Vorsicht bei Datenübermittlungen im Konzern!

Die Übermittlung personenbezogener Daten zwischen Konzernunternehmen ist in vielen Unternehmen an der Tagesordnung und kann verschiedene Ziele…

Die Übermittlung personenbezogener Daten zwischen Konzernunternehmen ist in vielen Unternehmen an der Tagesordnung und kann verschiedene Ziele verfolgen – beispielsweise, um gemeinsame Strategien effizient verfolgen zu können, um (inter-)nationale Projekte auszurollen, um HR und Administration kosten- und ressourcenschonend zu zentralisieren etc.

Was dabei in der Praxis oft übersehen wird, ist, dass der Austausch von Daten innerhalb eines Konzernverbunds nicht ohne weiteres zulässig ist. Grundsätzlich müssen jeweils die Voraussetzungen einer Datenübermittlung oder einer Auftragsverarbeitung, wie bei einem fremden Unternehmen, vorliegen. Das betrifft auch die Verwendung sogenannter „Shared Services“, also die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Auch das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.

Das sogenannte „kleine Konzernprivileg“ der DSGVO bietet einige wenige Erleichterungen – Es ermöglicht zum Beispiel die Bestellung eines Konzerndatenschutzbeauftragten oder gibt Kriterien für die Interessensabwägung im Rahmen des berechtigten Interesses vor. Demnach können datenschutzrechtliche Verantwortliche je nach konkretem Einzelfall ein berechtigtes Interesse haben, gewisse personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln – dies ist aber eben kein Freibrief.

Das Landesarbeitsgericht Hamm (Deutschland) hatte sich Ende letzten Jahres mit dem Umfang des „kleinen Konzernprivilegs“ im Zusammenhang mit schadenersatzrechtlichen Ansprüchen nach Art 82 DSGVO beschäftigt. In diesem Fall wurden neben dem Arbeitsvertrag der Arbeitnehmerin auch ihre Privatadresse und Angaben zu ihrem Gehalt von der Gesellschaft, bei der sie beschäftigt war, an eine Schwestergesellschaft im Konzern weitergegeben. Dies erfolgte zu dem Zweck, dass die Schwestergesellschaft, die insbesondere HR-Aufgaben für andere Gesellschaften innerhalb des Konzern übernommen hatte, den Überblick über das Gehaltsgefüge von außertariflich Beschäftigten behalten wollte.

Die betroffene Arbeitnehmerin klagte auf Unterlassung und Schadenersatz– und bekam Recht. Es hätte nach Ansicht des Landesarbeitsgerichts weitaus „mildere Mittel“ für diesen Überblick als die Übermittlung aller Daten gegeben, wie beispielsweise durch Pseudonymisierung oder Anonymisierung. Die Übermittlung aller Daten war nicht vom „kleinen Konzernprivileg“ gedeckt und auch sonst kam keine Rechtsgrundlage nach der DSGVO für die Übermittlung zum Tragen. Der Arbeitnehmerin, die auch nicht entsprechend über die Datenflüsse innerhalb des Konzerns informiert worden war, erhielt EUR 6.000,00 an immateriellen Schadenersatz zugesprochen.

Fazit: Auch innerhalb eines Konzerns können nicht „einfach so“ Daten übermittelt werden. Die Datenflüsse müssen entsprechend rechtkonform ausgestaltet werden, anderenfalls neben Bußgeldern auch Schadenersatzansprüche geltend gemacht werden können (und auch werden).

Ihr KWR-Datenschutzteam unterstützt Sie gerne bei der rechtskonformen Ausgestaltung von Datenübermittlungen im Konzern.

Link: [LAG Hamm, Urteil vom 14.12.2021 – Az. 17 Sa 1185/20 Landesarbeitsgericht Hamm, 17 Sa 1185/20 (nrw.de)]

Diese Website verwendet Cookies

Damit wir Ihnen während des Aufenthaltes auf unserer Website das bestmögliche Erlebnis bieten können, verwenden wir verschiedene Arten von Cookies. Bitte wählen Sie aus, welche Arten von Cookies Sie zulassen möchten und klicken Sie dann auf "Zustimmen". Mit dem Klick auf "Allen zustimmen" erklären Sie sich mit der Verwendung sämtlicher Cookies einverstanden. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einstellungen ändern. Mehr zum Thema Cookies finden Sie unter: Cookie-Policy. Weitere Informationen zum Thema Datenschutz finden Sie unter: Datenschutz.

Impressum

Betriebsnotwendige und
funktionale Cookies
Statistik-Cookies


Weitere Informationen