Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner

Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner

Regierungspräsidium Darmstadt
Hillenbrand-Beck
Arbeitsbericht
der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“
1.
Allgemeines
Die Anzahl großer, häufig multinationaler Konzerne wächst ständig. Konzernstrukturen unterliegen oftmals einem permanenten Wandel: Neue Unternehmen kommen
hinzu, konzernangehörige Unternehmen werden in mehrere juristische Einheiten aufgeteilt, zusammengelegt oder veräußert. Zugleich verstärken sich die Tendenzen zum
Outsourcing und zur Aufgabenteilung innerhalb des Konzerns.
Die Kostensenkung und Produktivitätssteigerung sind Beweggründe für eine konzernweite und damit die einzelnen juristischen Personen (Unternehmen) übergreifende Optimierung der Geschäftstätigkeit, beispielsweise durch eine konzernweit und
global ausgerichtete Personalverwaltung. Nicht zuletzt auf Grund der Verfügbarkeit
geeigneter Datenverarbeitungssysteme zur konzernweiten Personalplanung nehmen
konzernweite Personalwirtschaftslösungen zu.
Während Konzerne sich also als wirtschaftliche Einheit verstehen und dementsprechend agieren, ist für das Datenschutzrecht das einzelne Unternehmen als juristische
Person maßgeblich. Dieses ist Normadressat des BDSG (§ 1 Abs. 2 Nr. 3, § 2 Abs. 4
BDSG). Übermittlungen zwischen rechtlich selbständigen Unternehmen sind nur unter
besonderen Voraussetzungen zulässig.
Die gesellschaftsrechtlichen und wirtschaftlichen Zusammenhänge bleiben also durch
die rein juristische Betrachtungsweise des BDSG grundsätzlich unberücksichtigt. Gesellschaftsrechtliche Beherrschungsverträge haben als solche keine unmittelbare Bedeutung für den Datenschutz. Das BDSG enthält demnach kein Konzernprivileg. (Bereits bei der Verabschiedung des ersten BDSG hat sich der Gesetzgeber trotz entsprechender Forderungen aus Wirtschaftskreisen bewusst gegen ein Konzernprivileg
entschieden. Auch im Rahmen der letzten Novellierungen des BDSG wurden solche
Forderungen vorgetragen, der Gesetzgeber hat diese jedoch nicht beachtet. Ebenso
wenig enthält die EG-Datenschutzrichtlinie ein Konzernprivileg.) 1
Die Frage der Zulässigkeit von Datenweitergaben richtet sich nach den Vorschriften
des Bundesdatenschutzgesetzes, insbesondere § 11 BDSG und §§ 4 und 28 BDSG.*
Auf Grund einer Initiative aus dem „Düsseldorfer Kreis“ (Abstimmungsgremium aller
obersten Datenschutzaufsichtsbehörden im Bundesgebiet) wurde eine Arbeitsgruppe
aus Vertretern von Datenschutzaufsichtsbehörden, der Wirtschaft sowie der Anwaltschaft gebildet, um die sich ergebenden Auslegungsfragen zu erörtern (Teilnehmer s.
Anlage). Die Erörterungen konzentrierten sich auf die Weitergabe von Personaldaten.
Als Ergebnis dieser Erörterungen werden im Folgenden die einzelnen Zulässigkeitstatbestände zur Weitergabe von Daten im Konzern dargestellt, nach denen jede Wei1
Umgekehrt heißt dies, dass die nachfolgend dargestellten Ergebnisse mit der gebotenen Vorsicht
auch auf die Zusammenarbeit zwischen nicht konzernangehörigen Unternehmen übertragbar sein
müssten.
* Der im Jahr 2004 erstellte Arbeitsbericht berücksichtigt nicht die bereichspezifische Regelung des § 32
Abs. 1 BDSG i.d.F. des Art. 1 des Gesetztes zur Änderung datenschutzrechtlicher Vorschriften vom
14.08.2009 (BGBl I S. 2814). Soweit in diesem Bericht auf § 28 Abs. 1 Satz 1 Nr. 1) BDSG (a.F.) verwiesen wird, ist aktuell § 32. Abs. 1 Satz 1 BDSG relevant.
2
tergabe zu bewerten ist. Grundsätzlich sollte unter Berücksichtigung von § 3 a BDSG
vorab durch die verantwortliche Stelle geprüft werden, ob der mit der Weitergabe von
personenbezogenen Daten an andere Konzernunternehmen verfolgte Zweck auch
bei Pseudonymisierung oder Anonymisierung der Daten erreicht werden kann.
Einige typische Einzelfälle sind vertiefend behandelt.
Auf die spezielle Problematik des Drittstaatentransfers wird nur kurz am Ende (Nr. 7)
eingegangen.
2.
Auftragsdatenverarbeitung
Wird ein rechtlich selbständiges Konzernunternehmen als Auftragsdatenverarbeiter
nach § 11 BDSG für ein oder mehrere andere Konzernunternehmen tätig, so sind Auftraggeber und –nehmer im Verhältnis zueinander nicht „Dritte“, so bleibt der Auftraggeber verantwortliche Stelle und die Datenweitergabe zwischen beiden stellt keine
„Übermittlung“ dar, § 3 Abs. 8 Satz 3 BDSG, § 3 Abs. 4 Nr. 3 BDSG.
Immer dann, wenn von der Übertragung einer Aufgabe auf ein anderes rechtlich selbständiges Unternehmen auch personenbezogene Daten betroffen sind, sprechen folgende Kriterien für eine Auftragsdatenverarbeitung:
- Fehlende Entscheidungsbefugnis des Auftragnehmers über die Daten.
- Auftragsschwerpunkt ist auf die Durchführung einer Verarbeitung gerichtet, die der
Auftraggeber nach außen in eigener Verantwortung vertritt.
- Das Fehlen einer eigenständigen rechtlichen Beziehung des Auftragnehmers zum
Betroffenen.
Wenn hingegen eine ganze Funktion zur eigenverantwortlichen Wahrnehmung übertragen wird, wird der Datenverarbeiter selbst zur verantwortlichen Stelle. Die personenbezogenen Daten werden an ihn übermittelt. Eine Funktionsübertragung liegt in
der Regel bei folgenden Kriterien vor:
- Überlassung von eigenständigen Nutzungsrechten an den vom Auftraggeber zur
Verfügung gestellten Daten.
- Fehlende Einflussnahmemöglichkeit des Auftraggebers auf Teilbereiche2 der Datenverarbeitung.
