Abo

Kurzbeitrag : Praxisfälle zum Datenschutzrecht VI: Musterfalllösung zum Datenfluss im internationalen Konzern : aus der RDV 5/2020, Seite 258 bis 261

Kurzbeiträge
Lesezeit 9 Min.

I. Sachverhalt

Das deutsche Unternehmen Müller AG ist von einem weltweit tätigen amerikanischen Konzern aufgekauft worden. Die Konzernmutter in den USA verlangt von der Firmenleitung der Müller AG, die Daten der deutschen Mitarbeiter in ein in Chicago geführtes HR-System des Konzerns zu übertragen. Die Konzernmutter benötige die Angaben zur konzernweiten Personalplanung. Zugriffsbefugnisse auf das System sollen auch alle anderen konzernangehörigen Unternehmen haben, um über dieses nach geeigneten Mitarbeitern suchen zu können.

Der Vorstand der Müller AG fragt den DSB, ob man dem Wunsch der Konzernmutter nachkommen dürfe, ohne die Mitarbeiter nach ihrem Einverständnis zu fragen.

II. Musterfalllösung

1. Einsatz eines konzernweiten HR-Systems als legitimationsbedürftige Datenverarbeitung

Werden Mitarbeiterdaten in das unter der Regie der Konzernmutter stehende HR-System eingegeben, so liegt darin eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 2 DS-GVO, deren Besonderheit darin besteht, dass ein Transfer der Daten ins Ausland erfolgt und ausländische Konzerngesellschaften auf die Daten zugreifen sollen. Bei den USA handelt es sich zudem um ein sog. datenschutzrechtliches Drittland, d.h. ein Land, in dem die DS-GVO nicht gilt.

Nach Erwägungsgrund 40 DS-GVO bedürfen personenbezogene Datenverarbeitungen, um zulässig zu sein, einer entsprechenden Rechtsgrundlage (sog. Verbot mit Erlaubnisvorbehalt). Umstritten ist, ob auch für die Weitergabe von personenbezogenen Daten an einen Auftragsverarbeiter eine gesonderte Rechtsgrundlage benötigt wird. „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS-GVO). Kennzeichnend für eine Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers im Hinblick auf die Datenverarbeitung. Der Auftragsverarbeiter hat die Daten zwar in seinem Machtbereich, darf sie aber nur entsprechend den Vorgaben des Verantwortlichen verarbeiten.[1] Ein Teil der Literatur verlangt für Datentransfers an einen Auftragsverarbeiter eine gesonderte Rechtsgrundlage auf Basis der Erwägung, dass der Auftragsverarbeiter nach der DS-GVO nicht mehr als Teil des Verantwortlichen, sondern als selbstständiger Empfänger anzusehen sei. Übermittlungen an ihn bedürften deshalb einer eigenständigen Rechtsgrundlage.[2] Nach hier vertretener Auffassung spricht hingegen mehr dafür, den Vorgang der Auftragsverarbeitung regelmäßig als einen einheitlichen Verarbeitungsvorgang des Verantwortlichen anzusehen und keine gesonderte Rechtsgrundlage für die Auftragsverarbeitung zu fordern.[3] Im Ergebnis kann der Streit allerdings auch dahinstehen, da vorliegend in keinem Fall eine Auftragsverarbeitung anzunehmen ist. Denn die Konzernmutter und weiteren konzernangehörigen Unternehmen sollen die HR-Daten nicht weisungsgebunden im Auftrag der Müller AG für deren Zwecke, sondern vielmehr zu ihren eigenen HRZwecken verarbeiten.

