GDD-Arbeitskreis „Datenschutz-Praxis“ · im Interesse der Mitarbeiter liegt, dass ihr...

GDD-Arbeitskreis

„Datenschutz-Praxis“Praxishilfe V

Mitarbeiterdaten imUnternehmensverbund

2. Auflage 2014

GDD - Arbeitskreis „Datenschutz-Praxis“ Praxishilfe V

Vorbemerkung

Zunehmend werden unternehmerische Ziele in nationalen und multinationalen Unternehmens-verbünden verfolgt und weltweite Datennetze sowie moderne Informations- und Kommunikati-onstechnologien vereinfachen den Datenaustausch. Im Zuge der Optimierung ihrer Geschäfts-tätigkeiten sind die Konzerne in wachsendem Maße darauf angewiesen, Mitarbeiterdaten an diekonzernangehörigen Unternehmen - häufig auch grenzüberschreitend - zu transferieren.

Angesichts der Tatsache, dass weder die EU-Datenschutzrichtlinie noch das Bundesdaten-schutzgesetz ein „Konzernprivileg“ kennen, ist die datenschutzrechtliche Zulässigkeit der Wei-tergabe von Mitarbeiterdaten im Unternehmensverbund häufig nicht unproblematisch. Vor die-sem Hintergrund greift der mit Datenschutzpraktikern und Juristen besetzte GDD-Arbeitskreis„Datenschutz-Praxis“ mit der vorliegenden Praxishilfe Grundsatzfragen und typische Personal-datenflüsse unter datenschutzrechtlichen Gesichtspunkten beispielhaft auf, um den betriebli-chen Datenschutzbeauftragten die praktische Umsetzung der einschlägigen rechtlichen Vorga-ben zu erleichtern und zugleich einen Beitrag zu mehr Rechtssicherheit in diesem Bereich zuleisten.

Bonn, im Januar 2014

GDD-Arbeitskreis „Datenschutz-Praxis“: Dr. Astrid Breinlinger, Joachim Broers, Uwe Dieckmann, Harald Eul, UweHagen, Andreas Jaspers, Christoph Klug, Gabriela Krader, Thomas Müthlein, Yvette Reif, Bettina Robrecht


- Alle Rechte vorbehalten -

© 2014 Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Heinrich-Böll-Ring 10 • 53119 Bonn

https://www.gdd.de

Nachdruck und Vervielfältigung jeder Art sind nur mit ausdrücklicher Genehmigung der GDDgestattet.

Bildnachweis Cover: Komposition von Grafiken/Bildern von http://www.freepik.com/ bzw.www.fotolia.de

GDD-Arbeitskreis „Datenschutz-Praxis“ - Praxishilfe V

Praxishilfe „Mitarbeiterdaten im Unternehmensverbund“, 2. Auflage, 2014

Herausgeber: Gesellschaft für Datenschutz und Datensicherheit e.V.


1

Inhaltsverzeichnis

I. Hinweise zur Nutzung der Praxishilfe ....................................................................3

II. Allgemeines..............................................................................................................3

1. Begriff des Unternehmensverbundes ..............................................................................3

2. Verantwortliche Stellen im Unternehmensverbund ..........................................................3

3. Weitergabe von Mitarbeiterdaten im Unternehmensverbund...........................................4

4. Transfer von Mitarbeiterdaten im internationalen Unternehmens-verbund ......................4

III. Rechtsgrundlagen der Personaldatenverarbeitung im Unternehmensverbund 4

1. Einleitung ........................................................................................................................4

2. Allgemeine Zulässigkeitsvoraussetzungen......................................................................5

2.1 Übersicht .....................................................................................................................5

2.2 Verhältnis zwischen § 32 und § 28 BDSG ...................................................................6

2.3 Zulässigkeitsvoraussetzungen des § 32 Abs. 1 Satz 1 BDSG .....................................7

2.4 Zulässigkeitsvoraussetzungen des § 32 Abs. 1 Satz 2 BDSG .....................................8

2.5 Zulässigkeitsvoraussetzungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG.............................8

2.6 Einwilligung .................................................................................................................9

3. Privilegierung der Auftragsdatenverarbeitung in der EU / dem EWR.............................10

3.1 Allgemeines...............................................................................................................10

3.2 Auswahl eines konzernangehörigen Auftragnehmers................................................10

3.3 Anforderungen an den Vertrag ..................................................................................10

3.4 Abgrenzung zur Funktionsübertragung......................................................................11

4. Besondere Zulässigkeitsvoraussetzungen beim Drittlandtransfer..................................12

4.1 Allgemeines...............................................................................................................12

4.2 Weitergabe sensitiver Mitarbeiterdaten......................................................................14


2

5. Unterrichtungspflichten bei der Datenerhebung ............................................................15

6. Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten ......................15

IV. Beispiele typischer Mitarbeiterdatenflüsse im Unternehmensverbund............15

1. Allgemeines ..................................................................................................................15

2. Steuerung der IT-Infrastruktur .......................................................................................16

2.1 Übergreifende Netzwerkadministration und Support..................................................16

2.2 Elektronische Kommunikationsverzeichnisse ............................................................17

2.3 Zentraler E-Mail- / Internet-Server .............................................................................18

2.4 Inanspruchnahme von Rechenzentrums- / IT-Dienstleistungen.................................19

2.5 Cloud-Computing ......................................................................................................20

3. Personalrecruiting .........................................................................................................21

4. Shared-Service-Center „Human Resources” .................................................................22

5. Zentrale Führungskräftebetreuung und -entwicklung.....................................................23

6. Übermittlung an Matrix-Vorgesetzte ..............................................................................23

7. Remotezugriffe auf Mitarbeiterdaten .............................................................................24

8. Skill-Management .........................................................................................................24

9. Mitarbeiterbefragung .....................................................................................................25

10. Compliance...................................................................................................................26

11. Bonusprogramme..........................................................................................................27

12. Werbliche Ansprache der Mitarbeiter ............................................................................27

13. Unternehmenstransaktionen .........................................................................................28


3

I. Hinweise zur Nutzung der Praxishilfe

Diese Praxishilfe besteht aus einem Grundlagenteil, der allgemein in die Rechtsgrundlagen derPersonaldatenverarbeitung im Unternehmensverbund einführt, sowie einem zweiten Teil, dertypische Personaldatenflüsse im Unternehmensverbund unter datenschutzrechtlichen Ge-sichtspunkten beispielhaft aufgreift. Damit ermöglicht die Praxishilfe sowohl eine grundlegendeals auch eine fallbezogene Lektüre.

II. Allgemeines

1. Begriff des Unternehmensverbundes

Unter einem Unternehmensverbund versteht man den Zusammenschluss von rechtlich undwirtschaftlich selbstständigen Unternehmen zu einer größeren Wirtschaftseinheit. Dabei ist esnicht zwingend, dass die Selbstständigkeit der einzelnen Unternehmen im Bereich wirtschaftli-cher Entscheidungen aufgehoben wird. Erfasst werden etwa auch Kooperationen in Form vonJoint-Ventures.

Auch ein Konzern ist als Unternehmensverbund zu qualifizieren. Charakteristisch ist hierbei derZusammenschluss mehrerer rechtlich selbstständiger Unternehmen (Legal Entities) zu einerwirtschaftlichen Einheit unter einer einheitlichen Leitung. Ein Konzern besteht regelmäßig auseinem Mutterunternehmen und einem oder mehreren Tochterunternehmen. Spezielle Organisa-tionsformen bei Konzernen sind die Holding-Organisation und die sog. Matrix-Organisation, dieneben den Legal Entities auch sonstige Geschäftseinheiten (Business Units) und/oder Shared-Service-Center beinhaltet.

2. Verantwortliche Stellen im Unternehmensverbund

Wie dargestellt, gehören einem Unternehmensverbund - z.B. einem Konzern - typischerweisemehrere rechtlich selbstständige Unternehmen an. Diese bilden jeweils eine verantwortlicheStelle im Sinne des BDSG. Letzteres schließt allerdings nicht aus, dass im Rahmen der Zu-sammenarbeit - etwa bei konzernübergreifenden Projekten - zusätzlich eine weitere, gemein-same verantwortliche Stelle z.B. in Form einer BGB-Gesellschaft entstehen kann.

Es existieren vielfältige Konzernformen und die Konzernstrukturen sind oft dynamisch. Im Hin-blick auf die datenschutzrechtliche Zulässigkeit von Datenflüssen stellt das BDSG nicht etwaauf Beherrschungsverhältnisse, sondern allein auf die verantwortliche Stelle (§ 3 Abs. 7 BDSG)ab. Hinsichtlich der datenschutzrechtlichen Verantwortlichkeit kommt es mithin nur auf dierechtliche Selbstständigkeit der Daten verarbeitenden Stelle an.

Des Weiteren können im Unternehmensverbund gemeinsame zentrale Dienstleister (gemein-sames Rechenzentrum, Shared-Service-Center etc.) auftreten. Bei einem rechtlich selbständi-gen Dienstleister kommt es hinsichtlich der datenschutzrechtlichen Verantwortung darauf an, obdieser lediglich als weisungsabhängiger Auftragnehmer i.S.v. § 11 BDSG tätig ist. Ist dies derFall, so verbleibt die datenschutzrechtliche Verantwortlichkeit grundsätzlich beim Auftraggeber.


