Datenübermittlung im Konzern
Wann dürfen personenbezogene Daten von Beschäftigten innerhalb eines Konzerns an andere Konzerngesellschaften übermittelt werden?
Mit dieser Frage müssen sich Arbeitgeber immer häufiger befassen – etwa im Zusammenhang mit der Einrichtung eines unternehmensübergreifenden Kontaktdatenmanagements oder Talentpools, wie auch bei der konzernweiten Einführung von HCM-Softwaresystemen, die von dem herrschenden Unternehmen auch für andere Konzerngesellschaften zur Nutzung bereitgestellt werden. Das LAG Hamm und das LAG Baden-Württemberg stellen in zwei aktuellen Entscheidungen neue Leitlinien zur Auslegung der einschlägigen Rechtsnormen auf, die auch für die Praxis von großer Bedeutung sind.
Rechtlicher Rahmen für die Datenübermittlung im Konzern
Für die Übermittlung personenbezogener Daten innerhalb eines Konzern gilt auch nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) kein Konzernprivileg.
Diese – zutreffende – Aussage kann zahlreichen Fachpublikationen entnommen werden. Das bedeutet konkret, dass jedes Konzernunternehmen datenschutzrechtlich eine eigene Verantwortlichkeit (Art. 4 Nr. 7 DSGVO) besitzt und die Unternehmen im Verhältnis zueinander als „Dritte“ (Art. 4 Nr. 10 DSGVO) anzusehen sind. Daraus folgt wiederum, dass es jede Datenübermittlung innerhalb des Konzerns auf eine datenschutzrechtliche Erlaubnisvorschrift gestützt werden können muss.
Hierfür kommen zwei gesetzliche Erlaubnistatbestände in Betracht:
- Nach § 26 Abs. 1 Satz 1 BDSG ist die Übermittlung insbesondere zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines bestimmten Arbeitsverhältnisses erforderlich ist.
- Art. 6 Abs. 1 Buchst. f DSGVO gestattet eine Datenübermittlung im Konzern, wenn der Arbeitgeber ein berechtigtes Interesse vorweisen kann, das gegenüber dem Interesse der betroffenen Arbeitnehmer am Unterbleiben der Datenverarbeitung überwiegt.
Grundsätzlich kann eine Datenübermittlung im Konzern auch auf eine Konzernbetriebsvereinbarung gestützt werden, die als Kollektivvereinbarung im Sinne von Art. 88 Abs. 1 DSGVO ebenfalls als „spezifische Vorschrift“ für die Verarbeitung von personenbezogenen Beschäftigtendaten anerkannt ist. Hierbei ist allerdings zu beachten, dass die Konzernbetriebsvereinbarung keine Datenverarbeitung für zulässig erklären kann, die nach dem verbindlichen Mindeststandard der DSGVO unzulässig wäre. Die Konzernbetriebsvereinbarung kann also faktisch nur dazu dienen, konzernspezifische Rahmenbedingungen für eine von Gesetzes wegen – im Grundsatz – ohnehin zulässige Datenverarbeitung aufzustellen, die Datenübermittlung dadurch zusätzlich abzusichern und dem Grundsatz der Accountability (Art. 5 Abs. 2 DSGVO) Rechnung zu tragen.
Eine Einwilligung der Beschäftigten ist jedenfalls in der Praxis in aller Regel keine taugliche Rechtsgrundlage für die Datenverarbeitung, weil sie jederzeit ohne Angabe von Gründen widerrufen werden kann. Standardprozesse können damit nicht abgesichert werden.
Schließlich kann eine Datenübermittlung Konzern auch dadurch ermöglicht werden, dass zwischen den Konzernunternehmen ein Vertrag zur Auftragsverarbeitung abgeschlossen wird, der den Anforderungen des Art. 28 Abs. 3 DSGVO genügt. Dieses Vorgehen ist aber nur dann das Mittel der Wahl, wenn die Auftragsverarbeitung weisungsgebunden erfolgt. Haben beide Konzernunternehmen Einfluss auf die Zwecke und die Mittel der Datenverarbeitung scheidet eine Auftragsverarbeitung aus. Lesenswert dazu ist das DSK-Kurzpapier Nr. 13.
LAG Hamm: Wann rechtfertigt ein „berechtigtes Interesse“ des Arbeitgebers die Datenübermittlung?