Fraglich ist schließlich, ob vorliegend ggf. ein Fall der sog. gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO vorliegt und sich hieraus möglicherweise eine Rechtsgrundlage für den geplanten Datentransfer ergeben kann. Eine gemeinsame Verantwortlichkeit liegt immer dann vor, wenn mindestens zwei Verantwortliche gemeinsam über Zweck und Mittel der Verarbeitung personenbezogener Daten bestimmen. Werden Daten aufgrund einer einheitlichen Datenbasis, z.B. – wie hier – auf Basis einer gemeinsamen Datenbank, verarbeitet, so stellt dies ein erstes Indiz für eine gemeinsame Verantwortlichkeit dar. Mit der Datenbank wird auch ein gemeinsamer Zweck verfolgt, nämlich der eines konzernweiten „Talent-Pools“. Sofern Vorgaben zur Nutzung und Zweckbestimmung des gemeinsamen Systems von der Konzernmutter stammen, steht dies der Annahme einer gemeinsamen Verantwortlichkeit nicht entgegen. Eine Entscheidung über die Zwecke und Mittel der Verarbeitung kann auch dann gegeben sein, wenn eine Stelle durch eine andere Stelle festgelegte Zwecke und Mittel akzeptiert bzw. sich diesen anschließt.[4] Im Ergebnis wird damit hier eine gemeinsame Verantwortlichkeit zu bejahen sein. Art. 26 DS-GVO stellt aber keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, sodass auch diese Regelung als Grundlage für den Datenransfer ausscheidet.[5] Primäres Ziel von Art. 26 DS-GVO ist die Wahrung von Transparenz und Betroffenenrechten auch im Rahmen der komplexen modernen Datenverarbeitungszusammenhänge (vgl. Erwägungsgrund 79 DS-GVO). Praktisch bedeutsam sind insofern im Außenverhältnis die Transparenz gegenüber der betroffenen Person sowie im Innenverhältnis der beteiligten Verantwortlichen die notwendigen Inhalte der gesetzlich geforderten Vereinbarung zur gemeinsamen Verantwortlichkeit.[6]

2. Zweistufige Prüfung von Datentransfers ins Drittland

a) Allgemeines

Datenübermittlungen in Drittländer werden in einem zweistufigen Verfahren geprüft. Voraussetzung für die Weitergabe von personenbezogenen Daten in sog. Drittländer ist zunächst – Stufe 1 –, dass die entsprechenden Datenübermittlungen innerhalb Deutschlands bzw. der EU/des EWR zulässig wären. Sodann sind die Anforderungen zu prüfen, die zusätzlich bestehen, weil die Übermittlung in ein Drittland erfolgen soll.

Art. 44 DS-GVO gestattet Datenübermittlungen in ein Drittland nur, wenn die Bestimmungen der Art. 45 ff. DSGVO erfüllt werden. Danach ist regelmäßig ein angemessenes Schutzniveau zugunsten der vom Datentransfer betroffenen Personen zu gewährleisten. Für diese sollen keine Datenschutzgefährdungen dadurch entstehen, dass ihre Daten in ein ggf. „datenschutzloses“ Ausland gelangen. Hinsichtlich bestimmter Drittländer hat die EU-Kommission das Vorliegen eines angemessenen Datenschutzniveaus verbindlich festgelegt.[7] Im Übrigen kann ein fehlendes Datenschutzniveau im Drittland durch ausreichende Garantien gem. Art. 46 DS-GVO ausgeglichen werden, z.B. durch verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder Verwendung der Standarddatenschutzklauseln[8] der EU-Kommission. In einem sehr engen Rahmen sind schließlich in Ausnahmefällen Übermittlungen personenbezogener Daten in ein Drittland auch ohne Angemessenheitsbeschluss oder geeignete Garantien zulässig (Art. 49 DSGVO).

b) Zulässigkeit der Datenübermittlung allgemein, also unabhängig vom Drittlandbezug (1. Stufe)

Als Rechtsgrundlage für die Übermittlung der Mitarbeiterdaten ist hier zunächst § 26 Abs. 1 S. 1 BDSG zu prüfen. Diese Norm erlaubt Datenverarbeitungen, soweit sie zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind.