4

3. Weitergabe von Mitarbeiterdaten im Unternehmensverbund

Verantwortliche Stellen im Unternehmensverbund sind im Rahmen der Verfolgung ihrer ge-meinsamen unternehmerischen Ziele vielfach auf die Übermittlung und Nutzung personenbezo-gener Daten angewiesen. Nach der Legaldefinition in § 3 Abs. 4 Satz 2 Nr. 3 BDSG bedeutetÜbermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener per-sonenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weiterge-geben werden oder dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsiehtoder abruft.

Da das BDSG keine Privilegierung hinsichtlich der Übermittlung von Mitarbeiterdaten an ver-bundene Unternehmen kennt und Personaldaten grundsätzlich vertraulich zu behandeln sind,bedarf es zur Legitimation einer solchen Übermittlung von Beschäftigtendaten insofern stetseines gesetzlichen Erlaubnistatbestandes. Anzumerken ist aber, dass es vielfach gerade auchim Interesse der Mitarbeiter liegt, dass ihr Beschäftigungsunternehmen (Arbeitgeber) ihre Datenan verbundene Unternehmen weitergibt. Dies kann z.B. aus Karrieregründen oder zur Abwick-lung von Bonusprogrammen geschehen.

4. Transfer von Mitarbeiterdaten im internationalen Unternehmens-verbund

Im Rahmen der Globalisierung hat die Anzahl multinationaler Unternehmensverbindungen starkzugenommen, womit verstärkt auch die grenzüberschreitende Übermittlung von Mitarbeiterda-ten einhergeht. Datenschutzrechtlich muss insofern zwischen der Datenweitergabe in EU- bzw.EWR-angehörige Länder und in sog. Drittländer differenziert werden. Folglich hat eine verant-wortliche Stelle neben der Prüfung des Erlaubnistatbestandes für die Datenweitergabe auch zuklären inwieweit beim Empfänger ein angemessenes Datenschutzniveau vorliegt. Die diesbe-züglichen Regelungen finden sich in §§ 4b, 4c BDSG (vgl. auch Ziff. III., 4.).

III. Rechtsgrundlagen der Personaldatenverarbeitungim Unternehmensverbund

1. Einleitung

Die nachfolgende Darstellung beschränkt sich im Wesentlichen auf die datenschutzrechtlichenAspekte der Personaldatenverarbeitung im Unternehmensverbund. Daneben sind die allgemei-nen arbeitsrechtlichen Bestimmungen zu beachten, wie etwa Tarifverträge und Mitbestim-mungsrechte. So ist z.B. zu beachten, dass das Outsourcing der Personaldatenverarbeitungjedenfalls insoweit durch den Betriebsrat mitbestimmt sein muss, als die an den Auftragnehmerdelegierte Datenverarbeitung eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter ermög-licht (§ 87 Abs. 1 Nr. 6 BetrVG). Mitbestimmungspflichtig ist dabei aber grundsätzlich nur dasausgegliederte Datenverarbeitungsverfahren, nicht die Ausgliederung an sich.

Gegebenenfalls empfiehlt sich der Abschluss einer Betriebsvereinbarung zur Legitimierung ei-ner Datenweitergabe im Unternehmensverbund. Aufgrund ihrer unmittelbaren Außenwirkung istsie als „andere Rechtsvorschrift“ im Sinne des § 4 BDSG anzusehen1. Der überwiegende Teil

1 Sokol, in: Simitis, BDSG 7. Aufl., § 4 Rn. 11.


5

der Aufsichtsbehörden und der Literatur sind allerdings der Ansicht, dass Betriebsvereinbarun-gen den Datenschutz gegenüber dem BDSG nicht einschränken können2. Dies bedeutet, dassim Falle einer vom BDSG abweichenden Regelung innerhalb der Betriebsvereinbarung diesemindestens so weitreichend sein muss, wie es das BDSG vorgibt.

Darüber hinaus kann eine Betriebsvereinbarung als Rechtsgrundlage für den Datentransfer insDrittland dienen, wenn ihre Regelungen zum Datenschutz an den Dienstleister im Drittlanddurchgereicht werden, so z.B. indem diese in einem Vertrag oder in einer anderen Unterneh-mensregelung für verbindlich erklärt werden. Denn die Betriebsvereinbarung selbst besitzt imAusland keine unmittelbare Rechtsgültigkeit, so dass es einer zusätzlichen Absprache bedarf3.Aber auch an dieser Stelle ist ein Vergleich mit den Schutzvorgaben des BDSG, so insbesonde-re §§ 4b, 4c BDSG geboten.

2. Allgemeine Zulässigkeitsvoraussetzungen

2.1 Übersicht

Gemäß § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Da-ten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt bzw. anord-net oder der Betroffene wirksam eingewilligt hat (Verbot mit Erlaubnisvorbehalt).

Bei der Suche nach einer entsprechenden Rechtsvorschrift für den Umgang mit Beschäftigten-daten im Unternehmensverbund ist grundsätzlich der im BDSG verankerte Subsidiaritätsgrund-satz zu beachten, der von einer vorrangigen Anwendung bereichsspezifischer Normen desBundes ausgeht, sollten diese den Umgang mit personenbezogenen Daten regeln (vgl. § 1 Abs.3 Satz 1 BDSG). Diese bereichsspezifischen Normen sind zwar im Zusammenhang mit derPersonaldatenverarbeitung im nicht-öffentlichen Bereich beispielsweise seltener anzutreffen,können jedoch Bedeutung bei der Überwachung der Informations- und Kommunikationstechnikam Arbeitsplatz (siehe Telekommunikationsgesetz oder Telemediengesetz) oder der Veröffent-lichung von Mitarbeiterfotos (siehe Kunsturhebergesetz, KunstUrhG) erlangen.

Hinsichtlich des Austausches von Mitarbeiterdaten im Konzern kommen als Erlaubnistatbestän-de in Betracht:

andere Rechtsvorschriften nach § 4 Abs. 1 BDSG (z.B. Betriebsvereinbarungen),

§ 32 Abs. 1 Satz 1 BDSG, sollte die Datenverarbeitung für die Entscheidung über dieBegründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäfti-gungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein,

§ 32 Abs. 1 Satz 2 BDSG zur Aufdeckung von Straftaten

überwiegende berechtigte Interessen der übermittelnden Stelle nach § 28 Abs. 1 Satz 1Nr. 2 BDSG,

überwiegende berechtigte Interessen des Datenempfängers nach § 28 Abs. 3 Satz 1Nr. 1 BDSG,

eine freiwillige, informierte Einwilligung nach § 4a BDSG

(ggf. auch schlüssig erteilt; z.B. bei informierter Mitwirkung der Mitarbeiter an der Daten-übermittlung - Employee Self Service),

2 Gola/Schomerus, BDSG 11. Aufl., § 4 Rn. 10a.3 Vgl. Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2002, Ziffer 4.7.3.


6

bei besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) besondere Grün-de nach § 28 Abs. 6 bis 9 BDSG (z.B. Einwilligung).

Je nachdem, ob die Daten an Stellen innerhalb oder außerhalb der EU / des EWR (vgl. hierzunachstehend Ziff. 4.) weitergegeben werden, bestehen unterschiedliche Zulässigkeitsvoraus-setzungen.

Auf Grund der durch die EU-Datenschutzrichtlinie4 bewirkten Harmonisierung gilt hinsichtlichder Übergabe von Mitarbeiterdaten an Konzernunternehmen im EU- / EWR-Bereich das Prinzipder Gleichbehandlung mit der inländischen Situation. Mithin ist der Austausch von Mitarbeiter-daten zwischen in Deutschland gelegenen Konzernunternehmen unter den gleichen Vorausset-zungen zulässig wie der Austausch dieser Daten zwischen einer deutschen Konzerngesell-schaft und einem in der EU / dem EWR gelegenen konzernangehörigen Unternehmen.

Der insoweit gewährleistete „freie Datenfluss“ im Binnenmarkt stellt jedoch kein Konzernprivilegdar, weswegen es zur datenschutzgerechten Datenweitergabe nach wie vor einer Erlaubnis-norm bedarf. Als allgemeine Zulässigkeitsregelung kommt insbesondere § 32 Abs. 1 Satz 1BDSG in Betracht, der zu einer Datenübermittlung berechtigen kann, sollte diese zur Begrün-dung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein.

2.2 Verhältnis zwischen § 32 und § 28 BDSG

Mit dem Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 20095 undder damit verbundenen Einführung des § 32 BDSG zur Regelung der Erhebung, Verarbeitungund Nutzung personenbezogener Daten im Beschäftigungskontext wurde eine Spezialnorm imBereich des Beschäftigtendatenschutzes geschaffen, die in Konkurrenz zur bisherigen zentra-len Legitimation konzernübergreifender Datenflüsse über § 28 BDSG tritt. Nach dem Willen desGesetzgebers konkretisiert § 32 BDSG im Hinblick auf Beschäftigungsverhältnisse § 28 Abs. 1Satz 1 Nr. 1 BDSG und verdrängt insoweit die Vorschrift. Hierbei möchte der Gesetzgeber diebereits im Rahmen des § 28 BDSG erarbeiteten Grundsätze der Rechtsprechung zum Beschäf-tigtendatenschutz weiterhin gelten lassen6, wenngleich das Merkmal der „Erforderlichkeit“ weiterin den Fokus gerückt wurde (vgl. Ziff. III., 2.3).

