Es gibt viele gute Gründe, warum personenbezogene Daten von Mitarbeiter*innen innerhalb einer Unternehmensgruppe übermittelt werden. Datenschutzrechtlich ist ein solcher Datentransfer allerdings nicht unkritisch, denn die Datenschutz-Grundverordnung (DSGVO) enthält kein Konzernprivileg. Daher muss die Weitergabe personenbezogener Daten zwischen konzernverbundenen Unternehmen den allgemeinen Anforderungen der DSGVO entsprechen.

Gerichtliche Entscheidung: Datenübermittlung darf das erforderliche Maß nicht überschreiten

Welche Risiken in diesem Zusammenhang für Unternehmen bestehen, zeigen zwei Urteile des Oberlandesgerichts Hamm (Az. 9 U 56/20) sowie des Landesarbeitsgerichts Hamm (Az. 17 Sa 1185/20). Um die Vergütung der außertariflich Beschäftigten innerhalb eines Klinikkonzerns zu vergleichen, hatten im konkreten Fall die einzelnen Verbundkliniken umfangreiche personenbezogene Daten von Mitarbeiter*innen – unter anderem Name, Funktion, Vergütung und den Arbeitsvertrag – an eine andere Konzerngesellschaft übermittelt. Eine Pseudonymisierung oder Anonymisierung der Daten und Unterlagen wurde nicht vorgenommen. Zweck der Datenübermittlung war die konzernweite Vereinheitlichung der Vergütungsstruktur. Eine betroffene Mitarbeiterin widersprach der erfolgten Datenübermittlung und klagte sowohl gegen ihre Arbeitgeberin als auch gegen die Konzerngesellschaft, die die Daten erhalten und verarbeitet hatte.

Das OLG Hamm verurteilte die Konzerngesellschaft zur Löschung der Daten und Zahlung eines Schadenersatzes in Höhe von EUR 4.000,00 (das Landgericht Bochum hatte in erster Instanz noch EUR 8.000,00 zugesprochen). Das LAG Hamm wiederum verurteilte die Arbeitgeberin zur Zahlung weiterer EUR 2.000,00 an die Mitarbeiterin sowie zur Unterlassung der Übermittlung bestimmter Daten der Mitarbeiterin ohne Rechtfertigung im Einzelfall. Ob die zuständige Datenschutzbehörde ebenfalls tätig geworden ist und ein Bußgeld verhängt hat, ist unbekannt. Dies ist jedoch nicht ausgeschlossen.

Nach Auffassung des LAG Hamm bestehe zwar grundsätzlich ein berechtigtes Interesse an der Datenübermittlung zwischen den betroffenen Konzerngesellschaften zum Zwecke der Vereinheitlichung der Vergütungsstruktur. Eine solche Datenübermittlung betreffe die Wirtschafts- und Geschäftstätigkeit der Konzerngesellschaften, die als Bestandteil der unternehmerischen Freiheit durch Art. 16 der Europäischen Grundrechtecharta geschützt sei. Allerdings sei im konkreten Fall allenfalls die Weitergabe pseudonymisierter Gehaltsdaten erforderlich gewesen, so dass die Datenweitergabe bzw. -verarbeitung über das für den Zweck erforderliche Maß hinausgehe und damit rechtswidrig sei.

Anforderungen an Datenübermittlungen im Konzern nach DSGVO

Die beiden Urteile verdeutlichen, dass die Rechtmäßigkeit der Datenübermittlung im Konzern stets im Einzelfall unter Berücksichtigung der für die Datenübermittlung in Betracht kommenden Rechtsgrundlagen und des verfolgten Zwecks zu beurteilen ist.

