzliche Zulässig-
zu beachten, sollten diese den Umgang mit per- keitsvoraussetzungen (vgl. hierzu nachstehend
sonenbezogenen Daten regeln (vgl. § 1 Abs. 2 Ziff. 4.).
BDSG). Diese bereichsspezifischen Normen sind Aufgrund der durch die Datenschutz-Grundver-
zwar im Zusammenhang mit der Verarbeitung von ordnung bewirkten Harmonisierung gilt hinsichtlich
Beschäftigtendaten im nichtöffentlichen Bereich der Weitergabe von Mitarbeiterdaten an Konzern-
seltener anzutreffen, können jedoch z.B. Bedeu- unternehmen im EU-/EWR-Bereich das Prinzip der
tung bei der Überwachung der Informations- und Gleichbehandlung mit der inländischen Situation.
Kommunikationstechnik am Arbeitsplatz (Telekom- Mithin ist der Austausch von Mitarbeiterdaten
munikationsgesetz - TKG) oder der Veröffentlichung zwischen in Deutschland gelegenen verbundenen
von Mitarbeiterfotos (Kunsturhebergesetz - Kunst- Unternehmen unter den gleichen Voraussetzungen
UrhG) erlangen. Zu beachten ist, dass die bereichs- zulässig, wie der Austausch dieser Daten zwischen
spezifische Regelung nur vorrangig ist, wenn eine einer deutschen Gesellschaft und einem in der
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 10EU/dem EWR gelegenen verbundenen Unterneh- entsprechenden Regelungen der DS-GVO zurück.21
men. Durch die Fortführung des Regelungsgehalts aus
Eine Privilegierung der Datenflüsse zwischen § 32 BDSG a.F. möchte der Gesetzgeber die erarbei-
verbundenen Unternehmen kennt die Datenschutz- teten Grundsätze der Rechtsprechung zum Beschäf-
Grundverordnung, wie bereits ausgeführt, nicht. tigtendatenschutz weiterhin gelten lassen.22
Allerdings erkennt Erwägungsgrund 48 DS-GVO Soweit personenbezogene Daten nicht unmittel-
explizit an, dass Verantwortliche, die Teil einer bar zur Erfüllung arbeitsvertraglicher Rechte oder
Unternehmensgruppe oder einer Gruppe von Ein- Pflichten verarbeitet werden, gleichwohl jedoch
richtungen sind, die einer zentralen Stelle zugeord- Verarbeitungsgegenstand im Kontext eines Arbeits-
net sind, ein berechtigtes Interesse (Art. 6 Abs. 1 verhältnisses sind, kann der Tatbestand der Inter-
lit. f DS-GVO) haben können, personenbezogene essenabwägung gem. Art. 6 Abs. 1 lit. f DS-GVO als
Daten innerhalb der Unternehmensgruppe für inter- Rechtsgrundlage in Betracht kommen. In der Praxis
ne Verwaltungszwecke, einschließlich der Verarbei- wird eine Personaldatenverarbeitung im Unterneh-
tung personenbezogener Daten von Beschäftigten, mensverbund häufig nur über Art. 6 Abs. 1 lit. f
zu übermitteln. Insofern ist einerseits zu beachten, DS-GVO zu legitimieren sein.
dass der ErwG sich auf interne Verwaltungszwecke
bezieht, wobei hieraus teilweise ein abstraktes
Konzerninteresse abgleitet wird.17 Allerdings muss 3. Zulässigkeitsvoraussetzungen
im Rahmen von Art. 6 Abs. 1 lit. f DS-GVO stets des § 26 Abs. 1 Satz 1 BDSG
das berechtigte Interesse mit den Interessen der
betroffenen Personen abgewogen werden. Diese Beschäftigtendaten dürfen nach § 26 Abs. 1
Abwägung ist pro Verfahren, mithin anhand des Satz 1 BDSG erhoben, verarbeitet oder genutzt
jeweiligen Zwecks der Verarbeitung, einschließlich werden, falls dies im Rahmen der verschiede-
der Übermittlung, durchzuführen. nen Phasen eines Beschäftigungsverhältnisses,
d.h. seiner Begründung, seiner Durchführung
oder seiner Beendigung, erforderlich ist. Un-
2. Verhältnis zwischen § 26 BDSG
ter den Beschäftigungskontext fasst das Gesetz
und Art. 6 DS-GVO i.S.d. § 26 Abs. 8 BDSG unter anderem das vor-
Mit dem Gesetz zur Anpassung des Datenschutz- vertragliche Rechtsverhältnis mit Bewerbern, das
rechts an die DS-GVO18 und der damit verbundenen Vertragsverhältnis mit Arbeitnehmern und Aus-
Einführung des § 26 BDSG wurde in Deutschland zubildenden sowie das nachvertragliche Rechts-
in Fortführung des Regelungsgehalts § 32 BDSG verhältnis mit ausgeschiedenen Arbeitnehmern.