- Abwälzung der Verantwortlichkeit für die Zulässigkeit der Datenverarbeitung und
Richtigkeit der Daten auf den Auftragnehmer.
- Verarbeitung von Daten, die erst auf Grund einer eigenständigen Rechtsbeziehung
des Auftragnehmers mit dem Betroffenen erhoben wurden.
Das Auftragsverhältnis fordert nicht, dass ein Auftragnehmer nur Umgang mit solchen
Daten haben darf, die der Auftraggeber zur Verfügung gestellt hat. Dies stellt das
BDSG 2001 dadurch klar, dass es das Erheben im Auftrag in § 11 Abs. 3 Satz 1 ausdrücklich zulässt.3
2
Nach Auffassung jedenfalls eines Wirtschaftsvertreters liegt Funktionsübertragung nur vor, wenn der
„Auftraggeber“ auf wesentliche Teilbereiche der Datenverarbeitung keine Einflussmöglichkeit hat.
3
Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 508
3
Ebenfalls ist die teilweise geforderte Abschottung zwischen Auftragnehmer und Betroffenen nicht zwingend, d.h. Auftragsdatenverarbeitung schließt den unmittelbaren
Kontakt zwischen Auftragnehmer und Betroffenen nicht aus.4
Die nach § 11 Abs. 2 Satz 1 BDSG gebotene sorgfältige Auswahl des Auftragnehmers
schließt die Vereinbarung einer Auftragsdatenverarbeitung zwischen Unternehmen,
die demselben Konzern angehören, nicht aus. Denn die Vorschrift gebietet nicht, dass
eine Auswahl unter Wettbewerbsbedingungen oder gar eine Ausschreibung erfolgt.
Maßgeblich ist lediglich, dass ein Auftragnehmer ausgewählt wird, der Gewähr dafür
bietet, die Anforderungen des § 9 BDSG nebst Anlage einzuhalten und den vorgegebenen Verarbeitungsauftrag zu erfüllen5.
Es ist auch nicht generell abzulehnen, dass eine Konzernober-/muttergesellschaft als
Auftragnehmer fungiert. Die konzernrechtliche Position als beherrschendes Unternehmen schließt es nicht schlechthin aus, dass die Konzernobergesellschaft partiell
eine „dienende Funktion“ im Konzern einnimmt und sich insoweit den Weisungen der
konzernangehörigen Gesellschaften unterwirft.
Maßgeblich ist, dass entsprechende rechtliche Vereinbarungen getroffen wurden (die
dann dem Weisungsrecht gemäß Konzernrecht vorgehen) und keine Anhaltspunkte
für eine Missachtung vorliegen.
Schwieriger ist die Frage, was an sich als Auftragsdatenverarbeitung eingestuft werden kann.
Die Auslagerung der reinen Lohn- und Gehaltsabrechnung wurde bereits bisher allgemein als Auftragsdatenverarbeitung akzeptiert6.
Wenn zusätzlich die Errechnung der Löhne und Gehälter entsprechend der Tarifverträge, die Erstellung der erforderlichen Steuererklärungen und die Auszahlung der
Löhne und Gehälter ausgelagert wird, so kann dies ebenfalls als Auftragsdatenverarbeitung ausgestaltet und anerkannt werden7.
In der Arbeitsgruppe bestand Einigkeit, dass generell in den Fällen, in denen dem
Dienstleister ein ausdifferenzierter Entscheidungsbaum zur Aufgabenerfüllung vorgegeben wird, der dem Dienstleister keinerlei inhaltlichen Bewertungs- und Ermessensspielraum belässt, eine Auftragsdatenverarbeitung angenommen werden kann.
(Dies wurde in der Vergangenheit von den Aufsichtsbehörden beispielsweise bereits
bei der Kundenbetreuung im Call-Center-Bereich anerkannt.)
In der Arbeitsgruppe blieb jedoch streitig, ob auch andere Auslagerungsfälle als Auftragsdatenverarbeitung in Betracht kämen. Streitig blieb insbesondere, inwieweit das
4
Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 508
Sutschet, RDV 2004, 97, 103, Fu. 55
6
Gola/Schomerus, BDSG §11, Rdz. 11; Schaffland/Wiltfang, BDSG § 11, Rdz. 8; Wronka, RDV 2003,
133
7
So bereits Fasbender, Innenministerium Baden-Württemberg, RDV 1994, 12 ff; wohl auch Breinlinger,
RDV 1995, 211 (213)
5
4
o.g. Kriterium der fehlenden Entscheidungsbefugnis des Dienstleisters relevant ist
bzw. welche konkrete Bedeutung es hat.
Die Aufsichtsbehörden vertreten zum Teil die Auffassung, dass stets dann, wenn der
Dienstleister auch nur den kleinsten inhaltlichen Bewertungs- oder Ermessensspielraum bei der Aufgabenerfüllung hat, keine Auftragsdatenverarbeitung mehr vorliegen
könne; denn es gehe dann im Kern nicht mehr um reine „Datenverarbeitung“, sondern
um andere übergeordnete Aufgaben.
Dem gegenüber vertreten die Vertreter der Wirtschaft einheitlich die Auffassung, dass
diese Auslegung zu eng und durch das BDSG nicht gedeckt bzw. geboten sei.
Maßgeblich sei, dass der Auftraggeber die volle Verantwortung für die gesamte Datenverarbeitung beim Dienstleister übernehme.
Mit § 3 Abs. 7 BDSG sei klargestellt, dass eine Funktionsübertragung dann nicht anzunehmen sei, wenn der Ausführende die Datenverarbeitung (bspw. für die Personalverwaltung) nicht für sich selbst durchführt.
Noch deutlicher werde dies durch die Definition in Art. 2d der EG-Datenschutzrichtlinie, wonach der durch die Verarbeitung Verantwortliche dadurch gekennzeichnet ist,
dass er über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten
entscheidet. Weitere Anforderungen könnten nicht gestellt werden.
Hiervon ausgehend sei es beispielsweise möglich, Unterstützungsdienstleistungen als
Auftragsdatenverarbeitung auszugestalten. Dies käme etwa in Betracht, wenn sich ein
Arbeitgeber externer Fachkompetenz zur Erarbeitung von Entscheidungsvorschlägen
bediene, um dann Personalentscheidungen auf informierter Grundlage treffen zu können.
Von daher sei es denkbar, die mit der Erfüllung der verschiedensten Aufgaben, bis zur
kompletten Zentralisierung der Personalverwaltung, verbundene Datenverarbeitung,
als Auftragsdatenverarbeitung zu gestalten. Maßgeblich sei, dass der Arbeitgeber die
eigentlichen Personalentscheidungen trifft. Wo er diese lediglich „exekutiere“, könne
freilich von einer Auftragsdatenverarbeitung keine Rede mehr sein.