Jede Datenverarbeitung und -übermittlung muss auf eine der datenschutzrechtlichen Rechtsgrundlagen gestützt werden können, die in Art. 6 Abs. 1 lit a) bis f) DSGVO sowie im Zusammenhang mit Beschäftigungsverhältnissen ergänzend in § 26 des Bundesdatenschutzgesetzes (BDSG) normiert sind. Im Zusammenhang mit Beschäftigungsverhältnissen kommen als Rechtsgrundlagen insbesondere

• die - freiwillige und widerrufliche - Einwilligung,
• die Durchführung des Beschäftigungsverhältnisses sowie
• die Wahrnehmung berechtigter Interessen des Verantwortlichen in Betracht.

Daneben ermöglicht § 26 Abs. 4 BDSG die Verarbeitung von Beschäftigtendaten auf Grundlage einer (Konzern-)Betriebsvereinbarung. Vor diesem Hintergrund sollten Unternehmen vor jeder Datenübermittlung stets prüfen, auf welche Rechtsgrundlage sie diese stützen wollen.

Das Urteil des LAG Hamm ist insofern erfreulich, als dass es unternehmerische Entscheidungen grundsätzlich als tauglichen Anknüpfungspunkt für die Datenübermittlung zur Wahrnehmung berechtigter Interessen im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO anerkennt. Es stützt sich hierfür ausdrücklich auf das sogenannte „kleine Konzernprivileg" in Erwägungsgrund 48 der DSGVO. Danach können gruppenangehörige Gesellschaften ein berechtigtes Interesse daran haben, personenbezogene Daten vor allem von Kunden und Beschäftigten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln.

Sofern eine Datenübermittlung auf die Wahrnehmung berechtigter Interessen gestützt wird, ist jedoch zu beachten, dass eine umfassende Abwägung mit den Interessen der betroffenen Personen vorzunehmen und zu dokumentieren ist. Dabei wird stets eine gewisse Rechtsunsicherheit verbleiben, nämlich dass eine Aufsichtsbehörde oder ein Gericht die Erforderlichkeit der Datenübermittlung oder das Gewicht der Interessen der Beschäftigten anders bewertet. Gerade bei regelmäßig wiederkehrenden Datenübermittlungen können etwa der Abschluss entsprechender Auftragsverarbeitungsvereinbarungen oder (Konzern-)Betriebsvereinbarungen mehr Rechtsicherheit bringen. Allerdings müssen auch solche Vereinbarungen den strengen Maßstäben des Datenschutzrechts entsprechen.

Sonderfall: Datenweitergabe an Konzerngesellschaft im Ausland

Ferner sind zusätzliche Anforderungen bei der Weitergabe von personenbezogenen Daten an Konzerngesellschaften zu beachten, die ihren Sitz außerhalb der EU haben. Art. 44 DSGVO stellt strenge Anforderungen an die Datenübermittlung über die Grenzen der EU hinaus, um auch im internationalen Kontext ein hohes Datenschutzniveau zu gewährleisten. In solchen Fällen kann es daher notwendig sein, umfangreiche Vertragsstrukturen zu entwerfen, die die Datenübermittlung an sich sowie den internationalen Datentransfer zwischen den Gruppengesellschaften legitimieren.

Sorgfältige Prüfung der Rechtmäßigkeit von Datenübermittlungen im Vorfeld sinnvoll

Im Ergebnis ist festzuhalten, dass es in jedem Einzelfall einer genauen Prüfung bedarf, ob und wie personenbezogene Daten innerhalb eines Konzerns weitergegeben werden dürfen. Da Fehler im Nachhinein nicht mehr zu korrigieren sind und erhebliche finanzielle Folgen – Schadenersatz und Bußgelder – haben können, sind Unternehmen gut beraten, diese Themen rechtzeitig im Vorhinein zu prüfen. In diesem Stadium können die existierenden Gestaltungsmöglichkeiten noch genutzt werden. Im konkreten Fall wären die Schadensersatzzahlungen vermeidbar gewesen, wenn nur pseudonymisierte Daten angefragt und übermittelt worden wären.

Wenn Sie weitere Fragen zur Übermittlung personenbezogener Daten oder anderen datenschutzrechtlichen Themen haben, sprechen Sie uns gern an.