a.F.19 eine Spezialnorm im Bereich des Beschäftig- Zentraler Maßstab des § 26 Abs. 1 Satz 1 BDSG
tendatenschutzes geschaffen. Nach dem Willen des bildet das Merkmal der Erforderlichkeit für die je-
Gesetzgebers regelt § 26 BDSG als spezialgesetzli- weilige Zweckerreichung. Hierbei sind die Grund-
che Norm die Verarbeitung personenbezogener Da- rechtspositionen und widerstreitenden Inter-
ten im Beschäftigungskontext.20 D.h. soweit § 26 essen zwischen Arbeitgeber und Arbeitnehmer
BDSG Zulässigkeitstatbestände enthält, treten die abzuwägen und zu einem Ausgleich zu bringen.23
§ 26 BDSG findet nach seinem Absatz 7 unabhängig
17 Vgl. Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 21 Vgl. Gola/Heckmann/Gola, BDSG, § 26 Rn. 8.
3. Auflage 2019, Teil 6, Kapitel 1, Rn. 16 m.w.N. 22 Vgl. Maschmann, NZA-Beilage 2018, 115 (120).
18 Datenschutz-Anpassungs-und-Umsetzungsgesetz 23 Vgl. BT-Drs. 18/11325, S. 96.
EU – DSAnpUG-EU vom 30. Juni 2017.
19 Vgl. Gola, BB 2017, 1462 (1464); Kort, NZA 2018, 1097
(1098); Thüsing/Rombey, NZA 2018, 1105 (1108); Wybitul,
NZA 2017, 413 (415).
20 Vgl. BT-Drs. 18/11325, S. 95.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 11davon Anwendung, ob Beschäftigtendaten automa- Die Erhebung, Verarbeitung oder Nutzung per-
tisiert, dateigebunden, in chronologisch geführten sonenbezogener Daten zur Aufdeckung der Straftat
Personalakten oder auf einfachen Notizzetteln er- muss grundsätzlich erforderlich sein. Das schutz-
hoben, verarbeitet oder genutzt werden. Folglich würdige Interesse des Beschäftigten am Ausschluss
unterfallen auch telefonische Anfragen einer Kon- der Ermittlung darf nicht überwiegen, insbesondere
zernmutter über Beschäftigte der Firmentochter der dürfen Art und Ausmaß der Aufklärungsmaßnahmen
Regelung des § 26 Abs. 1 BDSG. im Hinblick auf den Anlass nicht unverhältnismäßig
Die Verarbeitung personenbezogener Daten im sein.
Rahmen des § 26 Abs. 1 Satz 1 BDSG muss der Erfül- Die Vorgaben des § 26 Abs. 1 Satz 2 BDSG betref-
lung legitimer Vertragszwecke dienen, die auf ande- fen die Datenverarbeitungen, die eine Aufdeckung
re Weise nicht gewahrt werden können. Erlaubt sind einer bereits begangenen Straftat bezwecken. Inso-
demnach Verarbeitungen, die sich unmittelbar aus fern stellt der Gesetzgeber klar, dass die Zulässig-
dem Arbeitsvertrag ergeben. keit von präventiven Maßnahmen zur Verhinderung
Folglich sollte aus Gründen der Rechtssicherheit von Straftaten oder sonstigen Rechtsverstößen
gerade bei Neueinstellungen oder Vertragsände- (z.B. Verstöße gegen Unternehmensrichtlinien),
rungen der Umstand der Beteiligung von anderen die im Zusammenhang mit dem Beschäftigungsver-
Unternehmensteilen berücksichtigt werden. So hältnis stehen, nach § 26 Abs. 1 Satz 1 BDSG oder
können z.B. so genannte Mobilitäts- oder Flexi- ggf. Art. 6 Abs. 1 lit. f DS-GVO zu beurteilen ist.25
bilitätsklauseln in den Vertrag mit aufgenommen Folglich hat die verantwortliche Stelle den Zweck
werden („sog. Konzerndimensionales Arbeitsver- der Ermittlung selbst festzulegen (präventive oder
hältnis“).24 Es genügt insofern aber auch, dass bei repressive Maßnahmen) und im Weiteren ihre Er-
Begründung der vertraglichen Beziehung eine hin- mittlungsmaßnahmen an der einschlägigen Rechts-
reichende Transparenz bzgl. der Datenverarbeitung grundlage auszurichten.