Weil die Hürden für eine Anwendung von § 26 Abs. 1 Satz 1 BDSG bei der Datenübermittlung im Konzern hoch sind, rückt in der Praxis vor allem die Erlaubnisvorschrift in Art. 6 Abs. 1 Buchst. f DSGVO in den Fokus. Da die Vorschrift in der Sache eine Abwägung zwischen den berechtigten Interessen des Arbeitgebers bzw. der Konzernunternehmen an der Durchführung der Datenübermittlung und dem Interesse der betroffenen Beschäftigten an dem Unterbleiben der Datenverarbeitung verlangt, ist es häufig eine Frage des Einzelfalls, ob die Datenverarbeitung zulässig ist oder nicht. Umso wichtiger ist es, dass sich Unternehmen auf von der Rechtsprechung entschiedene Präzendenzfälle stützen können, die bei der Bewertung eigener Vorhaben helfen.
Einen solchen Präzedenzfall liefert nun das LAG Hamm in seinem aktuellen Urteil vom 14. Dezember 2021 (Az. 17 Sa 1185/20).
Was war passiert?
In dem Rechtsstreit klagte eine Arbeitnehmerin auf Unterlassung und Schadensersatz in Bezug auf eine – nach ihrer Ansicht – unzulässige Datenübermittlung innerhalb eines Krankenhaus-Konzerns.
Der Arbeitgeber hatte mit dem Ziel einer Vergleichsdatenbildung unter anderem Daten zur Person und zum Gehalt von Arbeitnehmern an eine andere Konzerngesellschaft innerhalb des Klinikverbunds übermittelt. Arbeitnehmerdaten an eine andere Gesellschaft weitergegeben. Sie stütze sich dabei auf ihr berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst f. DSGVO und argumentierte, dass die Datenübermittlung auch im Interesse der Mitarbeiter liege, weil ein Vergleichsdatenbestand zu mehr Lohngerechtigkeit führe. Auch für die Klägerin könne der Datenvergleich positive Auswirkungen haben, weil Gehaltsanpassungen immer nur nach oben denkbar seien.
Die Klägerin war demgegenüber der Auffassung, dass die Übermittlung zumindest in dem vorgenommenen Umfang nicht erforderlich gewesen sei, um die Zielsetzung des Arbeitgebers zu erreichen. Vielmehr hätte eine Datenübermittlung in anonymisierter bzw. pseudonymisierter Form ausgereicht. Durch geeignete Vorkehrungen, z.B. durch Übermittlung der Informationen in einem neutralen Umschlag, der keinen Hinweis auf den Absender beinhaltet, könne sichergestellt werden kann, dass eine Zuordnung zu einem einzelnen Unternehmen und damit einem dort beschäftigten Arbeitnehmer ausgeschlossen werde.
Schadensersatzpflicht des Arbeitgebers
Das Arbeitsgericht Herne gab der Unterlassungsforderung der Klägerin überwiegend statt und verurteilte den Arbeitgeber zur Zahlung von Schadensersatz in Höhe von 2.000,00 Euro. Das LAG Hamm bestätigte die Entscheidung nun, ließ jedoch die Revision zum BAG zu (Az. 2 AZR 81/22). Das LAG argumentierte, dass der Arbeitgeber grundsätzlich ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO habe, die Gehaltsdaten konzernintern zu übermitteln, um einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten AT-Mitarbeiter zu ermöglichen. Allerdings sei die Datenverarbeitung in dem konkreten Umfang nicht erforderlich gewesen, weil eine Pseudonymisierung der übermittelten Daten möglich gewesen wäre, ohne den Verarbeitungszweck des Arbeitgebers zu gefährden. Es wäre auch möglich gewesen, sich einen Überblick über das Gehaltsgefüge der AT-Mitarbeiter der Verbundkliniken zu verschaffen, ohne die Angabe des Namens, des Geburtsdatums und die Privatadresse Arbeitnehmernin zu übermitteln.
LAG Baden-Württemberg zur Datenübermittlung in Drittstaaten (USA)
Besondere Anforderungen bestehen bei der Datenverarbeitung mit Drittstaatenbezug – und dies nicht erst seit der berühmten „Schrems II“ Entscheidung des Europäischen Gerichtshofs im Jahr 2020 (Rs. C-311/18). Hier bedarf es einer zweistufigen Zulässigkeitsprüfung:
- Auf der ersten Stufe ist zu prüfen, ob die Datenübermittlung nach den allgemeinen Voraussetzungen für die Datenverarbeitung, d.h. insbesondere nach § 26 Abs. 1 BDSG oder nach Art. 6 DSGVO zulässig ist.