Die vorliegend zu beurteilende Datenübermittlung steht zwar im Zusammenhang mit der weiteren Gestaltung des Arbeitseinsatzes der Mitarbeiter. Ein Recht des Arbeitgebers, von den Mitarbeitern zu verlangen, für einen konzernweiten Einsatz zur Verfügung zu stehen, zu dessen Durchführung die Datentransfers ggf. erforderlich sein könnten, besteht auf Basis des nach wie vor zwischen den Mitarbeitern und der Müller AG bestehenden Arbeitsvertrags aber nicht.

Die außerhalb der Zweckbestimmung des § 26 Abs. 1 S. 1 BDSG liegende Datenübermittlung könnte aber nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO zulässig sein, sofern dieser im berechtigten Interesse des Verantwortlichen (Müller AG) bzw. eines Dritten (Konzernmutter in den USA bzw. andere Konzerngesellschaften) steht, denn für sog. „beschäftigungsfremde“ Zwecke kommt Art. 6 Abs. 1 S. 1 lit. f DS-GVO neben § 26 BDSG zur Anwendung.[9] Konzerninteressen sind in Erwägungsgrund 48 DS-GVO explizit als potenzielle berechtigte Interessen i.S.v. Art. 6 Abs. 1 S. 1 lit. f DS-GVO genannt. Danach können einer Unternehmensgruppe angehörige Unternehmen ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Gruppe für „interne Verwaltungszwecke“, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Der Erwägungsgrund entfaltet zwar keine Rechtswirkung, er bringt aber zum Ausdruck, dass bei einer Interessenabwägung auch interne Verwaltungszwecke von Unternehmensgruppen berücksichtigt werden können.[10] Ob eine konzernweite Personaleinsatzplanung noch in den Anwendungsbereich von Erwägungsgrund 48 DS-GVO fällt, erscheint allerdings fraglich. Zwar mag es sich um einen (konzern-)internen Zweck handeln. Da in der Folge auch neue Rechtsbeziehungen entstehen können, weil Mitarbeiter ggf. zu einem anderen konzernangehörigen Unternehmen wechseln, dürfte jedoch wohl die Grenze eines reinen „Verwaltungszwecks“ i.S. der Regelung überschritten sein. Der Gesetzgeber hat bewusst von der Schaffung eines umfassenden sog. Konzernprivilegs abgesehen. Jedenfalls stehen einem Datentransfer auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DS-GVO schutzwürdige Interessen der betroffenen Mitarbeiter entgegen. Ein sog. „konzerndimensionales“ Beschäftigungsverhältnis kann nur bei entsprechender Vereinbarung angenommen werden.[11] Auch in einem Konzern Beschäftigte stehen im Übrigen in einer arbeitsrechtlichen Beziehung nur zu ihrem Beschäftigungsunternehmen, und ihr Arbeitgeber ist grundsätzlich zur Wahrung der Vertraulichkeit von Personalinformationen verpflichtet. Zwar mag es Mitarbeiter der Müller AG geben, die an einer konzernweiten Karriere interessiert sind; gleichwohl besteht jedoch Grund zur Annahme, dass andere Mitarbeiter keineswegs einen Standortwechsel und die damit verbundene Datenübermittlung wollen.

Ein entsprechender konzernweiter Datentransfer käme also bereits auf nationaler bzw. europäischer Ebene nicht ohne Mitwirkung der betroffenen Mitarbeiter in Betracht. Die Prüfung der Zulässigkeit der Datenübermittlung ins Drittland – Stufe 2 – ist somit hinfällig.

Der DSB muss somit dem Vorstand berichten, dass die geplante Datenübertragung in das konzernweite HR-System ohne Einwilligung datenschutzrechtlich nicht zulässig ist.