im Unternehmensverbund gegeben ist. Dies wird Bezogen auf einen Unternehmensverbund ent-
insbesondere bei Führungskräften bzw. sog. „High- faltet die Vorschrift des § 26 Abs. 1 Satz 2 BDSG
Potential-Mitarbeitern“ (siehe auch nachstehend beispielsweise Relevanz, wenn eine verantwortli-
G.V.) häufig der Fall sein. che Stelle bei der Sachverhaltsaufklärung auf die
Mitwirkung einer anderen Stelle des Unterneh-
mensverbundes und deren Datenübermittlung an-
4. Zulässigkeitsvoraussetzungen
gewiesen ist. Dies kann im Übrigen auch im Um-
des § 26 Abs. 1 Satz 2 BDSG gang mit Meldungen im Rahmen des so genannten
„Whistleblowings“ von Relevanz sein, bei dem die
§ 26 Abs. 1 Satz 2 BDSG normiert den Spezialfall Mitarbeiter angewiesen werden, Verstöße gegen in-
der Erhebung, Verarbeitung oder Nutzung perso- terne Unternehmensrichtlinien über ein besonders
nenbezogener Daten zur Aufdeckung von Strafta- gestaltetes Meldeverfahren weiterzugeben. Die je-
ten im Beschäftigungsverhältnis. Dem Arbeitgeber weilige Meldung kann Auslöser für nachgelagerte
müssen tatsächliche Anhaltspunkte vorliegen, die Ermittlungen des Arbeitgebers sein. Ist dieses Mel-
den Verdacht begründen, dass der Mitarbeiter im deverfahren konzernübergreifend aufgesetzt, d.h.
Beschäftigungsverhältnis eine Straftat begangen die Kanäle des Whistleblowings werden in einer
hat. Dieser Umstand ist zu dokumentieren. Straf- zentralen Compliance-Stelle gebündelt, muss sich
taten im rein privaten Bereich fallen nicht unter die Übermittlung personenbezogener Daten an die
diese Vorschrift. Compliance-Stelle wiederum an den gesetzlichen
Vorgaben messen lassen.
24 Vgl. Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner 25 So bereits in der Gesetzesbegründung zu § 32 BDSG a.F.
Datentransfer“, Ziff. 6.3. vgl. BT-Drucks. 16/13657, S. 21.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 125. Zulässigkeitsvoraussetzungen 6. Einwilligung
des Art. 6 Abs. 1 lit. f DS-GVO
Gemäß Art. 6 Abs. 1 lit. a DS-GVO kann die Erhebung,
Erfolgt eine Datenübermittlung an andere Stellen Verarbeitung oder Nutzung von personenbezogenen
im Unternehmensverbund, die nicht unmittelbar Daten auf eine Einwilligung der Betroffenen ge-
Zwecken des Arbeitsverhältnisses dient, kann eine stützt werden. Die Verwendung der Einwilligung im
Rechtfertigung über Art. 6 Abs. 1 lit. f DS-GVO ge- Arbeitsverhältnis ist allerdings wegen des Über-/
geben sein. Im Rahmen der dort vorzunehmenden Unterordnungsverhältnisses zwischen Arbeitgeber
Interessenabwägung können u.a. folgende Kriterien und Arbeitnehmer unter dem Gesichtspunkt der
für das Vorliegen überwiegender Übermittlungsin- Freiwilligkeit nicht unproblematisch. Insofern for-
teressen des Arbeitgebers sprechen: dert § 26 Abs. 2 BDSG, dass die Freiwilligkeit einer
besonderen Würdigung bedarf. Hierbei ist eine be-
>> Transparenz der Übermittlungszwecke stehende Abhängigkeit im Beschäftigungsverhält-
>> Beteiligung des Betriebsrats/Sprecheraus- nis ebenso zu berücksichtigen, wie die Umstände
schusses unter denen die Einwilligung erteilt worden ist.