Inwieweit § 28 Abs. 1 BDSG überhaupt noch für Datenverarbeitungen im Beschäftigungsver-hältnis anwendbar ist, wird kontrovers diskutiert7. Dreh- und Angelpunkt ist die Frage, ob Da-tenverarbeitungen, die zwar nicht für die Begründung, Durchführung oder Beendigung einesBeschäftigungsverhältnisses erforderlich sind, jedoch einen Bezug zum Arbeitsverhältnis auf-weisen, noch nach § 28 Abs. 1 BDSG beurteilt werden können.

Mit Blick auf die Diskussionen um das Verhältnis zwischen § 28 BDSG und § 32 BDSG kanneine Einigkeit dergestalt konstatiert werden, dass § 28 Abs. 1 Satz 1 Nr. 2 und 3, Abs. 2 Nr. 1und 2 und Abs. 6 bis 8 BDSG nicht verdrängt werden, sollten Arbeitnehmerdaten außerhalbeiner für das Arbeitsverhältnis unmittelbaren Erforderlichkeit und ohne Bezug zu einem Arbeits-verhältnis verarbeitet werden (z.B. Geburtstagslisten oder Teilnahmelisten am freiwilligen Fir-menlauf).

4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei derVerarbeitung personenbezogener Daten und zum freien Datenverkehr.

5 BGBl. Jahrgang 2009 Teil I Nr. 54 vom 14.08.2009.6 Vgl. BT-Drucks. 16/13657 S. 20.7 Für eine Ausschließlichkeit des § 32 Abs. 1 BDSG im Beschäftigungskontext: Däubler, DKWW, BDSG § 32, Rn. 8; Schmidt, DuD

2010, 207 (209) sowie RDV 2009, 193 ff.; Für eine Anwendbarkeit auch im Beschäftigungsverhältnis: Thüsing, NZA 2009, 865(869); Joussen, JBArbR 2010, 69 (85).


7

Die Zulässigkeitsalternativen des § 28 Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nrn. 1 und 2 BDSG, dieeine Datenübermittlung auch für Zwecke außerhalb einer unmittelbaren arbeitsvertraglichenBeziehung ermöglichen, kommen jedoch nur ausnahmsweise in Betracht. Vor allem steht § 28Abs. 1 Satz 1 Nr. 2 BDSG dem Arbeitgeber nicht alternativ neben der Zulässigkeitsregelungdes § 32 BDSG zur Verfügung8. § 28 Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nrn. 1 und 2 BDSG kön-nen im Ausnahmefall eine Datenübermittlung rechtfertigen, wenn es um Vorgänge mit Bezugzum Arbeitsverhältnis geht, die jedoch bei enger Interpretation nicht mehr der Zweckbestim-mung des Vertragsverhältnisses zuzuordnen sind9. Diese vermittelnde Ansicht zwischen einemabsoluten und einem relativen Regelungsvorbehalt des § 32 Abs. 1 Satz 1 BDSG, der an dieserStelle gefolgt werden soll, kommt beispielsweise zu einer Anwendbarkeit des § 28 Abs. 1 Satz 1Nr. 2 BDSG, wenn Beschäftigtendaten im Konzernverbund weitergegeben werden, dieser Vor-gang jedoch streng genommen nicht für die Durchführung des Vertragsverhältnisses zwischenArbeitgeber und Arbeitnehmer erforderlich ist, trotzdem einen Bezug zum Arbeitsvertrag auf-weist (vgl. Ziff. III., 2.5). So z.B. bei freiwilligen Leistungen des Arbeitgebers oder im Rahmenvon Mitteilungen bei einem Unternehmensverkauf.

2.3 Zulässigkeitsvoraussetzungen des § 32 Abs. 1 Satz 1 BDSG

Beschäftigtendaten dürfen nach § 32 Abs. 1 Satz 1 BDSG erhoben, verarbeitet oder genutztwerden, falls dies im Rahmen der verschiedenen Phasen eines Beschäftigungsverhältnisses,d.h. seiner Begründung, seiner Durchführung oder seiner Beendigung, erforderlich ist. Als „Be-schäftigungsverhältnis“ versteht das Gesetz gem. § 3 Abs. 11 BDSG unter anderem das vorver-tragliche Rechtsverhältnis mit Bewerbern, das Vertragsverhältnis mit Arbeitnehmern und Aus-zubildenden sowie das nachvertragliche Rechtsverhältnis mit ausgeschiedenen Arbeitnehmern.

Erforderlich im Sinne des § 32 Abs. 1 Satz 1 BDSG ist diejenige Datenverwendung, für die esan einem milderen, gleichwertigen Mittel fehlt10.

§ 32 BDSG findet nach seinem Absatz 2 unabhängig davon Anwendung, ob Beschäftigtendatenautomatisiert, dateigebunden, in chronologisch geführten Personalakten oder auf einfachenNotizzetteln erhoben, verarbeitet oder genutzt werden. Folglich unterfallen auch telefonischeAnfragen einer Konzernmutter über Beschäftigte der Firmentochter der Regelung des § 32Abs. 1 BDSG.

Die Formulierung des § 32 Abs. 1 Satz 1 BDSG ändert an der zuvor nach § 28 Abs. 1 Satz 1Nr. 1 BDSG erarbeiteten Rechtslage nichts, zumal auch dort die Verarbeitung der Erfüllung legi-timer Vertragszwecke dienen musste, die auf andere Weise nicht gewahrt werden konnte. § 32BDSG fasst in diesem Sinne die zum bisherigen Arbeitnehmerdatenschutz entwickeltenGrundsätze zusammen11. Erlaubt sind demnach weiterhin Verarbeitungen, die sich unmittelbaraus dem Arbeitsvertrag ergeben.

Folglich sollte aus Gründen der Rechtssicherheit gerade bei Neueinstellungen oder Vertrags-änderungen der Umstand der Beteiligung von anderen Unternehmensteilen berücksichtigt wer-den. So können z.B. so genannte Mobilitäts- oder Flexibilitätsklauseln in den Vertrag mit aufge-nommen werden. Es genügt insofern aber auch, dass bei Eingehung der vertraglichen Bezie-hung eine hinreichende Transparenz bzgl. der Datenverarbeitung im Unternehmensverbund

8 Gola/Schomerus, BDSG 11. Aufl., § 32 Rn. 33; § 28 Rn. 9.9 Vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz 5. Aufl., Rn. 407.10 Taeger/Gabel, BDSG 1. Aufl. 2010, § 32 Rn. 17 m.w.N.11 BT-Drucks. 16/13657, S.20.


8

gegeben ist12. Dies wird insbesondere bei Führungskräften bzw. sog. „High-Potential-Mitarbeitern“ (siehe auch nachstehend Ziff. IV. 4. und 7.) häufig der Fall sein.

2.4 Zulässigkeitsvoraussetzungen des § 32 Abs. 1 Satz 2 BDSG

§ 32 Abs. 1 Satz 2 BDSG normiert den Spezialfall der Erhebung, Verarbeitung oder Nutzungpersonenbezogener Daten zur Aufdeckung von Straftaten im Beschäftigungsverhältnis. DemArbeitgeber müssen tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, dassder Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat. Dieser Umstand ist zudokumentieren. Straftaten im rein privaten Bereich fallen nicht unter die Vorschrift.

Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Aufdeckung der Straf-tat muss grundsätzlich erforderlich sein. Das schutzwürdige Interesse des Beschäftigten amAusschluss der Ermittlung darf nicht überwiegen, insbesondere dürfen Art und Ausmaß derAufklärungsmaßnahmen im Hinblick auf den Anlass nicht unverhältnismäßig sein. Diese Vorga-ben des § 32 Abs. 1 Satz 2 BDSG betreffen die Datenverarbeitungen, die eine Aufdeckung ei-ner bereits begangenen Straftat bezwecken. Insofern stellt der Gesetzgeber klar, dass die Zu-lässigkeit von präventiven Maßnahmen zur Verhinderung von Straftaten oder sonstigenRechtsverstößen (z.B. Verstöße gegen Unternehmensrichtlinien), die im Zusammenhang mitdem Beschäftigungsverhältnis stehen, nach § 32 Abs. 1 Satz 1 BDSG zu beurteilen ist13. Folg-lich hat die verantwortliche Stelle den Zweck der Ermittlung selbst festzulegen (präventive oderrepressive Maßnahmen) und im Weiteren ihre Ermittlungsmaßnahmen an der einschlägigenRechtsgrundlage auszurichten.

Bezogen auf einen Unternehmensverbund entfaltet die Vorschrift des § 32 Abs. 1 Satz 2 BDSGbeispielsweise Relevanz, wenn eine verantwortliche Stelle bei der Sachverhaltsaufklärung aufdie Mitwirkung einer anderen Stelle des Unternehmensverbundes und deren Datenübermittlungangewiesen ist. Dies kann im Übrigen auch beim Nachgehen von Meldungen im Rahmen desso genannten „Whistleblowings“ von Relevanz sein, bei dem die Mitarbeiter angewiesen wer-den, Verstöße gegen interne Unternehmensrichtlinien über ein besonders gestaltetes Meldever-fahren weiterzugeben. Die jeweilige Meldung kann Auslöser für nachgelagerte Ermittlungen desArbeitgebers sein. Ist dieses Meldeverfahren konzernübergreifend aufgesetzt, d.h. die Kanäledes Whistleblowings werden in einer zentralen Compliance-Stelle gebündelt, muss sich dieÜbermittlung personenbezogener Daten an die Compliance-Stelle wiederum an den gesetzli-chen Vorgaben messen lassen.

2.5 Zulässigkeitsvoraussetzungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG

Erfolgt eine Datenübermittlung an andere Stellen im Unternehmensverbund, die nicht unmittel-bar Zwecken des Arbeitsverhältnisses dient, kann eine Rechtfertigung über § 28 Abs. 1 Satz 1Nr. 2 BDSG gegeben sein. Im Rahmen der dort vorzunehmenden Interessenabwägung könnenu.a. folgende Kriterien für das Vorliegen überwiegender Übermittlungsinteressen des Arbeitge-bers sprechen:

Transparenz der Übermittlungszwecke,

Beteiligung des Betriebsrats / Sprecherausschusses,

Abschluss von Datenschutzverträgen mit dem Datenempfänger,

12 Zum sog. konzerndimensionalen Arbeitsverhältnis vgl. z.B. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz 5. Aufl.,Rn. 1085 sowie Däubler, Gläserne Belegschaften?, 4. Aufl., Rn. 454.

13 BT-Drucks. 16/13657, S. 21.


9

Vorliegen verbindlicher Konzernregelungen zum Umgang mit Mitarbeiterdaten(Binding Corporate Rules),

klare Organisationsregelungen (insb. Zugriffsschutz).

Grundsätzlich dürfen nur solche Mitarbeiterdaten verarbeitet und genutzt werden, die zur Ver-wirklichung legitimer Arbeitgeberinteressen erforderlich sind. Für den Fall einer Datenübermitt-lung spielt hierbei auch eine Rolle, ob das die Beschäftigtendaten empfangende Unternehmenmehr Funktionen erhalten soll, als der datenabgebenden Stelle als Arbeitgeber selbst zustehen.Eine derartige Kompetenzerweiterung dürfte sich in der Regel negativ auf die vorzunehmendeInteressenabwägung auswirken.

Ob eine Datenübermittlung an eine Konzerntochter erforderlich ist, sollte ebenfalls die Fragebeinhalten, ob die Daten nicht in gleicher Weise anonym zur Verfügung gestellt werden können,um den jeweiligen Zweck zu erreichen.

2.6 Einwilligung

Gemäß § 4a BDSG kann die Erhebung, Verarbeitung oder Nutzung von Mitarbeiterdaten auchauf eine freiwillige und informierte Einwilligung der Betroffenen gestützt werden. Die Verwen-dung der Einwilligung im Arbeitsverhältnis ist allerdings wegen des Über-/Unterordnungsver-hältnisses zwischen Arbeitgeber und Arbeitnehmer unter dem Gesichtspunkt der Freiwilligkeitnicht unproblematisch.

Mit der Datenschutzgruppe nach Art. 29 der EU-Datenschutzrichtlinie ist davon auszugehen,dass eine Einwilligung grundsätzlich auch im Arbeitsverhältnis wirksam erteilt werden kann, dieFrage der Freiwilligkeit der Erteilung der Einwilligung jedoch einer eingehenden Untersuchungim Einzelfall bedarf14.

Eine Einwilligung im Arbeitsverhältnis kann insbesondere dann als zulässig angesehen werden,wenn mit der Datenübermittlung Vorteile für den Mitarbeiter einhergehen. Beispielhaft sind indiesem Zusammenhang Qualifizierungsmaßnahmen, Karrierechancen und Bonusprogrammewie z.B. Stock Options zu nennen. Wichtig ist aber, dass für den Betroffenen eine hinreichendeTransparenz bzgl. der hierzu erforderlichen Datenübermittlungen besteht. Insofern kann auchbei den immer mehr gebräuchlichen Self-Service-Tools, bei denen der Mitarbeiter selbst ent-scheiden kann, ob und welche Daten er in das System eingeben möchte, oft von einer Einwilli-gung ausgegangen werden (konkludentes Handeln).

Im Übrigen stellt auch der deutsche Gesetzgeber klar, dass eine Datenerhebungder -verwendung auf der Grundlage einer freiwilligen Einwilligung durch § 32 BDSG nicht aus-geschlossen ist15.

Bezüglich der Form der Einwilligung schreibt der Gesetzgeber grundsätzlich die Schriftlichkeitvor (vgl. § 4a Abs. 1 Satz 3 BDSG). D.h. sie bedarf regelmäßig der eigenhändigen Namensun-terschrift. Nur beim Vorliegen besonderer Umstände kann eine andere Form angemessensein16. Konkludente, durch schlüssiges Handeln hervorgerufene Einwilligungserklärungen kön-nen ebenfalls zulässig sein, dürfen jedoch nicht mit einer mutmaßlichen oder stillschweigendenEinwilligung verwechselt werden, die als unzulässig anzusehen sind17.

14 Vgl. Stellungnahme 15/2011 zur Definition von Einwilligungen vom 13. Juli 2011 (WP 187), S. 15 m.w.N.15 BT-Drucks. 16/13657, S.20.16 So z.B. die elektronische Einwilligung nach § 13 Abs. 2 TMG.17 Simitis, in Simitis: BDSG 7. Aufl., § 4a Rn. 45 f.


10

Nicht von der Hand zu weisen ist allerdings, dass die Einwilligung ggf. nicht die ideale Rechts-grundlage für die mit der Zentralisierung einer internationalen HR-Datenbank beispielsweiseeinhergehenden Datentransfers ist. Dies ergibt sich bereits aus dem Umstand, dass die Einwil-ligung jederzeit frei widerruflich ist und damit letztlich keine dauerhaft verlässliche Rechtsgrund-lage darstellt.

3. Privilegierung der Auftragsdatenverarbeitung in der EU / dem EWR

3.1 Allgemeines

Zunehmend werden auch konzerninterne Outsourcing-Projekte realisiert. Unterschiedlicherechtliche Anforderungen bestehen hinsichtlich der Auftragsvergabe an Stellen innerhalb undaußerhalb der EU / des EWR.

Auf Grund der EU-weit bewirkten Harmonisierung gilt bezüglich der Übergabe personenbezo-gener Daten an einen Auftragnehmer im EU- / EWR-Bereich das Prinzip der Gleichbehandlungmit der inländischen Situation. Somit liegt in der Weitergabe von Personaldaten an einen imBinnenmarkt ansässigen Auftragnehmer i.S.v. § 11 BDSG keine Datenübermittlung an Dritte(vgl. § 3 Abs. 7, 8 BDSG). Anders wird allerdings das Outsourcing in Drittländer beurteilt (vgl.hierzu nachfolgend unter Ziff. 4.).

3.2 Auswahl eines konzernangehörigen Auftragnehmers

Die nach § 11 Abs. 2 Satz 1 BDSG gebotene sorgfältige Auswahl des Auftragnehmers schließtdie Vereinbarung einer Auftragsdatenverarbeitung zwischen Unternehmen, die demselbenKonzern angehören, nicht aus. Diesbezüglich werden in dem von der ad-hoc-Arbeitsgruppeveröffentlichten Arbeitsbericht „Konzerninterner Datenverkehr“18 folgende Ausführungen ge-macht:

„ ... die Vorschrift gebietet nicht, dass eine Auswahl unter Wettbewerbsbedingungen oder gareine Ausschreibung erfolgt. Maßgeblich ist lediglich, dass ein Auftragnehmer ausgewählt wird,der Gewähr dafür bietet, die Anforderungen des § 9 BDSG nebst Anlage einzuhalten und denvorgegebenen Verarbeitungsauftrag zu erfüllen.

Es ist auch nicht generell abzulehnen, dass eine Konzernober-/muttergesellschaft als Auftrag-nehmer fungiert. Die konzernrechtliche Position als beherrschendes Unternehmen schließt esnicht schlechthin aus, dass die Konzernobergesellschaft partiell eine „dienende Funktion“ imKonzern einnimmt und sich insoweit den Weisungen der konzernangehörigen Gesellschaftenunterwirft. Maßgeblich ist, dass entsprechende rechtliche Vereinbarungen getroffen wurden (diedann dem Weisungsrecht gemäß Konzernrecht vorgehen) und keine Anhaltspunkte für eineMissachtung vorliegen.“

3.3 Anforderungen an den Vertrag

§ 11 Abs. 2 Satz 2 BDSG setzt einen schriftlichen Vertrag unter Beachtung der Umsetzung dernormierten zehn Mindestanforderungen für die Vertragsgestaltung zwischen dem Auftraggeberund dem Auftragnehmer voraus. In einem Unternehmensverbund ist es jedoch praktisch häufigso, dass Vertragsverhandlungen mit den Dienstleistern nicht von jedem einzelnen Auftraggebergeführt werden, sondern ein Verbundunternehmen die Vertragsverhandlungen und den Ver-

18 Abrufbar beim Hessischen Datenschutzbeauftragten, http://www.datenschutz.hessen.de/bd001.htm.


11

tragsschluss mit dem Auftragnehmer übernimmt. Beauftragen die anderen Verbundunterneh-men den Auftragnehmer dann später schriftlich unter Bezugnahme auf den geschlossenenRahmenvertrag - ggf. unter zusätzlicher Regelung unternehmensspezifischer Anforderungen -,können dadurch die Anforderungen des BDSG gewahrt werden (zu den inhaltlichen Anforde-rungen an den Vertrag vgl. die GDD-Leitfaden „Datenschutz beim Outsourcing - Praxisleitfadenmit Mustern“).