Unschädlich sei es hingegen, wenn der Arbeitgeber dem Auftragnehmer grundsätzlich
einen Spielraum in Details belässt (Bsp.: Traineeprogramm; Dienstleister darf grundsätzlich entscheiden, in welcher Reihenfolge die verschiedenen Abteilungen zu durchlaufen sind).
Die Vertreter der Wirtschaft betonen, dass die Ausgestaltung als Auftragsdatenverarbeitung für die Betroffenen günstiger sei als die Annahme einer Funktionsübertragung,
weil der Arbeitgeber umfassend verantwortlich bleibt.
Ein Teil der Aufsichtsbehörde erkennt an, dass tatsächlich eine gewisse Gestaltungsfreiheit angenommen werden kann8. Im Vertrag muss eine klare Entscheidung für die
Auftragsdatenverarbeitung getroffen werden mit einer entsprechenden Verteilung der
8
vgl. auch Gola, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 505 und 509; Gola, RDV 2003, 177
(179), wonach er wohl davon ausgeht, dass die Auslagerung eines Bewerberauswahlprogramms als
Auftragsdatenverarbeitung ausgestaltet werden kann; strenger insoweit in Handbuch zum Arbeitnehmerdatenschutzrecht, Rdnr. 506; Sutschet, RDV 2004, 97ff.
5
Verantwortlichkeit. Der Auftraggeber muss derartige Vorgaben machen, dass er seiner Verantwortung gemäß BDSG tatsächlich gerecht werden kann und die Aufgabe
muss hierfür geeignet sein9.
Dies müsste genauer untersucht werden, auch im Hinblick darauf, dass die bisherigen
Musterverträge für die Auftragsdatenverarbeitung kaum geeignet erscheinen. Die Vertreter der Wirtschaft sollten deshalb in nächster Zeit den einen oder anderen Mustervertrag für die von ihnen ins Auge gefassten Outsourcingfälle insbesondere im Bereich der Personalverwaltung vorlegen. Auf dieser Basis könnten dann Überlegungen
und Diskussionen über die Frage, welche Fälle noch über die Auftragsdatenverarbeitung gelöst werden können, weiter geführt werden.
Wie sich aus der Darstellung der diskutierten Einzelfälle (s.u. Nr. 6) ergibt, bestand in
der Arbeitsgruppe Einigkeit, dass für Ausgliederungsmaßnahmen, die nach der o.g.
strengen Auffassung einiger Aufsichtsbehörden als Auftragsdatenverarbeitung ausscheiden, alternativ eine Realisierung nach den gesetzlichen Erlaubnistatbeständen in
Betracht kommt, insbesondere indem die Zulässigkeitsvoraussetzungen durch besondere Maßnahmen geschaffen werden (s. Nr. 3.2 und 3.3).
Die Datenweitergabe an einen Auftragsdatenverarbeiter in einem Drittstaat wird vom
BDSG immer als Übermittlung bewertet (vgl. § 3 Abs. 8 Satz 2 i.V.m. § 3 Abs. 4 Nr. 3
BDSG). Damit gelten neben den gesetzlichen Erlaubnistatbeständen die Voraussetzungen der §§ 4b, 4c BDSG.
3.
Gesetzliche Erlaubnistatbestände des BDSG
Liegt keine Auftragsdatenverarbeitung vor, sondern eine „Übermittlung“, ist zu prüfen,
ob diese durch die gesetzlichen Erlaubnistatbestände des BDSG gedeckt ist.
3.1 § 28 Abs. 1 Satz 1 Nr. 1 BDSG
Nach dieser Vorschrift ist eine Übermittlung zulässig, wenn sie der Zweckbestimmung
eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem
Betroffenen dient.
Maßgeblich ist der individuelle Arbeitsvertrag des betroffenen Arbeitnehmers mit dem
einzelnen Konzernunternehmen. Dessen Zweckbestimmung rechtfertigt grundsätzlich
keine Übermittlung der Personaldaten an andere Konzernunternehmen, denn die Personaldaten sind grundsätzlich nur zur Information des eigenen Arbeitgebers und zur
Wahrnehmung dessen Rechte und Pflichten gegenüber dem Arbeitnehmer bestimmt.
Vertragliche Rechtsbeziehungen zwischen den einzelnen konzernangehörigen Unternehmen untereinander, insbesondere zwischen den Unternehmen und der Konzernspitze (z.B. Beherrschungsverträge [§ 308 AktG]), vermögen kein „vertragsähnliches
Vertrauensverhältnis“ des betroffenen Arbeitnehmers mit einer der Schwestergesellschaften seines Arbeitgebers oder der Konzernmutter zu begründen10.
9
vgl. Kramer/Herrmann, CR 2003, 938, der u.a. auf das Kriterium der Überwachbarkeit abstellt
Ruppmann, S. 59
10
6
§ 28 Abs. 1 Satz 1 Nr. 1 BDSG kann daher den konzerninternen Austausch von Personaldaten grundsätzlich nicht legitimieren.
Das Erfordernis der „Zweckbestimmung“ des Arbeitsvertrages i.S.d. § 28 Abs. 1 Satz
1 Nr. 1 BDSG ist jedoch erfüllt, sofern der Arbeitsvertrag einen bei Vertragsschluss für
den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also ein Tätigwerden
des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht11.
Hat beispielsweise ein Mitarbeiter in seinem Arbeitsvertrag die Bereitschaft erklärt,
auch in anderen Konzernunternehmen eingesetzt zu werden, so liegt es in der
Zweckbestimmung des Arbeitsvertrages, dass seine Daten z.B. in einem zentralen
„human-resource-System“ der konzerninternen Personalplanung bzw. dem Personaleinsatz zur Verfügung stehen12.
§ 28 Abs. 1 Satz 1 Nr. 1 BDSG rechtfertigt den konzerninternen Personaldatentransfer, soweit es sich um Beschäftigte handelt, die mit Rücksicht auf die Art und Besonderheiten ihrer Aufgabe einer eindeutig an den je spezifischen Konzerninteressen
ausgerichteten Tätigkeit nachgehen13 und dies auch wissen.
Zu dieser Personengruppe gehören neben denjenigen, die sich vertraglich zur Tätigkeit in anderen Unternehmen bereit erklärt haben, insbesondere auch die Führungskräfte, da diese Unternehmensstruktur und vor allem Konzernverflechtung kennen und
sich über die Notwendigkeit konzerninterner Mobilität bewusst sind14. Dies gilt jedenfalls, soweit für diese Führungskräfte bei Aufnahme ihrer Tätigkeit der Konzernbezug
ersichtlich war.