>> Abschluss von Datenschutzverträgen mit dem Eine Einwilligung im Arbeitsverhältnis kann
Datenempfänger insbesondere dann als zulässig angesehen werden,
>> Vorliegen verbindlicher Konzernregelungen wenn mit der Datenübermittlung rechtliche oder
zum Umgang mit Mitarbeiterdaten (Binding wirtschaftliche Vorteile für den Mitarbeiter ein-
Corporate Rules) hergehen oder gleichgelagerte Interessen verfolgt
>> klare Organisationsregelungen (insb. Zugriffs - werden (vgl. § 26 Abs. 2 Satz 2 BDSG). Beispielhaft
schutz) sind in diesem Zusammenhang Qualifizierungsmaß-
nahmen, Karrierechancen und Bonusprogramme wie
Grundsätzlich dürfen nur solche Mitarbeiterdaten z.B. Stock Options zu nennen. Aber auch die Ein-
verarbeitet und genutzt werden, die zur Verwirkli- führung eines betrieblichen Gesundheitsmanage-
chung legitimer Arbeitgeberinteressen erforderlich ments zur Gesundheitsförderung oder die Erlaubnis
sind. Für den Fall einer Datenübermittlung spielt zur Privatnutzung von betrieblichen IT-Systeme ist
hierbei auch eine Rolle, ob die die Beschäftigtenda- als Vorteil für den Beschäftigten zu werten. Gleich-
ten empfangenden Unternehmen mehr Funktionen gelagerte Interessen können wiederum durch die
erhalten sollen, als der datenabgebenden Stelle als gemeinsame Herstellung eines betrieblichen Mit-
Arbeitgeber selbst zustehen. Eine derartige Kom- einanders vorliegen, so z.B. die Aufnahme in eine
petenzerweiterung dürfte sich in der Regel negativ Geburtstagsliste oder die Nutzung von Mitarbeiter-
auf die vorzunehmende Interessenabwägung aus- fotos im Intranet.27
wirken. Wichtig ist aber, dass für den Betroffenen eine
Ob eine Datenübermittlung an eine Konzern- hinreichende Transparenz bzgl. der hierzu erforder-
tochter erforderlich ist, sollte ebenfalls die Frage lichen Datenübermittlungen besteht. Insofern kann
beinhalten, ob die Daten nicht in gleicher Weise auch bei den immer mehr gebräuchlichen Self-Ser-
anonym oder pseudonymisiert26 zur Verfügung ge- vice-Tools, bei denen der Mitarbeiter selbst ent-
stellt werden können, um den jeweiligen Zweck zu scheiden kann, ob und welche Daten er in das Sys-
erreichen. tem eingeben möchte, oft von einer Einwilligung
ausgegangen werden.
26 Zur Pseudonymisierung vgl. Schwartmann/Weiß, Anfor- 27 Vgl. BT-Drs. 18/11325, S. 96.
derungen an den datenschutzkonformen Einsatz von
Pseudonymisierungslösungen – Ein Arbeitspapier der
Fokusgruppe Datenschutz (2018).
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 13Bezüglich der Form der Einwilligung kann eine sol- werden (Art. 9 Abs. 2 DS-GVO).
che im Beschäftigungskontext schriftlich oder elek- In Bezug auf die Rechtsausübung des Arbeitge-
tronisch abgegeben werden. Insofern wurde das bers mit Blick auf das Arbeitsrecht, aber auch in
Schriftformerfordernis im Zuge des 2. DSAnpUG-EU28 diesem Zusammenhang bestehender Pflichten ist
in § 26 Abs. 2 Satz 3 BDSG um die elektronische eine erforderliche Verarbeitung besonderer Kate-
Form ergänzt. Andere Formen sollen möglich sein, gorien von Beschäftigtendaten nach Art. 9 Abs. 2
soweit sie wegen besonderer Umstände als ange- lit. b DS-GVO beispielsweise zulässig. Die Abwick-
messen zu erachten sind. D.h. die Einwilligung be- lung der Entgeltabrechnung kann der Arbeitgeber
darf bspw. nicht mehr zwingend der eigenhändigen daher im Wege der Auftragsverarbeitung (vgl. C.