3.4 Abgrenzung zur Funktionsübertragung

Die Privilegierung der Auftragsdatenverarbeitung, die darin zu sehen ist, dass Auftraggeber undAuftragnehmer rechtlich als einheitliche verantwortliche Stelle gesehen werden (vgl. § 3 Abs. 7und 8 BDSG), resultiert daraus, dass der Auftragnehmer dem Auftraggeber lediglich in eineroder mehreren Phasen des Datenumgangs weisungsgebunden Unterstützung leistet.

Rechtlich anders behandelt werden soll der Fall, dass ein Dienstleister mehr als nur diese„Hilfsfunktion“ wahrnimmt. Dies kann insbesondere dann der Fall sein, wenn ihm neben derDatenverarbeitung weitere Aufgaben oder Funktionen übertragen werden. Hier kann unter Um-ständen eine durch eine Erlaubnisnorm zu rechtfertigende Datenübermittlung an Dritte gegebensein.

Die Frage, ob ein Outsourcing-Projekt im datenschutzrechtlichen Sinne eine Auftragsdatenver-arbeitung oder eine Funktionsübertragung darstellt, lässt sich stets nur anhand einer Einzelfall-betrachtung entscheiden (zu den einzelnen Abgrenzungskriterien vgl. GDD-Leitfaden „Daten-schutz beim Outsourcing - Praxisleitfaden mit Mustern“). Im Rahmen dieser Einzelfallbetrach-tung kommt es entscheidend auf das Maß der eigenverantwortlichen Tätigkeit des Dienstleis-ters an, d.h. auf den Spielraum, der ihm an freier Gestaltungsmöglichkeit hinsichtlich der Daten-verarbeitung verbleibt. Ab wann bei einem Dienstleister das Maß an eigener Gestaltungsfreiheitdie Grenze zur Funktionsübertragung überschreitet, ist im Einzelnen umstritten (vgl. Ziff. 2 f.des Arbeitsberichts der ad-hoc-Arbeitsgruppe „Konzerninterner Datenverkehr“).

Nach dem vorzitierten Arbeitsbericht haben die an der Erstellung des Papiers beteiligten Vertre-ter der Wirtschaft einheitlich die Auffassung vertreten, dass eine Auftragsdatenverarbeitungauch dann vorliegen kann, wenn dem Auftragnehmer weitreichende, auch über die reine Unter-stützung bei der Datenverarbeitung hinausgehende Aufgaben übertragen werden. Maßgeblichsei, dass der Auftraggeber die volle Verantwortung für die gesamte Datenverarbeitung beimDienstleister übernehme. Mit § 3 Abs. 7 BDSG sei klargestellt, dass eine Funktionsübertragungdann nicht anzunehmen sei, wenn der Ausführende die Datenverarbeitung (z.B. die Personal-verwaltung) nicht für sich selbst durchführt. Noch deutlicher werde dies durch die Definition inArt. 2 d) der EU-Datenschutzrichtlinie, wonach der für die Verarbeitung Verantwortliche dadurchgekennzeichnet ist, dass er über die Zwecke und Mittel der Verarbeitung von personenbezoge-nen Daten entscheidet. Weitere Anforderungen könnten nicht gestellt werden. Hiervon ausge-hend sei es beispielsweise möglich, Unterstützungsdienstleistungen als Auftragsdatenverarbei-tung auszugestalten. Dies komme etwa in Betracht, wenn sich ein Arbeitgeber externer Fach-kompetenz zur Erarbeitung von Entscheidungsvorschlägen bediene, um dann Personalent-scheidungen auf informierter Grundlage treffen zu können. Von daher sei es denkbar, die mitder Erfüllung der verschiedensten Aufgaben - bis zur kompletten Zentralisierung der Personal-verwaltung - verbundene Datenverarbeitung als Auftragsdatenverarbeitung zu gestalten. Maß-geblich sei aber, dass der Arbeitgeber die eigentlichen Personalentscheidungen treffe. Wo erdiese lediglich „exekutiere“, könne von einer Auftragsdatenverarbeitung keine Rede mehr sein.

Dieser Auffassung ist insbesondere mit Blick auf eine richtlinienkonforme Interpretation desBDSG zuzustimmen. Im Übrigen werden die Rechte des Betroffenen durch die Annahme derAuftragsdatenverarbeitung nicht beeinträchtigt. Vielmehr bleibt in diesem Fall der Auftraggeber,


12

d.h. der Arbeitgeber, für die Sicherstellung der Datenschutzrechte der Mitarbeiter verantwort-lich. Die Dienstleister sind sorgfältig auszuwählen und vertraglich auf die Einhaltung des Mitar-beiterdatenschutzes zu verpflichten. Zudem werden die i.d.R. spezialisierten und fachkompe-tenten Outsourcingnehmer auch schon im wohlverstandenen Eigeninteresse auf die Wahrungder Persönlichkeitsrechte achten. Schließlich bleibt zu konstatieren, dass das gesetzlich nichtdefinierte Hilfsmerkmal der Funktionsübertragung inzwischen angesichts neuartiger Outsour-cing-Konstellationen an Trennschärfe verloren hat.

Unstreitig ist jedenfalls, dass in Fällen, in denen dem Dienstleister ein ausdifferenzierter Ent-scheidungsbaum zur Aufgabenerfüllung vorgegeben wird, der ihm keinen inhaltlichen Bewer-tungs- und Ermessensspielraum belässt, eine Auftragsdatenverarbeitung angenommen werdenkann.

4. Besondere Zulässigkeitsvoraussetzungen beim Drittlandtransfer

4.1 Allgemeines

Sollen Mitarbeiterdaten an in Drittländern gelegene Konzernteile transferiert werden, bedarf esim Regelfall neben den allgemeinen Zulässigkeitsvoraussetzungen auch des Vorliegens einesangemessenen Schutzniveaus bei der Daten empfangenden Stelle im Drittland.

Bezüglich folgender Länder hat die EU-Kommission das Vorliegen eines angemessenenSchutzniveaus bestätigt19:

Andorra (ABl. EU v. 21.10.2010, Nr. L 277),

Argentinien (ABl. EG v. 5.7.2003, Nr. L 168/19),

Australien (Nur eingeschränkt für Flugpassagierdaten, ABl. EU v. 08.08.2008, Nr. L213/47)

Guernsey (ABl. EG v. 25.11.2003, Nr. L 308/27),

Färöer-Inseln (ABl. EU v. 09.03.2010, Nr. L 58),

Isle of Man (ABl. EG v. 30.4.2004, Nr. L 151/51 sowie Berichtigung in ABl. EG v.10.6.2004, Nr. L 208/47),

Israel (ABl. EU v. 01.02.2011, Nr. L 27/39),

Jersey (ABl. EU v. 28.05.2008, Nr. L 138),

Kanada (ABl. EG v. 4.1.2000, Nr. L 2/13),

Neuseeland (ABl. EU v. 30.01.2013, Nr. L 028),

Schweiz (ABl. EG v. 25.8.2000, Nr. L 215/1),

Uruguay (ABl. EU v. 23.08.2012, Nr. L)

USA (Nur eingeschränkt für Sonderfall „Safe Harbor“, ABl. EG v. 25.8.2000, Nr.L 215/7 und für Flugpassagierdaten, ABl. EG v. 6.7.2004, Nr. L 235/11).

Auch die Übermittlung von Personaldaten fällt in den Anwendungsbereich der Safe-Harbor-Grundsätze20. Die im Internet abrufbare Liste (www.export.gov/safeharbor) der dem Safe Har-

19 http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm.


13

bor angehörenden Unternehmen weist insofern gesondert aus, ob sich die Unternehmen gera-de auch im Hinblick auf den Schutz von Mitarbeiterdaten dem Safe Harbor angeschlossen ha-ben21. Der inländische Auftraggeber hat jedoch seine Prüfpflichten hinsichtlich der Umsetzungder Safe Harbor Grundsätze beim Auftragnehmer zu beachten22.

Daneben besteht gemäß § 4c Abs. 2 BDSG die Möglichkeit, ein angemessenes Schutzniveauim Drittland über die Verwendung von Vertragsklauseln herzustellen. Hierzu hat die EU-Kommission zwei allgemeine Standardvertragswerke und ein spezielles Standardvertragswerkanerkannt23, wobei Letzteres den Fall der Auftragsdatenverarbeitung in einem Drittstaat regelt24.Eine Übermittlung von Personaldaten kommt grundsätzlich auch auf Grundlage des zweitenallgemeinen Standardvertragswerks in Betracht, das die EU-Kommission im Dezember 2004genehmigt hat. Soweit die Aufsichtsbehörden die Auffassung vertreten, dieser von der EU-Kommission anerkannte sog. alternative Standardvertrag zum Drittlandtransfer sei grundsätz-lich für Arbeitnehmerdaten nicht geeignet (und eventuell ergänzungsbedürftig), da die Haftungund Auskunftspflicht des Datenexporteurs (des deutschen Arbeitgebers) eingeschränkt seien(vgl. hierzu die Entschließung des Düsseldorfer Kreises25), werden sie diesen Standpunkt auchvor dem Hintergrund der Verbindlichkeit von Kommissionsentscheidungen und des Harmonisie-rungsgedankens kritisch hinterfragen müssen. Immerhin hat die Kommission die alternativenStandardvertragsklauseln insgesamt - und nicht etwa beschränkt auf bestimmte Datenarten -als ausreichende Schutzgarantien anerkannt.

