Werden Mitarbeiterdaten in einer Unternehmensgruppe etwa durch die Konzernmutter in eigener Verantwortung verarbeitet, bedarf es für die Datenübermittlung einer geeigneten Rechtsgrundlage. Eine Betriebsvereinbarung bietet sich hierfür an. Bei der Erstellung einer solchen sind jedoch wichtige Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten.
Betriebsvereinbarung als alternative Rechtsgrundlage
Sehr oft bauen Unternehmensgruppen auf gemeinsame Prozesse innerhalb der Gruppe auf. Vielerorts werden dabei Leistungen im Auftrag erbracht, die unter Beachtung der Vorgaben des Art. 28 DSGVO ausgestaltet werden müssen.
Gerade in Konzernstrukturen oder anderen Organisationen mit einer übergeordneten oder zentralen Stelle werden Aufgaben aber häufig auch in eigener Verantwortung etwa einer Muttergesellschaft wahrgenommen. Auch hier werden Daten zwischen den beteiligten Stellen übermittelt. Sobald aber die Verarbeitung durch das jeweils andere Unternehmen auch oder nur in eigener Verantwortung erfolgt, stellen sich zusätzliche oder andere Fragen, als die nach einer ordnungsgemäßen Verarbeitung im Auftrag.
Sollen personenbezogene Daten an eine andere Stelle übermittelt werden, die dann selbständig über Zweck und Mittel entscheiden möchte, muss bereits für die Übermittlung der Daten eine Rechtsgrundlage bestehen. In Frage kommen grundsätzlich die berechtigten Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO, die auch solche einer anderen Stelle sein können. Ebenfalls denkbar wäre eine Einwilligung der betroffenen Personen.
Zum Datentransfer im Konzern finden Sie bei uns auch eine grundsätzliche Anleitung sowie einen Überblick zu möglichen Rechtsgrundlagen für die Datenübermittlung.
Einer der Hauptfälle, in dem personenbezogene Daten zentral verarbeitet werden sollen, sind Personaldaten. Hier scheitern beide vorgenannten Rechtsgrundlagen oft. Die Berücksichtigung der oft sehr gewichtigen Interessen von besonders schutzbedürftigen Beschäftigten wird oftmals die Interessensabwägung ungünstig beeinflussen. Zudem scheidet eine Abwägung von vornherein aus, sobald besondere personenbezogene Daten betroffen sind. Ansonsten haben die Beschäftigten das Recht zum Widerspruch, welches weitere Hürden aufbaut. Eine zweifelsfreie Einwilligung von Beschäftigten einzuholen ist schwierig und auch diese ist grundsätzlich widerruflich.
Ein möglicher Ausweg könnte deswegen eine Betriebsvereinbarung als Rechtsgrundlage für die Datenübermittlung sein.
Zuständigkeit für eine Betriebsvereinbarung
Soll eine Betriebsvereinbarung konzernweit Transfer und Verarbeitung von Daten legitimieren, ist sicherzustellen, dass dafür überhaupt die notwendigen Befugnisse der Vertragspartner vorliegen. Denn die Zuständigkeit des eigenen Betriebsrats endet an der Unternehmensgrenze. Das heißt, der Betriebsrat kann Verarbeitungen im eigenen Unternehmen regeln; es ist ihm aber nicht möglich, über die Rechte der eigenen Mitarbeiter hinsichtlich der Datenverarbeitung durch andere konzernangehörige Unternehmen zu bestimmen.
Infrage kommt deswegen nur eine Konzernbetriebsvereinbarung. Für den Abschluss einer solchen Regelung muss jedoch – sofern ein solcher existiert – der Konzernbetriebsrat herangezogen werden. Denn nur ein solches Gremium kann eine vertragliche Bindung aller konzernangehörigen Unternehmen herstellen.
Achtung: Eine Betriebsvereinbarung kann stets nur Wirkung für Beschäftigte haben. Abgesehen von Konzernbetriebsvereinbarungen sind auch nur die Kollegen in einem konkreten Betrieb erfasst, für den die Betriebsvereinbarung gilt. Niemals können jedoch Rechtsverhältnisse von Bewerbern oder Dritten (externen Personen) mit einer Betriebsvereinbarung geregelt werden.
Anforderungen an die Betriebsvereinbarung
Dass eine Betriebsvereinbarung Grundlage für eine Verarbeitung personenbezogener und besonderer personenbezogener Daten sein kann, sagt § 26 Abs. 4 BDSG klar aus. Es wird aber auch herausgestellt, dass Art. 88 Abs. 2 DSGVO Anwendung findet.
Neben dem eigentlichen Regelungsgehalt sollten daher folgende Mindestanforderungen beachtet werden:
1. Schaffung eines konzernweiten Datenschutzkonzepts
Ein konzernweites Datenschutzkonzept soll zum einen die konkreten Zwecke festlegen, zu denen personenbezogene Daten im Konzern verarbeitet werden dürfen. Hierdurch wird der Arbeitnehmer auf organisatorischer Ebene davor geschützt, dass seine personenbezogenen Daten in nach deutschen Gesetzen rechtswidriger Art und Weise ausgewertet werden. Zum anderen sollen auch technisch-organisatorische Maßnahmen festgelegt werden, die den Schutz der Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten sollen.
2. Transparenz bzgl. des Verarbeitungsverlaufs der Daten
Da jede Verarbeitung von personenbezogenen Daten eines Mitarbeiters im Konzern grundsätzlich einen (wenn auch gerechtfertigten) Verstoß gegen das informationelle Selbstbestimmungsrecht darstellt, muss für den Mitarbeiter zumindest erkenntlich sein, von wem, auf welche Art und zu welchem Zweck seine Daten verarbeitet werden. Eine solche Schaffung geeigneter Transparenzmaßnahmen ist Grundvoraussetzung dafür, dass der Mitarbeiter seine Betroffenenrechte überhaupt wahrnehmen kann.
3. Arbeitgeber bleibt Verantwortlicher für personenbezogene Daten
Der eigene Arbeitgeber muss umfassender Ansprechpartner des Arbeitnehmers bleiben, dessen Daten im Konzern verarbeitet werden. Diese Anforderung dient ebenso wie das Transparenzgebot der Wahrnehmung der Rechte der Mitarbeiter. Denn gäbe es den eigenen Arbeitgeber nicht als zentralen Ansprechpartner, so müssten die Mitarbeiter sich unmittelbar an das datenverarbeitende Unternehmen wenden, was oftmals mit Sprachbarrieren oder auch Problemen bei der Auffindung eines zuständigen Ansprechpartners verbunden wäre. Um dies zu verhindern, werden diese Probleme auf den eigenen Arbeitgeber abgewälzt.
Fazit: Betriebsvereinbarungen sind geeignet, müssen aber taugen
Betriebsvereinbarungen sind ein gutes Mittel, insbesondere in nicht ganz eindeutigen Fällen der Verarbeitung personenbezogener (Mitarbeiter-)Daten, eine zweifelsfreie Rechtsgrundlage zu bieten. Verantwortliche sollten aber nicht übersehen, dass es um mehr geht, als nur eine Regelung zu erstellen, die sich inhaltlich allein auf den verfolgten Zweck richtet und andere Gesichtspunkte außen vorlässt. In der Praxis begegnen leider immer wieder Vereinbarungen, die nur teilweise geeignet sind.
Verantwortliche sollten auch in vermeintlich allein kollektivarbeitsrechtlichen Fragen stets den Rat Ihres Datenschutzbeauftragten einholen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!