Namensunterschrift. Konkludente, durch schlüssi- III.) auf einen sorgfältig ausgewählten Dienstleis-
ges Handeln hervorgerufene Einwilligungserklärun- ter übertragen.
gen können ebenfalls zulässig sein, dürfen jedoch
nicht mit einer mutmaßlichen oder stillschweigen-
den Einwilligung verwechselt werden, die als un-
zulässig anzusehen ist. Konkludente Einwilligungen D. Die Auftragsverar-
sind beispielsweise denkbar, wenn ein Mitarbeiter
sein Foto in das Firmen-Intranet oder die Firmen- beitung
Internetseite hochlädt.29
Eine mündliche Einwilligung scheidet regelmä- I. Allgemeines
ßig aus, da dies einerseits mit der Wertung des
§ 26 Abs. 2 Satz 3 BDSG nicht in Einklang zu brin- In der Rechtslage vor dem 25.05.2018 war die Da-
gen wäre und der Verantwortliche die Einwilli- tenweitergabe an einen Auftragsverarbeiter mit Sitz
gung nicht nachweisen könnte (vgl. Art. 7 Abs. 1 in der EU bzw. im EWR privilegiert. Nach der gesetz-
DS-GVO). lichen Definition war er als Teil der verantwortlichen
Nicht von der Hand zu weisen ist allerdings, dass Stelle anzusehen.30 In der Grundverordnung fehlt
die Einwilligung ggf. nicht die ideale Rechtsgrund- eine gesetzliche Privilegierung der Datenweiterga-
lage für den mit der Zentralisierung einer internati- be an einen Auftragsverarbeiter expressis verbis,
onalen HR-Datenbank beispielsweise einhergehen- so dass fraglich ist, ob eine solche Datenweiter-
den Datentransfer ist. Dies ergibt sich bereits aus gabe einer Rechtfertigung aus Art. 6 DS-GVO oder
dem Umstand, dass die Einwilligung jederzeit frei Art. 88 DS-GVO i.V.m. § 26 BDSG bedarf. Im Falle
widerruflich ist und damit letztlich keine dauerhaft einer Verarbeitung besonderer Kategorien perso-
verlässliche Rechtsgrundlage darstellt. nenbezogener Daten wären gar die Anforderungen
des Art. 9 Abs. 2 DS-GVO einzuhalten. Dass dies
im Ergebnis zu einer Unzulässigkeit verschiedenster
7. Weitergabe sensitiver Mitarbei-
Auftragsverarbeitungen führen würde, wäre nicht
terdaten von der Hand zu weisen. Daher erscheint es sach-
Sensitive Daten (besondere Kategorien personen- gerecht, den Privilegierungsgedanken auch in der
bezogenen Daten nach Art. 9 DS-GVO), wie z.B. DS-GVO zu behalten. Begründet werden kann dies
Daten über die Gesundheit oder die Religionszuge- damit, dass die Datenweitergabe an den Dienstleis-
hörigkeit, dürfen nur unter Beachtung besonderer ter lediglich einen Verarbeitungsschritt einer Ver-
Anforderungen erhoben, verarbeitet oder genutzt arbeitung gem. Art. 4 Nr. 2 DS-GVO darstellt. Die
28 Zweites Gesetz zur Anpassung des Datenschutzrechts an die 30 Vgl. § 3 Abs. 8 S. 2 i.V.m. § 3 Abs. 4 Nr. 3 BDSG a.F.
Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie
(EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Um-
setzungsgesetz EU - 2. DSAnpUG-EU.
29 Vgl. Paal/Pauly/Gräber/Nolden BDSG § 26 Rn. 35.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 14Rechtfertigung der Datenverarbeitung insgesamt Gewähr dafür bietet, die Anforderungen des § 9
beim Verantwortlichen würde daher auch für den BDSG nebst Anlage einzuhalten und den vorgege-
Teilschritt der Datenweitergabe an dien Dienstleis- benen Verarbeitungsauftrag zu erfüllen.