Im internationalen Konzern kann ein angemessenes Datenschutzniveau zudem über den Ein-satz von verbindlichen Unternehmensregelungen zum Umgang mit Personaldaten (BindingCorporate Rules) erreicht werden26. In jedem Fall gilt: Neben dem Vorliegen eines angemesse-nen Datenschutzniveaus bedarf es zusätzlich einer materiellen Übermittlungsbefugnis nach§ 32 bzw. den §§ 28 bis 30 BDSG.

Im Übrigen können Mitarbeiterdaten nur unter den Voraussetzungen der in § 4c Abs. 1 BDSGgenannten Ausnahmetatbestände in Drittländer ohne angemessenes Datenschutzniveau über-mittelt werden. Die Art. 29-Datenschutzgruppe hat sich in ihrem Working Paper 114 vom No-vember 2005 für eine strenge Auslegung der Ausnahmeregelungen ausgesprochen27.

Die oben unter Ziff. III., 3.4 dargestellte Privilegierung der Auftragsdatenverarbeitung soll nachbisher herrschender Meinung nicht gelten, wenn der Auftragnehmer seinen Sitz im Drittlandhat28. Auf den Datenexport an diese Stellen sind demnach die Regelungen und Grundsätze desDrittlandtransfers (§§ 4b Abs. 2, 4c BDSG) anzuwenden.

20 Die Safe-Harbor-Grundsätze werden durch weitere Dokumente des US-Handelsministeriums, die in den Anhang der Kommissi-onsentscheidung aufgenommen wurden, ergänzt. Hierzu zählen die sog. Frequently Asked Questions (FAQ); FAQ 9 gibt Auf-schluss über den Umgang mit Personaldaten.

21 Zur Safe-Harbor-Lösung vgl. Klug, RDV 2000, 212.22 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010, abrufbar

unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile.

23 http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm.24 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF.25 https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2007/

20070419_Internationaler_Datenverkehr/Positionspapier.pdf.26 Ausführlich zu den Binding Corporate Rules: Artikel-29-Datenschutzgruppe, WP 153, 154, 155 ,204.27 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_de.pdf.28 Vgl. auch Dammann, RDV 2002, 70, 73; a.A. Müthlein/Heck, Outsourcing und Datenschutz, 3. Aufl., 2006, S. 23 ff.


14

4.2 Weitergabe sensitiver Mitarbeiterdaten

Sensitive Daten (besondere Arten von personenbezogenen Daten nach § 3 Abs. 9 BDSG wiez.B. Daten über die Gesundheit oder die Religionszugehörigkeit) dürfen nur unter Beachtungbesonderer Anforderungen erhoben, verarbeitet oder genutzt werden (§ 28 Abs. 6 bis 9 BDSG).

Praktische Schwierigkeiten bereitet der Fall, dass die Verarbeitung dieser Daten im Drittstaatdurch Auftragsverarbeiter erfolgt. Da nach Ansicht der Datenschutzaufsichtsbehörden hier nichtdie Privilegierung des § 11 BDSG bezüglich der Datenweitergabe gilt29, wäre im Regelfall dieEinwilligung der Betroffenen hierzu erforderlich. Allerdings gewährleistet die Einwilligung imRahmen eines Arbeitsverhältnisses u.U. nicht das Kriterium der Freiwilligkeit; die Einwilligungwäre damit ggf. unwirksam. Vor diesem Hintergrund wäre eine Übermittlung von für die Ge-haltsabrechnung erforderlichen Mitarbeiterdaten an einen im Drittland ansässigen Dienstleisterrechtlich kaum zu rechtfertigen, da zur Abrechnung regelmäßig Angaben zur Religionszugehö-rigkeit und evtl. zu Kranken-, Reha-, Kurtagen oder zur Schwerbehinderteneigenschaft benötigtwerden.

Dieses unbillige Ergebnis lässt sich jedoch durch eine sachgerechte Auslegung des BDSGvermeiden. Art. 8 Abs. 2 Buchstabe b der EU-Datenschutzrichtlinie trägt dem Umstand Rech-nung, dass Arbeitgeber regelmäßig sensitive Daten verarbeiten. Solche Verarbeitungen sindauch ohne Einwilligung nach § 4a Abs. 3 BDSG für den Arbeitgeber zulässig, wenn sie erforder-lich sind, um den arbeitsrechtlichen Rechten und Pflichten des Arbeitgebers gerecht zu werden.Die Lohnzahlung ist Hauptleistungspflicht des Arbeitgebers (§ 611 Abs. 1 BGB). Die Abwicklungder Entgeltabrechnung kann der Arbeitgeber unstreitig im Wege der Auftragsdatenverarbeitungauf einen sorgfältig ausgewählten Dienstleister übertragen. Einem Beschäftigungsunternehmenmuss es auch möglich sein, einen im Drittland ansässigen Dienstleister mit der Lohn- und Ge-haltsabrechnung zu beauftragen, wenn dies aus betrieblichen Gründen erforderlich ist. Bei-spielsweise wenn der Dienstleister im Drittland günstiger ist oder wenn er die Dienstleistungbesser erbringt als ein Dienstleister in Europa, besteht jedenfalls ein berechtigtes Interesse ander Auslagerung der Dienstleistung ins Drittland30. Freilich sollten (vertragliche) Vorkehrungengetroffen werden, welche etwaige entgegenstehende Interessen der Mitarbeiter entfallen las-sen.

Entgegenstehende Interessen der Mitarbeiter sind bei sorgfältiger Auswahl eines im Drittlandansässigen Dienstleisters, der ein angemessenes Schutzniveau bietet, eher fernliegend. Willman nicht schon den Arbeitsvertrag als Rechtsgrundlage für die Übermittlung der - wenigen -sensitiven Arbeitnehmerdaten zum Zwecke der Entgeltabrechnung ansehen, so kann sie jeden-falls über § 28 Abs. 6 Nr. 3 BDSG gerechtfertigt werden, denn der Arbeitgeber hat einen grund-rechtlichen Anspruch auf eine möglichst wirtschaftliche Erfüllung seiner Lohnzahlungspflichtgegenüber dem Arbeitnehmer. Dies gilt jedenfalls dann, wenn dem Arbeitnehmer dadurch keineNachteile erwachsen und insbesondere ein angemessenes Datenschutzniveau im Drittlandgemäß § 4b BDSG gewährleistet ist.

Auch die EU-Datenschutzrichtlinie verbietet die Übermittlung sensitiver Daten in Drittländernicht. Entsprechend sieht die Entscheidung der EU-Kommission vom 5. Februar 2010 zu denStandardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbei-ter in Drittländern (2010/87/EU) auch besondere Datenkategorien vor. Auch nach den „SafeHarbor Principles“ ist eine internationale Auftragsdatenverarbeitung unter Einschluss besonde-rer Kategorien personenbezogener Daten vorgesehen. Im Übrigen erlauben auch andere Mit-

29 Vgl. Dammann, RDV 2002, 70 (73); 15. Tätigkeitsbericht der Landesregierung über die Tätigkeit der für den Datenschutz im nichtöffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drs 15/4659, Ziff. 7.1.

30 Vgl. 19. Tätigkeitsbericht über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Auf-sichtsbehörden, LT-Drs. 16/5892, Ziff. 11.1.


15

gliedstaaten der EU im Fall der Auftragsdatenverarbeitung im Drittstaat eine Verarbeitung sen-sitiver Daten ohne zusätzliches Einwilligungserfordernis, solange nur beim Datenempfänger einangemessenes Datenschutzniveau besteht (z.B. auf Grundlage der Standardvertragsklauseln).Eine entsprechende gesetzliche Klarstellung im BDSG ist wünschenswert.

5. Unterrichtungspflichten bei der Datenerhebung

Aus Gründen der Transparenz sind die Bewerber und Mitarbeiter schon bei der Datenerhebungnach Maßgabe von § 4 Abs. 3 BDSG zu unterrichten. Steht bei der Durchführung eines Bewer-bungsverfahrens fest, dass die Daten zur Auswertung an einen Personaldienstleister oder zurweiteren Rekrutierung an andere Verbundunternehmen weitergeleitet werden sollen, so ist auchhierüber zu unterrichten.

6. Informationspflichten bei unrechtmäßiger Kenntniserlangung vonDaten

Sollten im Zuge von Datenweitergaben im Unternehmensverbund personenbezogene Datenvon Mitarbeitern unrechtmäßig an Dritte übermittelt worden oder auf sonstige Weise Dritten zurKenntnis gelangt sein, kann sich hieraus eine Mitteilungspflicht für die jeweilige verantwortlicheStelle im Konzern ergeben, sollten die Voraussetzungen des § 42a BDSG erfüllt sein31. Nebentatsächlichen Anhaltspunkten für eine „Datenschutzpanne“ greift § 42a BDSG nur dann, wennschwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Be-troffenen drohen. Dies dürfte häufig (aber nicht zwangsläufig) der Fall sein, wenn Datenkatego-rien nach § 42a Satz 1 Nr. 1 bis 4 BDSG bzw. nach § 93 Abs. 3 TKG oder nach § 15a TMGbetroffen sind.

