Die Übermittlung personenbezogener Daten zwischen Konzernunternehmen ist in vielen Unternehmen an der Tagesordnung und kann verschiedene Ziele verfolgen – beispielsweise, um gemeinsame Strategien effizient verfolgen zu können, um (inter-)nationale Projekte auszurollen, um HR und Administration kosten- und ressourcenschonend zu zentralisieren etc.
Was dabei in der Praxis oft übersehen wird, ist, dass der Austausch von Daten innerhalb eines Konzernverbunds nicht ohne weiteres zulässig ist. Grundsätzlich müssen jeweils die Voraussetzungen einer Datenübermittlung oder einer Auftragsverarbeitung, wie bei einem fremden Unternehmen, vorliegen. Das betrifft auch die Verwendung sogenannter „Shared Services“, also die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Auch das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.
Das sogenannte „kleine Konzernprivileg“ der DSGVO bietet einige wenige Erleichterungen – Es ermöglicht zum Beispiel die Bestellung eines Konzerndatenschutzbeauftragten oder gibt Kriterien für die Interessensabwägung im Rahmen des berechtigten Interesses vor. Demnach können datenschutzrechtliche Verantwortliche je nach konkretem Einzelfall ein berechtigtes Interesse haben, gewisse personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln – dies ist aber eben kein Freibrief.
Das Landesarbeitsgericht Hamm (Deutschland) hatte sich Ende letzten Jahres mit dem Umfang des „kleinen Konzernprivilegs“ im Zusammenhang mit schadenersatzrechtlichen Ansprüchen nach Art 82 DSGVO beschäftigt. In diesem Fall wurden neben dem Arbeitsvertrag der Arbeitnehmerin auch ihre Privatadresse und Angaben zu ihrem Gehalt von der Gesellschaft, bei der sie beschäftigt war, an eine Schwestergesellschaft im Konzern weitergegeben. Dies erfolgte zu dem Zweck, dass die Schwestergesellschaft, die insbesondere HR-Aufgaben für andere Gesellschaften innerhalb des Konzern übernommen hatte, den Überblick über das Gehaltsgefüge von außertariflich Beschäftigten behalten wollte.
Die betroffene Arbeitnehmerin klagte auf Unterlassung und Schadenersatz– und bekam Recht. Es hätte nach Ansicht des Landesarbeitsgerichts weitaus „mildere Mittel“ für diesen Überblick als die Übermittlung aller Daten gegeben, wie beispielsweise durch Pseudonymisierung oder Anonymisierung. Die Übermittlung aller Daten war nicht vom „kleinen Konzernprivileg“ gedeckt und auch sonst kam keine Rechtsgrundlage nach der DSGVO für die Übermittlung zum Tragen. Der Arbeitnehmerin, die auch nicht entsprechend über die Datenflüsse innerhalb des Konzerns informiert worden war, erhielt EUR 6.000,00 an immateriellen Schadenersatz zugesprochen.
Fazit: Auch innerhalb eines Konzerns können nicht „einfach so“ Daten übermittelt werden. Die Datenflüsse müssen entsprechend rechtkonform ausgestaltet werden, anderenfalls neben Bußgeldern auch Schadenersatzansprüche geltend gemacht werden können (und auch werden).
Ihr KWR-Datenschutzteam unterstützt Sie gerne bei der rechtskonformen Ausgestaltung von Datenübermittlungen im Konzern.
Link: [LAG Hamm, Urteil vom 14.12.2021 – Az. 17 Sa 1185/20 Landesarbeitsgericht Hamm, 17 Sa 1185/20 (nrw.de)]