ter gelten.31 Immerhin ist dieser durch die Vorgaben Es ist auch nicht generell abzulehnen die Mut-
des Art. 28 Abs. 3 DS-GVO umfassend an die Vorga- tergesellschaft eines Konzerns als Auftragnehmer
ben bzw. Weisungen des Verantwortlichen gebun- fungiert. Die konzernrechtliche Position als beherr-
den. schendes Unternehmen schließt es nicht schlecht-
Sollte ein Dienstleister im Drittland mit der hin aus, dass die Konzernobergesellschaft partiell
Verarbeitung besonderer Kategorien von Beschäf- eine „dienende Funktion“ im Konzern einnimmt und
tigtendaten beauftragt werden, kann dies ebenfalls sich insoweit den Weisungen der konzernangehöri-
über eine Auftragsverarbeitung erfolgen, voraus- gen Gesellschaften unterwirft. Maßgeblich ist, dass
gesetzt der Arbeitgeber kann die Zulässigkeit der entsprechende rechtliche Vereinbarungen getroffen
Verarbeitung insgesamt über Art. 9 Abs. 2 DS-GVO wurden (die dann dem Weisungsrecht gemäß Kon-
begründen. Die Problematik des BDSG a.F., das die zernrecht vorgehen) und keine Anhaltspunkte für
Weitergabe an Auftragsverarbeiter außerhalb der EU eine Missachtung vorliegen.“
bzw. des EWR als Übermittlung einstufte, besteht in Folglich sind Auftragsverarbeitungen zwischen
der DS-GVO nicht mehr. Die Grundverordnung geht einer verantwortlichen Stelle in der EU und einem
sofern von einer Gleichstellung von Auftragsverar- Mutterkonzern im Drittland grundsätzlich mög-
beitern innerhalb der EU bzw. des EWR und solchen lich. Dies ist in der Praxis beispielsweise häufig
in Drittländern aus. Einer Einhaltung der Vorga- beim Hosting sowie dem Betrieb und Support von
ben des Kapitels V an den Drittlandstransfer (vgl. IT-Lösungen durch eine Muttergesellschaft zuguns-
Ziff. D. II.) bedarf es jedoch. ten ihrer Tochterunternehmen vorzufinden.
II. Auswahl eines konzern- III. Anforderungen an den
angehörigen Auftrag- Vertrag
nehmers
Art. 28 Abs. 3 Satz 1 DS-GVO setzt einen Vertrag
Die nach Art. 28 Abs. 1 DS-GVO gebotene sorgfäl- unter Beachtung der Umsetzung der normierten
tige Auswahl des Auftragsverarbeiters schließt die Mindestanforderungen für die Vertragsgestaltung
Vereinbarung einer Auftragsverarbeitung zwischen zwischen dem Verantwortlichen und dem Auftrags-
Unternehmen, die demselben Konzern angehören, verarbeiter voraus. In einem Unternehmensverbund
nicht aus. Diesbezüglich werden in dem von der ad- ist es jedoch praktisch häufig so, dass Vertrags-
hoc-Arbeitsgruppe veröffentlichten Arbeitsbericht verhandlungen mit den Dienstleistern nicht von
„Konzerninterner Datenverkehr“ zum BDSG a.F. fol- jedem einzelnen Verantwortlichen geführt werden,
gende Ausführungen gemacht: sondern ein Verbundunternehmen die Vertragsver-
„[...] die Vorschrift gebietet nicht, dass eine handlungen und den Vertragsschluss mit dem Auf-
Auswahl unter Wettbewerbsbedingungen oder gar tragsverarbeiter übernimmt. Beauftragen die ande-
eine Ausschreibung erfolgt. Maßgeblich ist ledig- ren Verbundunternehmen den Auftragsverarbeiter
lich, dass ein Auftragnehmer ausgewählt wird, der dann später schriftlich unter Bezugnahme auf den
31 Vgl. Laue/Kremer/Kremer, Das neue Datenschutzrecht in der
betrieblichen Praxis § 5 Rn. 12.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 15geschlossenen Rahmenvertrag - ggf. unter zusätz- kommt es entscheidend auf das Maß der eigenver-
licher Regelung unternehmensspezifischer Anforde- antwortlichen Tätigkeit des Dienstleisters an, d.h.
rungen -, können dadurch die Anforderungen des auf den Spielraum, der ihm an freier Gestaltungs-
DS-GVO gewahrt werden (zu den inhaltlichen An- möglichkeit hinsichtlich der Datenverarbeitung ver-
forderungen an den Vertrag vgl. das GDD-Muster zur bleibt. Ab wann bei einem Dienstleister das Maß an
Auftragsverarbeitung).32 eigener Gestaltungsfreiheit die Grenze zur Verarbei-
tung personenbezogener Daten zu eigenen Zwecken
überschreitet, kann nur in wenigen Fällen pauschal
beantwortet werden. Vertragliche Regelungen kön-
IV. Abgrenzung zwischen nen hier eine Rolle spielen. Entscheidend dürfte
Auftragsverarbeitung jedoch eine objektive Betrachtung der Rollenver-
und Übermittlung teilung sein.