IV. Beispiele typischer Mitarbeiterdatenflüsse im Unter-nehmensverbund

1. Allgemeines

Die rechtliche Beurteilung von unternehmensweiten Datenströmen kann sich an zentralen Prüf-kriterien ausrichten, die vorab der ersten Weitergabe personenbezogener Daten zu durchlaufensind. Zunächst muss es sich bei der Art der Daten überhaupt um Beschäftigtendaten im Sinnedes § 3 Abs. 11 BDSG handeln, um überhaupt in den Anwendungsbereich des § 32 BDSGbzw. subsidiär § 28 Abs. 1 Satz 1 Nr. 2 BDSG zu gelangen. Im Weiteren gilt es, einen konkre-ten Zweck für die Datenübermittlung festzulegen. Mittels dieser Festlegung ist es möglich zubeurteilen, ob sich eine rechtliche Zulässigkeit bereits aus der Erfüllung arbeitsvertraglicherPflichten (vgl. § 32 Abs. 1 Satz 1 BDSG) ergeben kann. Des Weiteren ist zu eruieren, an wel-che Konzernunternehmen diese Daten übermittelt werden sollen bzw. welche Mitarbeiter vonanderen Unternehmen auf diese Daten zugreifen können. Wichtig hierbei ist auch, ob seitensder Empfangsstelle Datenweitergaben an weitere Konzernunternehmen oder an Dritte vorgese-

31 Zu den Voraussetzungen des § 42a BDSG, vgl. LDI NRW: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Informationspflicht_bei_Datenpannen_____42a_BDSG_/Vorlage_FAQs_zur_Informationspflicht1.pdf.


16

hen sind. Letztlich ist von Relevanz, wer verantwortliche Stelle für die übertragenen Daten istund ob diese Verantwortlichkeit durch eine Auftragsdatenverarbeitung beibehalten oder übereine Funktionsübertragung an die Empfangsstelle abgegeben werden soll. Im Falle eines Emp-fängers mit Sitz in einem Land außerhalb der EU bzw. des EWR ist darüber hinaus sicherzu-stellen, ob eine Datenübermittlung im Sinne der §§ 4b, 4c BDSG möglich ist.

2. Steuerung der IT-Infrastruktur

2.1 Übergreifende Netzwerkadministration und Support

Definition:

Zur Steuerung der technischen Infrastruktur der Unternehmens- und Konzernnetze sind Steue-rungsinstrumente wie Directories, Tools oder andere entsprechende Applikationen zur übergrei-fenden Netzwerkverwaltung erforderlich. Hierzu werden für die Administration Mitarbeiter-stammdaten benötigt.

Rechtliche Grundlagen:

Die technische Infrastruktur gehört zu den Arbeitsmitteln, die der Arbeitgeber den Arbeitneh-mern zur Verfügung stellt. Die Verwendung personenbezogener Mitarbeiterdaten zur Steuerungdieser Systeme ist zur Erfüllung der arbeitsvertraglichen Pflichten und somit auch für die Durch-führung des Beschäftigungsverhältnisses erforderlich. Mithin ergibt sich die datenschutzrechtli-che Zulässigkeit aus dem Arbeitsvertrag (§ 32 Abs. 1 Satz 1 BDSG).

§ 11 Abs. 5 BDSG stellt im Hinblick auf die Fernadministration klar, dass die Grundsätze derAuftragsdatenverarbeitung anzuwenden sind.

Praxishinweis

Sollte eine Unternehmensgruppe über eine Vielzahl an Administratoren verfügen, die über meh-rere Gesellschaften verteilt sind, empfiehlt sich mit Blick auf die Anforderungen des § 11 Abs. 5BDSG die Bildung einer einheitlichen Administratorenstelle, die als Auftragnehmerin für die je-weilige verantwortliche Stelle agiert. Eine örtliche Bündelung ist dabei nicht erforderlich. Ebensobestehen aus Sicht des Datenschutzes keine besonderen Anforderungen an die Rechtsformdieser Administratorenstelle, zumal das BDSG nur von einer „verantwortlichen Stelle“ ausgeht(vgl. § 3 Abs. 7 BDSG). Im Falle einer zentralen Wartungsstelle kann auf den Abschluss einerVielzahl von Einzelverträgen zur Auftragsdatenverarbeitung zwischen der verantwortlichen Stel-le und der jeweiligen Einheit, dem der Administrator angehört, verzichtet werden. Dies kannsich ebenfalls positiv auf die in § 11 Abs. 2 Satz 4 BDSG normierte Prüfpflicht hinsichtlich derbeim Auftragnehmer vorherrschenden technisch-organisatorischen Maßnahmen auswirken, daeine zentralisierte Administratorenstelle über technisch-organisatorische Maßnahmen verfügt,die sich an der Kerntätigkeit ausrichten.

Soweit die Administration der IT-Infrastruktur aus einem Drittland heraus vorgenommen wirdund hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, geltendie Zulässigkeitsvoraussetzungen nach den §§ 4b, 4c BDSG.


17

2.2 Elektronische Kommunikationsverzeichnisse

Definition:

Elektronische Kommunikationsverzeichnisse werden zum Zwecke einer effizienten Kommunika-tion zwischen den einzelnen Konzernunternehmen bzw. deren Mitarbeitern konzernweit - häufigüber Intranet - zugänglich gemacht.

Gegenstand der damit einhergehenden Datenübermittlungen sind meist nur Basiskommunikati-onsdaten der Mitarbeiter, die in Namens-, Telefon- und E-Mail-Verzeichnisse aufgenommenwerden.


Um den Konzernzielen gerecht werden zu können, bedarf es regelmäßig der Kommunikationzwischen den Mitarbeitern der einzelnen Konzernteile. Vielfach ergibt sich die Berechtigung zurkonzerninternen Übermittlung der erforderlichen Basiskommunikationsdaten der Mitarbeiterbereits aus den ihnen obliegenden arbeitsvertraglichen Pflichten (§ 32 Abs. 1 Satz 1 BDSG).

Werden lediglich die dienstlichen Basiskommunikationsdaten der einzelnen Mitarbeiter in diekonzernweiten Kommunikationsverzeichnisse aufgenommen und kann die Datenübermittlungnicht unmittelbar aus den arbeitsvertraglichen Pflichten abgeleitet werden, führt aber auch eineInteressenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG zur Zulässigkeit der damit einherge-henden Datenübermittlungen. Das unternehmerische Interesse an einer effizienten, konzern-weiten Mitarbeiterkommunikation überwiegt insoweit Vertraulichkeitsinteressen der Mitarbeiter,soweit solche überhaupt bestehen. Dies ergibt sich insbesondere daraus, dass diese dienstli-chen Basiskommunikationsdaten keine besondere Sensitivität aufweisen.

Unter Angemessenheitsgesichtspunkten besteht hinsichtlich der Basiskommunikationsdatenauch kein sachlicher Grund dafür, sich lediglich auf sog. Funktionsträger zu beschränken. Viel-mehr kommt es mit Blick auf eine angemessene Technikgestaltung darauf an, dass ein Mitar-beiter aufgabenbezogen in das Verzeichnis aufgenommen wurde bzw. Zugriffsrechte erhaltenhat.

Sollen über die o.g. Basiskommunikationsdaten hinausgehende Informationen aufgenommenwerden, sollten die betroffenen Mitarbeiter angesichts ihres auch im Arbeitverhältnis geltendenPersönlichkeitsrechts über den Eintrag selbst bestimmen können32. Dies gilt insbesondere beiFotografien, für deren Aufnahme jeder Mitarbeiter auch nach den Vorschriften des KunstUrhG33

um seine Einwilligung gebeten werden muss. Ist den Mitarbeitern die Funktionsweise des Ver-zeichnisses bekannt und geben sie weitere Daten selbst freiwillig ein, so kann i.d.R. vom Vor-liegen einer durch schlüssiges Verhalten erteilten Einwilligung nach § 4a BDSG ausgegangenwerden.

Soweit die Übermittlung von Mitarbeiterkommunikationsdaten im internationalen Unterneh-mensverbund schon auf Grund des konkreten Arbeitsverhältnisses erforderlich ist34, dürfen die-se Daten auch in Drittländer ohne angemessenes Datenschutzniveau gegeben werden (§ 4cAbs. 1 Satz 1 Nr. 2 BDSG). Selbst wenn man die Auffassung zu Grunde legt, wonach § 4cBDSG nicht isoliert von den Anforderungen der §§ 28 bis 32 BDSG betrachtet werden soll, d.h.vorab einer Prüfung des § 4c BDSG muss die Zulässigkeit der Übermittlung nach den einschlä-gigen Normen des BDSG untersucht werden35, und eine Erforderlichkeit zur Durchführung desArbeitsverhältnisses bei der jeweiligen Datenübermittlung nicht gegeben ist, so beseitigt dies

32 Sog. “Employee Self Service”.33 Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KunstUrhG).34 Zur Begriff der “Erforderlichkeit“ vgl. Fn. 10.35 Vgl. Simitis, in: Simitis, BDSG, 7. Aufl., § 4c Rn. 6.


18

die datenschutzrechtliche Zulässigkeit der Übermittlung nicht, da insofern keine berechtigtenInteressen am Ausschluss der Übermittlung ersichtlich sind.