Unter dieser Voraussetzung ist es auch bei Personen, die als Nachwuchskräfte an
Führungsaufgaben herangeführt werden sollen, durch den Arbeitsvertrag gerechtfertigt, dass ihre Personaldaten in konzerneinheitliche Personalfortentwicklungssysteme
eingespeist und damit innerhalb des Konzerns übermittelt werden.
Außer bei diesen besonderen Personengruppen ist die konzerninterne Datenübermittlung bei allen Arbeitnehmern gemäß § 28 Abs. 1 Nr. 1 BDSG gerechtfertigt, wenn das
Arbeitsverhältnis einen deutlich erkennbaren und vom Betroffenen auch in Kauf genommenen Konzernbezug aufweist, insbesondere wenn bei der Einstellung deutlich
erkennbar war, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist15. Ob dies der Fall ist, muss letztlich im Einzelfall entschieden
werden.
Grundsätzlich kann nur durch eine ausdrückliche arbeitsvertragliche Regelung Klarheit geschaffen, d.h. der Konzernbezug hergestellt werden.
Fraglich ist, ob der Konzernbezug auch nach Abschluss des Arbeitsvertrages noch
begründet werden kann und damit zur Zulässigkeit einer Datenverarbeitung nach § 28
11
Ruppmann, S. 60, explizit für den Fall des Auslandseinsatzes; Weichert, D-N 4/5 1996, S. 9 (11)
Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Aufl., Rdnr. 613
13
Simitis u.a., BDSG/Simitis, § 2, Rdnr. 144
14
Ruppmann, S. 75
15
Ruppmann, S. 60f und 75 ff.; Wolfgang Däubler, Die Übermittlung von Arbeitnehmerdaten ins Ausland, CR 1999, 49 (53) – beide explizit für den Fall der Personaldatenverarbeitung bei einem anderen
Konzernunternehmen im Ausland; Weichert, D-N 4/5 1996, S. 9 (11)
12
7
Abs. 1 Nr. 1 BDSG führt. Dies ist möglich, hierzu ist jedoch eine ergänzende Bestimmung zum Arbeitsvertrag erforderlich, die den Arbeitsvertrag präzisiert und von den
Arbeitnehmern gebilligt worden ist, wobei Freiwilligkeit gewährleistet sein muss (z.B.
wenn sich ein Arbeitnehmer während des bereits bestehenden Arbeitsverhältnisses
freiwillig zum Einsatz in anderen Konzernunternehmen bereit erklärt).
Sowohl beim anfänglich schon bestehenden als auch beim nachträglich erst hergestellten Konzernbezug des Arbeitsverhältnisses ist zu beachten, dass die personenbezogenen Daten der betroffenen Arbeitnehmer damit nicht frei übermittelbar sind.
Vielmehr ist ausgehend von den konkreten arbeitsrechtlichen Regelungen zu prüfen,
inwieweit die Übermittlung personenbezogener Daten tatsächlich erforderlich ist.
Wenn Funktionsübertragungen erst erfolgen, nachdem der Arbeitsvertrag geschlossen ist, wird damit gewissermaßen gestaltend auf das Arbeitsverhältnis eingewirkt.
Obwohl die Datenverarbeitungen des die Funktion übernehmenden Konzernunternehmens nicht von dem abweichen dürfen, was auch dem Arbeitgeber selbst erlaubt
wäre, und sich die Datenverarbeitung des „funktionsübernehmenden“ Unternehmens
insoweit innerhalb der Zweckbestimmung des Arbeitsverhältnisses zu bewegen hat,
sind die Übermittlungen nicht durch § 28 Abs. 1 Satz 1 Nr. 1 BDSG gedeckt16.
Denn der Vorgang der Funktionsübertragung als solcher, durch den das Arbeitsverhältnis umgestaltet wird, und die damit verbundenen Datenübermittlungen vom
Arbeitgeber an den Funktionsübernehmer sind dessen Datenverarbeitung vorgelagert.
Diese Übermittlungen können nicht durch § 28 Abs. 1 Nr. 1 BDSG erlaubt sein, sondern allenfalls durch § 28 Abs. 1 Nr. 2 oder Abs. 3 Nr.1 BDSG, denn andernfalls würde doch letztlich ein Konzernprivileg anerkannt (s. bereits die Ausführungen zu Beginn
von Nr. 3.1).
3.2 § 28 Abs. 1 Satz 1 Nr. 2 BDSG, § 28 Abs. 3 Nr. 1 BDSG
Scheidet § 28 Abs. 1 Satz 1 Nr. 1 BDSG als Erlaubnistatbestand aus, so stellt sich die
Frage, ob die mit der Personalübermittlung verfolgten Interessen des Arbeitgebers
(übermittelnde Stelle) oder des anderen Konzernunternehmens (empfangende Stelle,
Dritter) die Übermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. § 28 Abs. 3 Nr. 1
BDSG rechtfertigen können. Bei der Auslegung dieser Vorschriften sind zum einen die
Grundentscheidungen und Beschränkungen des einzelnen Arbeitsvertrages bzw. die
Kernpflichten des Arbeitgebers zu berücksichtigen, denn die genannten Erlaubnistatbestände rechtfertigen keine beliebige Erweiterung des durch § 28 Abs. 1 Satz 1 Nr. 1
BDSG abgesteckten Verarbeitungsrahmens. Unzulässig wären daher Übermittlungen,
die dazu führen, dass andere Konzernunternehmen die Daten in einer Weise nutzen,
die dem Arbeitgeber selbst verwehrt wären. Die Übermittlung bzw. Bereitstellung von
Personaldaten für einen im Konzern frei verfügbaren Datenpool wäre inakzeptabel.
Legitim können lediglich streng zweckgebundene Personaldatensammlungen sein17.
Ob und welche Daten bei einer Funktionsübertragung weitergegeben werden dürfen,
16
So aber wohl Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 615. Er differenziert
jedenfalls nicht explizit danach, ob die Funktionsübertragung bereits vor Eingehung des Arbeitsverhältnisses stattgefunden hat oder erst danach erfolgt ist.
17
Ruppmann, S. 115
8
richtet sich ausschließlich nach der jeweils übernommenen Funktion und der für diese
erforderlichen Daten18. Zum anderen ist bei der Auslegung die gesetzgeberische
Grundentscheidung gegen ein Konzernprivileg zu berücksichtigen.