Eine Auftragsverarbeitung kann grundsätzlich auch
Die Privilegierung der Auftragsverarbeitung, die dann vorliegen, wenn dem Auftragnehmer weitrei-
darin zu sehen ist, dass Verantwortlicher und Auf- chende, auch über die reine Unterstützung bei der
tragsverarbeiter rechtlich als einheitliche verant- Datenverarbeitung hinausgehende Aufgaben über-
wortliche Stelle gesehen werden (vgl. Art. 4 Nr. 10 tragen werden. Maßgeblich ist, dass der Verant-
DS-GVO), resultiert daraus, dass der Auftragsverar- wortliche die volle Verantwortung für die gesamte
beiter dem Verantwortlichen in einer oder mehreren Datenverarbeitung beim Dienstleister übernimmt.
Phasen des Datenumgangs weisungsgebunden Un- Mit Blick auf die Definition des Verantwortlichen
terstützung leistet. in Art. 4 Nr. 7 DS-GVO ist wichtig, dass er über die
Rechtlich anders behandelt werden soll der Fall, Zwecke und Mittel der Verarbeitung von personen-
dass ein Dienstleister mehr als nur weisungsgebun- bezogenen Daten entscheidet. Eine Entscheidungs-
dene Tätigkeiten durchführt. Dies kann insbeson- befugnis des Dienstleisters über die eingesetzten
dere dann der Fall sein, wenn ihm neben der Da- technisch-organisatorischen Mittel schließt eine
tenverarbeitung weitere Aufgaben oder Funktionen Verarbeitung personenbezogener Daten im Auftrag
übertragen werden oder er ein eigenes (Geschäfts-) hierbei nicht aus.34
Interesse an der Verarbeitung der ihm überlasse- Unstreitig ist jedenfalls, dass in Fällen, in de-
nen personenbezogenen Daten verfolgt. Hier kann nen dem Dienstleister ein ausdifferenzierter Ent-
unter Umständen eine durch eine Erlaubnisnorm zu scheidungsraum zur Aufgabenerfüllung vorgegeben
rechtfertigende Datenübermittlung an Dritte gege- wird, der ihm keinen inhaltlichen Bewertungs- und
ben sein. Ermessensspielraum belässt, eine Auftragsverarbei-
Die Frage, ob ein Projekt auf Konzernebene tung angenommen werden kann. Eine Auftragsver-
oder innerhalb der Unternehmensgruppe im daten- arbeitung scheidet mitunter aus, wenn Kern der ge-
schutzrechtlichen Sinne eine Auftragsverarbeitung schuldeten Tätigkeit des Dienstleisters nicht in der
oder eine Datenübermittlung darstellt, lässt sich Verarbeitung personenbezogener Daten besteht,
stets nur anhand einer Einzelfallbetrachtung ent- sondern andere Aspekte der Dienstleistung im Vor-
scheiden.33 Im Rahmen dieser Einzelfallbetrachtung dergrund stehen.35
32 https://www.gdd.de/downloads/praxishilfen/ph-iv- 34 Vgl. Artikel-29-Datenschutzgruppe WP 169, S. 17.
mustervertrag_zur_auftragsverarbeitung_ds-gvo-2 35 Vgl. LDA Bayern, Auftragsdatenverarbeitung nach § 11, S. 3.
33 Nähere Erläuterungen zur Abgrenzung zwischen Auftragsverar-
beitung und Datenübermittlung in GDD-Praxishilfe XIV sowie
dem DSK Kurzpapier Nr. 13 zur Auftragsverarbeitung.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 16E. Die gemeinsame Ver- resultieren daher erweiterte Anforderungen an die
Transparenz der Datenverarbeitung gegenüber dem
antwortlichkeit Betroffenen. Daneben bedarf es einer Vereinbarung
unter Einhaltung des gesetzlichen Mindestvorgaben
an deren Inhalt.