3. Mögliche praktische Umsetzung

Möglich bleibt, das geplante System auf eine Einwilligung der betroffenen Mitarbeiter gem. § 26 Abs. 2 BDSG zu stützen. Der Mitarbeiter ist dabei auch über das Datenschutzrisiko zu unterrichten, dass durch die Übermittlung ins Drittland entsteht. Eine wirksame Einwilligung bedarf einer freiwilligen Abgabe der Erklärung (§ 26 Abs. 2 S. 1 BDSG). Insofern müsste sichergestellt sein, dass den Mitarbeitern, die der Datenweitergabe nicht zustimmen, keinerlei Nachteile entstehen. Für die Freiwilligkeit der Erklärung kann es insbesondere sprechen, wenn Mitarbeiter die Einwilligung abgeben, weil sie sich von einem konzernweiten Einsatz berufliche Vorteile versprechen (§ 26 Abs. 2 S. 2 BDSG).

Zulässig ist es auch, bei Neueinstellungen den konzernweiten Einsatz zum Gegenstand der Arbeitsverpflichtung zu machen. Handelt es sich um einen internationalen Konzern, kommt im letztgenannten Fall eine Datenübermittlung ins Drittland auf Basis von Art. 49 Abs. 1 S. 1 lit. b DS-GVO in Betracht. Dieser gestattet eine Datenübermittlung ins Drittland, sofern die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist.

Soll die Datenweitergabe durch eine Betriebsvereinbarung legitimiert werden, ist diese nur wirksam, wenn sie nicht unzulässig in das informationelle Selbstbestimmungsrecht der Beschäftigten eingreift. Soll die Übermittlung ohne die Einwilligung der betroffenen Beschäftigten zulässig sein, müssen Äquivalente für der Datenübermittlung ggf. entgegenstehende schutzwürdige Interessen vorgesehen sein. Dies könnte z.B. dadurch geschehen, dass die Daten zunächst pseudonym in das HR-System eingetragen werden und der Betroffene bei einem Stellenangebot selbst entscheidet, ob er sich „offenbart“ und in Verhandlungen eintritt. Zu regeln ist auch, wann der Betroffene von seinem Widerspruchsrecht nach Art. 21 DSGVO Gebrauch machen kann. Gegenstand der Betriebsvereinbarung muss schließlich der Schutz der übermittelten Mitarbeiterdaten beim Datenempfänger sein, den der Arbeitgeber durch entsprechende Vereinbarungen mit diesem sicherzustellen hat.

* Miriam Claus, LL.M. ist Referentin bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

** RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

[1] BeckOK DatenschutzR/Spoerr, 32. Edition (Stand: 01.05.2020), DS-GVO Art. 28 Rn. 18.

[2] Zum Streit ausführlich und mit entsprechenden Nachweisen Simitis/ Hornung/Spiecker/Petri, Datenschutzrecht, DS-GVO Art. 28 Rn. 29 ff.

[3] So Simitis/Hornung/Spiecker/Petri, Datenschutzrecht, DS-GVO Art. 28 Rn. 33; ähnlich Eckhardt CCZ 2017, 111 f.; Sydow/Ingold, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, DS-GVO Art. 28 Rn. 31

[4] DSK-Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche, Stand: 19.03.2018, S. 3.

[5] So auch die Datenschutzkonferenz, a.a.O., S. 1.

[6] Zur gemeinsamen Verantwortlichkeit vgl. ausführlich GDD-Praxishilfe XV: Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (Joint Controllership), Version 1.0 (Dezember 2019), abrufbar unter https://t1p.de/olx1 (zuletzt aufgerufen am 21.08.2020).

[7] Eine aktuelle Übersicht der Länder mit Angemessenheitsbeschluss findet sich auf der Seite der EU-Kommission unter folgendem Link: https://t1p.de/imxo (zuletzt aufgerufen am 21.08.2020).

[8] Im Falle der Verwendung der EU-Standardvertragsklauseln ist die Entscheidung des EuGH in Sachen „Schrems II“ (Urt. v. 16.07.2020 – C-311/18) zu beachten, vgl. dazu https://t1p.de/0z07 (zuletzt aufgerufen am 21.08.2020).

[9] Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl. 2019, Rn. 752 ff

[10] Vgl. Körner, Beschäftigtendatenschutz in Betriebsvereinbarungen unter der Geltung der DS-GVO, S. 1395.

[11] Vgl. dazu nachstehend unter 3.