Daraus ergibt sich, dass das allgemeine Interesse an einer arbeitsteiligen Zusammenarbeit der Konzernunternehmen nicht per se höher zu bewerten ist, als die Belange der betroffenen Arbeitnehmer, dass ihre Daten beim Arbeitgeber verbleiben. Vielmehr ist nach Ansicht der Aufsichtsbehörden im Grundsatz davon auszugehen, dass
die schutzwürdigen Belange der Arbeitnehmer einer Übermittlung entgegenstehen.
Vertreter der Wirtschaft halten dies für mit § 28 Abs. 1, Satz 1 Nr. 2 BDSG nicht vereinbar, weil diese Norm voraussetzt, dass „kein Grund zu der Annahme besteht“, dass
schutzwürdige Interessen des Arbeitnehmers die Interessen des Arbeitgebers überwiegen. Besteht kein Grund zu solch einer Annahme, so sei die Übermittlung zulässig;
das Gesetz verlange vom Arbeitgeber gerade nicht, im Einzelfall stets vermutete
schutzwürdige Interessen des Arbeitnehmers zu entkräften.
Bei der gebotenen sorgfältigen Abwägung unter Berücksichtigung der Umstände können besondere Verträge und Konzernregelungen eine Rolle spielen.
Jedenfalls dann, wenn das datenempfangende Konzernunternehmen Befugnisse und
Funktionen erhält, die an sich dem Arbeitgeber zustehen, kann - nach Ansicht der
Aufsichtsbehörden - § 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Nr. 1 BDSG die Übermittlung daher grundsätzlich nur rechtfertigen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der Arbeitnehmer treffen, so dass das Ergebnis der Abwägung doch noch zugunsten der berechtigten Interessen der Konzernunternehmen ausfällt19.
Welche Maßnahmen die Konzernunternehmen in die Waagschale der Abwägung zugunsten der Betroffenen einbringen müssen, kann nur im Einzelfall entschieden werden. In Betracht kommt die Schaffung eines konzernweiten Datenschutzkonzepts,
das einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen und koordinierte Sicherheitsmaßnahmen festschreibt. Der Verarbeitungsverlauf muss für die Betroffenen transparent sein.
Nach Auffassung der Aufsichtsbehörden muss vor allem die durch die Übermittlung
herbeigeführte Diversifizierung der Verantwortlichkeiten dadurch kompensiert werden,
dass der Arbeitgeber umfassend Ansprechpartner für den Arbeitnehmer bleibt, d.h.
auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung
und Schadensersatz einsteht – zusätzlich zu denjenigen Unternehmen, an welche die
Daten übermittelt wurden.
18
Simitis, § 28, Rdnr. 136
vgl. Niedermeier/Schröcker, RDV 2001, S. 90, deren Bewertung kann aber insoweit nicht gefolgt
werden, als eine erhebliche Zweckänderung nicht gerechtfertigt werden kann. Die als sog. „Verbundklausel“ geforderte Einwilligung für die Übermittlung von Kundendaten im Allfinanzkonzern ist daher auf
jeden Fall erforderlich.
19
9
Entsprechende Regelungen müssten zwischen den beteiligten Konzernunternehmen
verbindlich getroffen werden, sei es durch Verträge oder in Form von Unternehmensregelungen20.
Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden, z.B. als Vertrag zugunsten Dritter oder als Garantievertrag mit den Betroffenen (zugangsbedürftige, aber nicht annahmebedürftige Garantieerklärung, z.B.
durch Veröffentlichung im Intranet) oder als Betriebsvereinbarung (s. u. Nr. 5.).
Derartige Regelungen können dann bei der Abwägung im Rahmen des § 28 Abs. 1
Satz 1 Nr. 2 BDSG bzw. § 28 Abs. 3 Nr. 1 BDSG berücksichtigt werden.
Die Vertreter der Wirtschaft halten jedenfalls die Forderung nach einer ausdrücklichen
vertraglichen Verantwortungsübernahme des Arbeitgebers für nicht gerechtfertigt.
Sach- und interessengerechter sei es, von vornherein einen großen Gestaltungsspielraum für die Auftragsdatenverarbeitung anzuerkennen (s.o. zu Nr. 2). Bei einer Funktionsübertragung sei nämlich zu berücksichtigen, dass der Funktionsübernehmer als
verantwortliche Stelle einen umfassenderen Spielraum bei der Nutzung der Daten erhalte (z.B. sie im Rahmen von § 28 Abs. 2, 3 BDSG für andere Zwecke nutzen könne), so dass die Rechte der Betroffenen bei Annahme einer Auftragsdatenverarbeitung ggf. umfassender geschützt seien als bei Annahme einer Funktionsübertragung
(bzw. es bedürfe nicht besonderer vertraglicher Regelungen, um die Zweckänderung
auszuschließen).
Eine vertragliche Verdoppelung der Verantwortlichkeiten (zum einen der Arbeitgeber,
zum anderen das die Aufgabe übernehmende Unternehmen, das bei Annahme einer
Funktionsübernahme wegen § 6 BDSG nicht aus der Verantwortung entlassen werden kann) sei den Unternehmen nicht vermittelbar.
Vor dem Hintergrund, dass beispielsweise bei einer Auslagerung der Personalverwaltung der Arbeitnehmer bereits aus dem Arbeitsvertrag einen Anspruch auf Durchsetzung der Berichtigung falscher Daten etc. bei dem personalverwaltenden Unternehmen haben dürfte (arbeitsvertragliche Nebenpflicht), erscheine eine explizite zusätzliche Regelung zumindest überzogen.
3.3 Sonderproblem: Besondere Arten personenbezogener Daten nach § 3
Abs. 9 BDSG
Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten ist durch die Erlaubnistatbestände der § 28 Abs. 1-3 BDSG nicht gedeckt.
Art. 8 Abs. 2b EG-Datenschutzrichtlinie gestattet zwar Ausnahmen vom Verbot der
Verarbeitung besonderer Arten personenbezogener Daten, wenn die Verarbeitung
erforderlich ist, „um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies auf Grund
von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist“. Das
BDSG enthält jedoch einen solchen speziellen Erlaubnistatbestand nicht.