Im Kontext der Beschäftigtendatenverarbeitung Art. 26 DS-GVO stellt im Übrigen keine Rechts-
im Unternehmensverbund ist auch eine gemeinsa- grundlage für die Weitergabe personenbezogener
me Verantwortlichkeit für personenbezogene Daten Daten zwischen gemeinsam für die Verarbeitung
möglich. Im Sinne der gesetzlichen Definition der Verantwortlichen dar. Sie ist insofern nicht privi-
„Joint Controller“ legen hierbei mehrere Verant- legiert.39 Die Zulässigkeit der Datenverarbeitung
wortliche gemeinsam die Zecke und Mittel einer muss entsprechend anhand der Tatbestände der
Verarbeitung personenbezogener Daten fest (vgl. DS-GVO bzw. des BDSG beurteilt werden (vgl. C.
Art. 4 Nr. 7 DS-GVO). Daher bedarf es im Rahmen der II.).
Feststellung einer gemeinsamen Verantwortlichen Eine gemeinsame Verantwortlichkeit für Be-
zunächst überhaupt der Stellung eines „Verant- schäftigtendaten ist im Umfeld der Unternehmens-
wortlichen“ in Abgrenzung zum Auftragsverarbeiter gruppe oder des Konzerns in verschiedenen Kons-
(vgl. C. III. 4.). Zur Stellung eines Verantwortlichen tellationen denkbar, beispielsweise in Gestalt einer
kommt sodann das Element der „Gemeinschaftlich- zentralisierten Personalentwicklung oder Personal-
keit“ hinzu.36 Der Wortlaut „gemeinsam“ ist dabei strategie.
nicht im Sinne einer gleichwertigen und gleich-
berechtigten Kontrolle jedes einzelnen Verarbei-
tungsschritts durch jeden Beteiligten zu verstehen.
Vielmehr können die Beteiligten unterschiedlich F. Unterrichtungspflich-
stark und in unterschiedlicher Weise in die diesbe-
züglichen Entscheidungen eingebunden werden.37 ten bei der Datener-
Hierbei kann es unschädlich sein, dass ein Ver-
antwortlicher der gemeinsam für die Verarbeitung
hebung
Verantwortlichen keinen Zugriff auf personenbezo-
genen Daten hat, den Verarbeitungsvorgang jedoch Aus Gründen der Transparenz sind die Bewerber
zumindest organisiert und koordiniert.38 und Mitarbeiter schon bei der Datenerhebung nach
Die gesetzlichen Pflichten im Rahmen einer Maßgabe von Art. 13 DS-GVO zu unterrichten. Steht
gemeinsamen Verantwortlichkeit sind in Art. 26 bei der Durchführung eines Bewerbungsverfahrens
DS-GVO geregelt. Hiernach müssen die beteiligten fest, dass die Daten zur Auswertung an einen Perso-
Stellen in einer Vereinbarung in transparenter Form naldienstleister oder zur weiteren Rekrutierung an
festlegen, wer von ihnen welche Verpflichtung ge- andere Verbundunternehmen weitergeleitet werden
mäß der DS-GVO erfüllt, insbesondere was die Wahr- sollen, so ist auch hierüber zu unterrichten (vgl.
nehmung der Rechte der betroffenen Person angeht, Art. 13 Abs. 1 lit. e DS-GVO). Sollte der Daten-
und wer welchen Informationspflichten gemäß den empfänger seinen Sitz in einem Drittland außerhalb
Artikeln 13 und 14 DS-GVO nachkommt. Das Wesent- der EU oder EWR haben, ist über den Umstand des
liche der Vereinbarung muss der betroffenen Person Drittlandstransfers sowie seiner Absicherung zu in-
transparent gemacht bzw. zur Verfügung gestellt formieren (vgl. Art. 13 Abs. 1 lit. f DS-GVO).
werden. Aus einer gemeinsamen Verantwortlichkeit
36 Vgl. Katheuser/Nabulsi, MMR 2018, 717 (720). 39 Vgl. Schreiber, ZD 2019, 55 (55) m.w.N.
37 Vgl. Artikel-29-Datenschutzgruppe WP 169, S. 18.
38 Vgl. EuGH , Urteil vom 10.07.2018 - C-25/17, Rn. 75.
GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund
Stand: Juni 2020 17Sie können auch lesen