- Liegen diese Voraussetzungen vor muss auf der zweiten Stufe nach Maßgabe der Art. 44 f. DSGVO zusätzlich geprüft werden, ob die EU-Kommission für das Drittland ein angemessenes Datenschutzniveau festgestellt hat, geeignete Garantien vorliegen oder eine Ausnahme nach Art. 49 DSGVO greift.
In seinem Urteil vom 25. Februar 2021 (Az. 17 Sa 37/20) hatte sich das LAG Baden-Württemberg mit dieser Prüfung näher zu befassen.
Was war passiert?
Ebenso wie in dem Rechtsstreit des LAG Hamm ging es auch in dem Verfahren beim LAG Baden-Württemberg um die Schadensersatzforderung eines Arbeitnehmers wegen einer Datenübermittlung innerhalb des Konzerns – hier jedoch mit internationalem Bezug.
Die US-amerikanische Konzernmuttergesellschaft des beklagten Arbeitgebers beabsichtigte im Jahr 2017 (und damit vor dem Inkrafttreten der DSGVO), die Softwarelösung Workday konzernweit einzuführen und schloss hierzu eine sog. Duldungsbetriebsvereinbarung mit dem Betriebsrat ab, die einen Testbetrieb regelte. Der Testbetrieb umfasste unter anderem auch die Übermittlung von personenbezogenen Arbeitnehmerdaten an die Konzernmuttergesellschaft in den USA im Rahmen einer konzerninternen Auftragsverarbeitung ein.
Der Kläger machte zur Begründung seines Schadensersatzbegehrens nach Art. 82 Abs. 1 DSGVO geltend, dass der Arbeitgeber im Rahmen der Tests auch Daten übermittelt habe, die nicht von der Duldungsvereinbarung umfasst gewesen seien. Die USA würden zudem keinen wirksamen Schutz personenbezogener Daten garantieren.
LAG Baden-Württemberg: Klage auf immateriellen Schadensersatz zurecht abgewiesen!
Das LAG Baden-Württemberg folgte der Entscheidung erster Instanz und wies die Berufung des Arbeitnehmers zurück. Es bestehe kein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO.
Die vor dem Inkrafttreten der DSGVO am 25. Mai 2018 erfolgte Datenübermittlung in die USA sei nicht am Maßstab der Verordnung zu messen. Aber auch nach dem Inkrafttreten der DSGVO habe der Arbeitgeber nicht gegen deren Vorgaben verstoßen. Er habe mit der US-Konzernmuttergesellschaft einen Vertrag zur Auftragsverarbeitung abgeschlossen, der den Anforderungen des Art. 28 Abs. 3 DSGVO entspreche. Zudem sähe der Vertrag EU-Standardvertragsklauseln auf der Grundlage des Kommissionsbeschlusses (2010/87/EU) vor. Es bestehe zwar die Möglichkeit, dass US-Behörden und Konzerngesellschaften unbefugt auf Daten des Arbeitnehmerns zugreifen könnten, so dass ein immaterieller Schaden grundsätzlich entstehen könne. Dies habe der Arbeitnehmer im Prozess aber nicht hinreichend dargelegt.
Die Datenübermittlung mithilfe der Softwareanwendung Workday sei zwar nur teilweise von der Duldungsbetriebsvereinbarung gedeckt gewesen. Sie konnte auch nicht hilfsweise auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden. Allerdings habe der Arbeitnehmer auch insoweit nicht dargelegt, dass ihm ein Schaden entstanden sei. Bloße Befürchtungen stellen nach Ansicht des LAG keinen ersatzfähigen Schaden dar.
Die Revision ist zugelassen (Az. 8 AZR 209/21).
Fazit
Die rechtssichere Datenübermittlung im Konzern bleibt eine Herausforderung für Arbeitgeber. Die Entscheidungen des LAG Hamm und des LAG Baden-Württemberg dienen zwar der Rechtsfortbildung und damit zugleich einer wachsenden Rechtssicherheit in diesem Themenfeld. Sie belegen aber auch, dass Arbeitgeber gut beraten sind, genau zu prüfen, welche konkreten Daten zur Erreichung ihrer berechtigten Interessen tatsächlich nötig sind und deshalb konzernintern übermittelt werden müssen. Bei der internationalen Datenübermittlung in die USA ist zudem dringend die Verwendung der – erst kürzlich aktualisierten – EU-Standardvertragsklauseln zu überdenken, die auch nach dem „Schrems II“ Urteil des EuGH weiterhin als taugliches Fundament für die Datenübermittlung in Drittstaaten sein können.