20
vgl. Ruppmann, S. 116, wonach Vertragslösungen und Verhaltensregeln praktikable Alternativen
darstellen, um eine Grundlage für konzerninterne Datenflüsse zu schaffen; allerdings werden in ihrer
Darstellung die Aspekte des Drittstaatentransfers vermengt mit der grundsätzlichen Frage des konzerninternen Datenaustauschs
10
Laut Gesetzesbegründung sollen die Absätze 6-9 von § 28 BDSG die Regelung des
Art. 8 EG-Datenschutzrichtlinie umsetzen. Im Übrigen heißt es, dass auf dem Gebiet
des Arbeitsrechts bereichspezifische Regelungen geschaffen werden können21, solche wurden aber nicht eigens geschaffen.
Der Arbeitgeber kann daher besondere Arten personenbezogener Daten nur auf der
Grundlage bereits bestehender bereichsspezifischer Regelungen, beispielsweise der
Abgabenordnung, oder nach § 28 Abs. 6 Nr. 3 BDSG verarbeiten.
Nach § 28 Abs. 6 Nr. 3 BDSG ist die Erhebung, Verarbeitung und Nutzung der besonderen Arten personenbezogener Daten gestattet, wenn „dies zur Geltendmachung,
Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu
der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem
Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt.“
Wenn nun der Arbeitgeber zulässigerweise (d.h. unter den oben 3.2 genannten Voraussetzungen) Funktionen auf andere Konzernunternehmen überträgt, stellt sich die
Frage, ob dies die Befugnis zur Übermittlung von besonderen Arten personenbezogener Daten und deren Verarbeitung und Nutzung durch den Funktionsübernehmer umfassen kann.
Die Rechtslage ist unklar, da der für die Funktionsübertragung in Betracht kommende
Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 bzw. Abs. 3 Nr. 1a BDSG (s.o. Nr.
3.2) an sich gerade nicht die Übermittlung besonderer Arten personenbezogener Daten rechtfertigen kann.
Der Gesetzgeber wollte jedoch nach der Gesetzesbegründung nicht verhindern, dass
die in § 3 Abs. 9 BDSG genannten Daten weiterhin im Rahmen der Grundsätze des
allgemeinen arbeitsrechtlichen Informations- und Datenschutzes erhoben, verarbeitet
und genutzt werden22.
Wenn der „Funktionsübernehmer“ selbst besondere Arten personenbezogener Daten
erhebt, kann er sich – wie der Arbeitgeber selbst – auf § 28 Abs. 6 Nr. 3 BDSG oder
bereichsspezifische Regelungen, soweit einschlägig, berufen.
Für die Übermittlung dieser Daten vom Arbeitgeber an den Funktionsübernehmer
passen diese Regelungen nicht unmittelbar. Ausgehend von dem o.g. Willen des Gesetzgebers lassen sich jedoch folgende Argumente für die Zulässigkeit der Übermittlung von besonderen Arten personenbezogener Daten im Rahmen der nach Maßgabe
der Ausführungen unter Nr. 3.2 zulässigen Funktionsübertragung anführen:
Bereits bisher wurden im Falle einer Betriebsübernahme nach § 613a BGB die erforderlichen Datenübermittlungen an den Betriebsübernehmer nach § 28 BDSG grundsätzlich als zulässig bewertet23. (Der Arbeitnehmer kann diese Übermittlungen nur
durch einen Widerspruch verhindern, der zugleich dazu führt, dass sein Arbeitsverhältnis nicht auf den Übernehmer übergeht, sondern mit dem veräußernden Unter21
Gesetzesbegründung zu § 28 Abs. 6-9, BT-Drucks. 14/4329 vom 13. Okt. 2000
Gesetzesbegründung zu § 28 Abs. 6-9, BT-Drucks. 14/4329 vom 13. Okt. 2000; Gola, RDV 2001,
125 (127)
23
vgl. Gola, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 628
22
11
nehmen bestehen bleibt; in diesem Fall wird aber das veräußernde Unternehmen das
Arbeitsverhältnis regelmäßig betriebsbedingt kündigen).
Wenn damit zwangsläufig auch die Übermittlung besonderer Arten personenbezogener Daten zulässig sein muss, so gilt dieser Rechtsgedanke analog, wenn nicht die
gesamte Arbeitgeberposition, sondern nur eine einzelne Funktion übertragen wird.
Man könnte auch sagen, dass die besonderen Arten personenbezogener Daten und
zugleich die Erlaubnistatbestände zu deren Verarbeitung und Nutzung als Annex mit
übergehen und der Arbeitgeber diese Daten daher übermitteln darf.
In der Arbeitsgruppe bestand Einigkeit, dass jedenfalls bei den unter Nr. 6 dargestellten und als zulässig bewerteten Funktionsübertragungen auch besondere Arten personenbezogener Daten im erforderlichen Umfang übermittelt und vom Funktionsübernehmer verarbeitet und genutzt werden dürfen. Allerdings sollte der Gesetzgeber klare Regelungen schaffen, um Auslegungsstreitigkeiten bei § 28 Abs. 6 Nr. 3 BDSG zu
vermeiden.
4.
Einwilligung
Zu dieser Problematik hat die Europäische Artikel 29-Datenschutzgruppe in ihrer Stellungnahme 8/2001 die Auffassung geäußert, „dass es in den Fällen, in denen ein Arbeitgeber zwangsläufig auf Grund des Beschäftigungsverhältnisses personenbezogene Daten verarbeiten muss, irreführend ist, wenn er versucht, diese Verarbeitung auf
die Einwilligung der betroffenen Person zu stützen. Die Einwilligung der betroffenen
Person sollte nur in den Fällen in Anspruch genommen werden, in denen der Beschäftigte eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen.“ Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus.
Sie kommt aber insbesondere bzgl. der Teilnahme an Aktienoptionsprogrammen oder
Bonussystemen in Betracht, bzgl. letzteren allerdings nur dann, wenn die Teilnahme
an den Bonussystemen nicht die einzige Chance ist, um überhaupt eine berufliche
Aufstiegsmöglichkeit zu haben.
5.
Betriebsvereinbarungen
Auf Grund ihres normativen Charakters stellen Konzern-, Gesamt- oder Betriebsvereinbarungen zwischen Arbeitgebern und Betriebsräten oder die diesen gleichstehende
Einigungsstellensprüche formal gesehenen Rechtsvorschriften i.S.d. § 4 Abs. 1 BDSG
und damit Erlaubnisnormen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten dar. Nach der Rechtsprechung des Bundesarbeitsgerichtes (BAG)
können Betriebsvereinbarungen und der Spruch der Einigungsstelle auch zu Ungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen. Sie müssen sich
aber im Rahmen der Regelungskompetenz der Betriebspartner halten und den
Grundsätzen über den Persönlichkeitsschutz des Arbeitnehmers Rechnung tragen 24.
Demgegenüber vertreten die Aufsichtsbehörden die Auffassung, dass Betriebsvereinbarungen vom BDSG solange abweichen dürfen, wie sie die dort getroffenen Rege24
BAG, BB 1986, S. 2333 betr. Telefondatenerfassung
12
lungen durch Schutzverordnungen ersetzen, die den je spezifischen Beschäftigungsbedingungen besser angepasst, allerdings mindestens ebenso weit reichend sind. Der
Schutz der informationellen Selbstbestimmung könne präzisiert und ausgebaut, nicht
jedoch verdrängt werden25.
Wenn mit Hilfe von Betriebsvereinbarungen der oben unter Nr. 3, insbesondere unter
Nr. 3.2, dargestellte Gestaltungsspielraum genutzt wird, (und die dortigen Anforderungen erfüllt sind) bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung. Es kann dann im Grunde sogar
dahingestellt bleiben, ob die Betriebsvereinbarung als vorrangige Rechtsnorm anzusehen ist oder ob § 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Nr. 1 BDSG die Übermittlung rechtfertigt. Die unter Nr. 3.2 geforderten besonderen Regelungen können somit
in Form von Betriebsvereinbarungen geschaffen werden.
6.
Einzelfälle
6.1 Konzernweites Namens-, Telefon- und eMail-Verzeichnis
In vielen Konzernen – insbesondere internationalen – werden Namens-, Telefon- und
eMail-Verzeichnisse genutzt, häufig enthalten diese Verzeichnisse personenbezogene
Daten sämtlicher Mitarbeiter.
Sofern es für die Erbringung der Arbeitsleistung jedes Mitarbeiters aktuell erforderlich
ist, dass er auf die dienstlichen „Kommunikationsdaten“ (Name, Abteilung, dienstliche
Telefon- und Telefax-Nummer, eMail-Adresse) aller anderen im Verzeichnis aufgeführten Mitarbeiter zugreifen kann und diese auf seine Daten zugreifen können, weil
es erforderlich ist, dass jeder mit jedem kommunizieren kann, wäre die Erstellung und
Übermittlung des Verzeichnisses im Intranet gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.
Ansonsten kommt § 28 Abs. 1 Satz 1 Nr. 2 oder § 28 Abs. 3 Nr. 1 BDSG in Betracht.
Ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen kann jedoch nur anerkannt werden, wenn zumindest ein vernünftiger Grund
für ein konzernweites Verzeichnis besteht (z.B. zentrale Versendung von eMails zur
zeitgleichen Information aller Mitarbeiter; grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen).
Differenzierungen entsprechend den aktuellen und konkreten Aufgabenzusammenhängen (z.B. Abteilung 1 des Konzernunternehmens X muss grundsätzlich nur mit
Abteilung 2 des Unternehmens Y und Z, nicht aber mit deren Abteilung 1 kommunizieren können) sind dann nicht erforderlich, denn sie würden dazu führen, dass mehrere,
unter Umständen eine Vielzahl verschiedener Verzeichnisse erstellt werden müssten.
Angesichts der geringen „Sensitivität“ der Daten wäre dies ein unverhältnismäßiger
Aufwand.
Um jedoch den schutzwürdigen Belangen der betroffenen Mitarbeiter, insbesondere
Nicht-Funktionsträger (z.B. Schreibkraft, LKW-Fahrer) Rechnung zu tragen, ist die
beabsichtigte Erstellung des Verzeichnisses vorher bekannt zu machen, damit Betroffene besondere Gründe vortragen können, die einer Aufnahme in das Verzeichnis
25
Simitis, § 28 Rn. 47
13
entgegenstehen (Abwägung im Rahmen des § 28 Abs. 1 Nr. 2 BDSG bzw. des § 35
Abs. 5 BDSG).
Soll das Verzeichnis im Internet veröffentlicht werden, müssen Nicht-Funktionsträger
generell ein Widerspruchsrecht haben26.
6.2 Auslagerung/Zentralisierung der Personalverwaltung
In der Arbeitsgruppe bestand Einigkeit, dass dies entweder als Auftragsdatenverarbeitung oder nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. § 28 Abs. 3 Nr. 1 BDSG, sofern
besondere Datenschutzregelungen geschaffen werden, realisiert werden kann (s.o.
Nr. 2 und 3.2).
Im erforderlichen Umfang können auch besondere Arten personenbezogener Daten
übermittelt werden (s.o. Nr. 3.3).
6.3 Datenübermittlung im Rahmen von Matrix-Strukturen
Ein Phänomen, das in der Praxis vielfach zu beobachten ist, stellt die zunehmende
Organisation der Unternehmen in Matrix-Strukturen dar. Dies spiegelt sich u. a. auch
in der Vorgesetztenstruktur wider. Ein Arbeitnehmer hat innerhalb einer solchen Matrix-Struktur unter Umständen eine Vielzahl von Vorgesetzten, zugleich steigt die Anzahl der zur Gewährleistung der Matrix-Struktur zu übermittelnden Daten des Arbeitnehmers bei den verschiedenen Stellen.
Dies bedeutet, dass durch die einzelnen Unternehmen hindurch über horizontale
Gliederung Leitungsstränge und Verantwortungsbereiche geschaffen werden, indem
die Fachvorgesetztenfunktion, teilweise auch die Personalvorgesetztenfunktion auf ein
oder mehrere Personen in anderen Konzernunternehmen übertragen werden.
Ist diese Struktur bei Eingehung des Arbeitsvertrages bereits vorhanden und erkennbar sowie vom Betroffenen gebilligt, hat das Arbeitsverhältnis Konzernbezug und § 28
Abs. 1 Satz 1 Nr. 1 BDSG ist Rechtsgrundlage.
Wird eine solche Struktur jedoch erst nach Eingehung des Arbeitsverhältnisses geschaffen, erfolgt grundsätzlich eine Umgestaltung des Arbeitsverhältnisses als
Rechtsbeziehung zwischen Arbeitnehmer und Arbeitgeber in eine Beziehung des Arbeitnehmers zu verschiedenen Unternehmen. Als Rechtsgrundlage für Übermittlungen
an dasjenige Unternehmen, dem der „Matrix-Vorgesetzte“ angehört, kommt § 28 Abs.
1 Satz 1 Nr. 2 BDSG oder § 28 Abs. 3 Nr. 1a BDSG in Betracht.
Wenn jedoch der „Matrix-Vorgesetzte“ als rechtsgeschäftlicher Vertreter des jeweiligen Arbeitgebers der betroffenen Mitarbeiter tätig wird, ist § 28 Abs. 1 Satz 1 Nr. 1
BDSG Rechtsgrundlage für die Datenweitergabe.
In anderen Fällen liegt eine Funktionsübertragung vor, so dass die unter Nr. 3.2 und
Nr. 3.3 aufgezeigten Grundsätze gelten.
26
vgl. Tätigkeitsbericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für 1998, Nr.
5.4, S. 170 f.
14
Auf die dort geforderten speziellen Konzernregelungen kann jedoch trotz Übertragung
nicht unerheblicher Entscheidungsbefugnisse verzichtet werden, sofern ein enger Arbeitszusammenhang zwischen den an der Matrixstruktur beteiligten Konzernbereichen
besteht, insbesondere bei Projektarbeit zwischen den betroffenen Mitarbeitern. Denn
wenn sich eine Matrixstruktur auf Grund des Arbeitsinhaltes geradezu aufdrängt, sind
auch die Interessen der betroffenen Mitarbeiter an einem Ausschluss der Übermittlung
geringer zu bewerten.
6.4 Skill-Datenbanken
Konzernübergreifende Datenbanken, in denen besondere Fähigkeiten eines Mitarbeiters gespeichert sind, werden zu verschiedenen Zwecken erstellt.
Teilweise dienen sie zur optimalen Rekrutierung von Führungskräften oder generell
der Vergabe von Beförderungsstellen im Konzern. Oftmals soll eine solche Datenbank
aus Gründen der Chancengleichheit nicht von vornherein auf die Gruppe der Führungskräfte beschränkt werden. Skill-Datenbanken können auch den gegenwärtigen
operativen Bereich betreffen, um die richtigen Mitarbeiter mit wenig zeitlichem und
finanziellem Aufwand an für den Konzern optimaler Stelle zu platzieren.
Vielfach ist es den Mitarbeitern freigestellt, ihre Daten in die Skill-Datenbank einzugeben.
Sofern Freiwilligkeit gewährleistet ist, kann die Verarbeitung der Personaldaten in der
Skill-Datenbank durch eine Einwilligung der Beschäftigten im Sinne von § 4a BDSG
(ggf. durch aktives Tun) gerechtfertigt werden.
Nicht immer ist die Aufnahme in die Skill-Datenbank jedoch freiwillig, dies gilt insbesondere für solche, die der Teambildung dienen oder dem gesetzlich geforderten
Nachweis einer bestimmten Qualifikation.
Je nach Zweck der Datenbank und dem Kreis der Zugriffsberechtigten kommt § 28
Abs. 1 Satz 1 Nr. 1 BDSG oder § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. § 28 Abs. 3 Nr.
1a BDSG als Rechtsgrundlage in Betracht.
Sollen Skill-Datenbanken verwendet werden, um potentiellen Kunden die Qualifikation
der Mitarbeiter nachzuweisen, kommt – soweit ein solcher Qualitätsnachweis überhaupt erforderlich ist – grundsätzlich nur die Übermittlung solcher Daten in Betracht,
aus denen der Kunde keine Rückschlüsse auf die Identität des Mitarbeiters ziehen
kann.
6.5 Übertragung wichtiger Personalentscheidungen
Werden wichtige Personalentscheidungen isoliert auf andere Unternehmen übertragen, d.h. nicht im Rahmen von Matrixstrukturen und auch nicht im Rahmen einer
Zentralisierung der Personalverwaltung, so ist die Zulässigkeit der hierfür erfolgenden
Übermittlungen von Personaldaten besonders kritisch zu prüfen.
Dies gilt insbesondere, wenn eine Konzernmutter die Übermittlung personenbezogener Personaldaten fordert, um über betriebsbedingte Kündigungen in der Tochtergesellschaft zu entscheiden, vor allem um die Sozialauswahl zu treffen. In einem solchen Fall dürfte sich keine Fürsorgebeziehung zwischen der Konzernmutter und dem
15
einzelnen Arbeitnehmer wie bei einer langjährigen umfassenden persönlichen Personalbetreuung entwickelt haben. Da die Daten aus dem üblichen Kontext gerissen werden und somit eine gewisse Gefahr besteht, dass sie in sachlich nicht gerechtfertigter
Weise genutzt werden, stehen die schutzwürdigen Belange der Betroffenen einer personenbezogenen Übermittlung entgegen.
Auch die Übermittlung nur pseudonymisierter Daten ist aus diesen Erwägungen problematisch, so dass grundsätzlich nur die Übermittlung statistischer Daten in Betracht
kommt.
Wenn die Konzernmutter die konkrete Entscheidung über die Einstellung eines neuen
Mitarbeiters trifft, so ist die hierfür ggfs. erfolgende Datenübermittlung zulässig, wenn
dies transparent gemacht und die Konzernmutter auch als insoweit verantwortliche
Stelle gemäß § 4 Abs. 3 Nr. 1 BDSG von vornherein genannt wird oder der Arbeitgeber jedenfalls die Bewerber zumindest gemäß § 4 Abs. 3 BDSG informiert und die
Konzernmutter dann gemäß § 33 BDSG benachrichtigt.
Sofern eine konzerninterne oder externe Stelle nur als Berater fungiert und die Vorauswahl trifft, d.h. Entscheidungsvorschläge unterbreitet, gehen die Vertreter der Wirtschaft teilweise davon aus, dass dies als Auftragsdatenverarbeitung gestaltbar sei
(vgl. die oben unter Nr. 2 dargestellte Diskussion).
7.
Drittstaatentransfer
Für die Übermittlung von personenbezogenen Daten an ein Konzernunternehmen in
Staaten außerhalb der Europäischen Union und außerhalb der Vertragsstaaten des
Europäischen Wirtschaftsraumes gelten die besonderen Anforderungen der §§ 4b, 4c
BDSG. Diese sind zusätzlich zu den o.g. Anforderungen für Datenübermittlungen
nach §§ 28 und 4 BDSG zu beachten. Die Prüfung ist in zwei Stufen durchzuführen.
Bei der in der 2. Stufe zu bewertenden Frage, ob ein angemessenes Datenschutzniveau im Sinne des § 4b BDSG bzw. ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechtes und der Ausübung der damit verbundenen Rechte im
Sinne des § 4 c Abs. 2 BDSG vorliegen, sind verbindliche Unternehmensregelungen
und Verträge zwischen den Konzernunternehmen zu beachten. Diese Regelungen
können je nach Lage des Einzelfalls auch dazu dienen, die Voraussetzungen des § 28
BDSG, die in der 1. Stufe zu prüfen sind, zu erfüllen.