Ist der Datentransfer ins Drittland nicht vom Arbeitsvertrag oder der Einwilligung des Mitarbei-ters gedeckt, bedarf es eines angemessenen Datenschutzniveaus bei dem jeweiligen Daten-empfänger. Dieses angemessene Datenschutzniveau kann wiederum durch entsprechendeVertragsklauseln oder verbindliche Unternehmensregelungen hergestellt werden (vgl. § 4cAbs. 2 Satz 1 2. Hs. BDSG). In Ausnahmefällen kann ein angemessenes Datenschutzniveaubeim Datenempfänger auch durch die verantwortliche Stelle selbst festgestellt werden. Gemäß§ 4b Abs. 3 BDSG sind hierbei alle Umstände, insbesondere die Art der Daten, die Zweckbe-stimmung und die bestehenden Sicherheitsmaßnahmen zu berücksichtigen. Werden dienstlicheBasiskommunikationsdaten ausschließlich zur Gewährleistung der konzerninternen Kommuni-kation übermittelt, kann das Gefährdungspotenzial für die Persönlichkeitsrechte der Mitarbeiterin der Regel als gering angesehen werden, zumal es auch ein unternehmerisches Eigeninte-resse ist, die Kommunikationsdaten in angemessenen Umfang vor einem ungewollten Informa-tionsabfluss zu schützen. Angesichts dieser Umstände kann vom Vorliegen eines angemesse-nen Datenschutzniveaus auch ohne vertragliche oder sonst verbindliche Datenschutzregelun-gen ausgegangen werden. Zu beachten ist jedoch, dass es sich hierbei um eine „Eigenbewer-tung“ der jeweiligen verantwortlichen Stelle handelt und im Vergleich zu den Standardvertrags-klauseln beispielsweise seitens der hiesigen Aufsichtsbehörden als nicht verbindlich angesehenwerden dürften.

2.3 Zentraler E-Mail- / Internet-Server

Definition:

Bei der Nutzung von Internet und E-Mail speichert und nutzt der E-Mail- / Internet-Server36 dieID- und Zugriffsdaten (Verkehrsdaten) aller berechtigten Benutzer sowie Daten zur Nutzungs-historie, um die Verteilung, die richtige Zuordnung und die Überprüfung der Zugriffsbefugnissezu gewährleisten. Daneben werden auch Inhaltsdaten auf dem Server gespeichert.

Vielfach wird in Unternehmensverbünden ein gemeinsamer zentraler E-Mail- / Internet-Servereingesetzt und von einem Konzern-Service-Provider (KSP) betrieben. Dieser kann sich auch imAusland, mithin auch in einem Drittland befinden.


Zunächst ist hinsichtlich des Umgangs mit den o.g. Mitarbeiterdaten die Frage des anwendba-ren Rechts zu klären. Soweit eine Privatnutzung der betrieblichen Informations- und Kommuni-kationsmittel verboten ist, gilt das BDSG.

Ist die Privatnutzung hingegen gestattet, so wird der Arbeitgeber nach der wohl noch herr-schenden Meinung in Schrifttum und Rechtsprechung zum Anbieter von Telekommunikations-diensten37. Die Ermöglichung des Internetzugangs und die E-Mail-Übertragung sind überwie-gend durch die Übertragung von Signalen über Telekommunikationsnetze gekennzeichnet. Vor-rangig gelten daher zunächst die Datenschutzvorschriften des TKG und nur eingeschränkt dasTMG (vgl. § 11 Abs. 3 TMG). Diese bereichsspezifischen Vorschriften geben dezidiert vor, in-

36 Internet-Server können mit verschiedenen Funktionalitäten betrieben werden, so als Proxy-Server, Web-Server etc.37 Zu den datenschutzrechtlichen Fragestellungen bei E-Mail und Internet am Arbeitsplatz vgl. Bundesbeauftragter für den Daten-

schutz und die Informationsfreiheit, E-Mail und Internet am Arbeitsplatz, abrufbar unter:http://www.bfdi.bund.de/bfdi_wiki/index.php/E-Mail_und_Internet_am_Arbeitsplatz.


19

wieweit beispielsweise Bestands- und Verkehrsdaten durch den Diensteanbieter bzw. dessenAuftragnehmer überhaupt erhoben und verwendet werden dürfen38.

Im Verhältnis Arbeitgeber / Arbeitnehmer sind insbesondere aus Gründen der Transparenz undzur Ermöglichung einer arbeitgeberseitigen Kontrolle im Bedarfsfall innerbetriebliche Regelun-gen zum Umgang mit den Verkehrs- und Inhaltsdaten - z.B. im Rahmen einer Betriebsvereinba-rung (§ 87 Satz 1 Nr. 6 BetrVG) - zu treffen.

Der Mitarbeiterdatenschutz muss auch gewahrt bleiben, wenn der Arbeitgeber einen - ggf. kon-zernangehörigen - Service-Provider mit dem Betrieb der IuK-Technik beauftragt. Die Datenwei-tergabe an den Service-Provider bzw. der dortige Datenumgang bedürfen grundsätzlich einerRechtsgrundlage.

Geht es bei der Beauftragung des Service-Providers um reine Internet-Zugangs- oder E-MailDienste, d.h. es geht im Schwerpunkt um die Telekommunikationsleistung bzw. Telemedienleis-tung, ist nicht von einer Auftragsdatenverarbeitung nach den Vorschriften des BDSG auszuge-hen, da die Normen des TKG und TMG den Umgang mit den betroffenen Daten abschließendregeln und dem Dienstleister bereits entsprechende Vorgaben machen39. Erst wenn ergänzen-de Leistungen des Providers hinzukommen, die den Umgang mit personenbezogenen Datender verantwortlichen Stelle betreffen, sind die Vorschriften des BDSG für die Datenweitergabeund die -verwendung anwendbar. In einem solchen Fall ist wiederum zu fragen, ob die Beauf-tragung des Service-Providers der Erfüllung arbeitsvertraglicher Pflichten dient oder die verant-wortliche Stelle vielmehr ein berechtigtes Interesse geltend machen kann. Ebenso können in-nerbetriebliche Regelungen oder die Einwilligung des Beschäftigten die Weitergabe von Be-schäftigtendaten an den Service-Provider legitimieren, sollte über dessen Beauftragung undTätigkeiten ausreichend informiert worden sein.

Befindet sich der konzerninterne Dienstleister in einem Drittland ohne angemessenes Daten-schutzniveau, sind wiederum die §§ 4b, 4c BDSG zu beachten. Zur Herstellung eines ange-messenen Datenschutzniveaus im Sinne von § 4b Abs. 3 BDSG können im Übrigen die inner-betrieblichen Regelungen zum Mitarbeiterdatenschutz vertraglich oder über verbindliche Unter-nehmensregelungen an den Service-Provider durchgereicht werden40. Auch eine Verwendungdes von der EU-Kommission akzeptierten Standardvertrags (Controller to Processor) kommt inBetracht.

2.4 Inanspruchnahme von Rechenzentrums- / IT-Dienstleistungen

Definition:

Im Unternehmensverbund bedient man sich zur Unterstützung der technischen Infrastrukturhäufig eines - ggf. dem Unternehmensverbund angehörenden - zentralen Dienstleisters (Re-chenzentrum/IT-Services). Beispielsweise das sog. Helpdesk bezeichnet einen Service zur Un-terstützung der Anwender von Hard- und Software. Die Unterstützung kann per Telefon odermit Hilfe technischer Geräte sowie Software (Fernwartung) erfolgen.

38 Ausführlich hierzu: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Datenschutz und Telekommunikation(Info 5), abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO5_September_2013.pdf.

39 Vgl. Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/2012, Ziff. 5.3.40 Vgl. bereits Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2002, Ziff. 4.7.3.


20


Erfolgt die Beauftragung des Dienstleisters zur technischen Unterstützung bei der Datenverar-beitung nach konkreten Vorgaben, wird im Regelfall eine Nutzung der überlassenen Personal-daten im Auftrag gem. § 11 BDSG vorliegen (vgl. hierzu oben unter Ziff. III. 3.4.).

Grundsätzlich wird der Helpdesk-Dienstleister nur tätig, um auftretende Fehler im Rahmen desAuftrags und der Weisung zu beheben. Soweit ihm hierbei Personaldaten zur Kenntnis gelan-gen, darf er diese nur streng zweckgebunden nutzen. Der Helpdesk-Support hat zwar im Rah-men der Fehler- und Problembehebung zwangsläufig eine bestimmte Eigenständigkeit zur Fol-ge. Diese spielt jedoch angesichts der durch den konkreten Auftrag vorgegebenen Rahmenbe-dingungen eine untergeordnete Rolle und umfasst insbesondere nicht die Befugnis, über dieVerarbeitung und Nutzung der Daten zu anderen Zwecken zu entscheiden. Insofern handelt essich in der Regel um eine Datenerhebung, -verarbeitung und -nutzung im Auftrag i.S.v. § 11BDSG und nicht um eine Funktionsübertraqung.

Sollte der IT-Dienstleister seinen Sitz in einem Drittland haben, sind wiederum die §§ 4b, 4cBDSG zu beachten (vgl. Ziff. III., 4.).

Soweit durch die Inanspruchnahme des Dienstleisters personenbezogene Datensätze von Mit-arbeitern entstehen, die auch Leistungs- und Verhaltenskontrollen ermöglichen, bedarf es derMitbestimmung des Betriebsrats (§ 87 Satz 1 Nr. 6 BetrVG).

2.5 Cloud-Computing

Definition:

Als Cloud-Computing bezeichnet man das bedarfsorientierte dynamische und skalierbare Be-reitstellen einer IT-Infrastruktur über ein Netzwerk. Diese Infrastruktur kann sich dabei im zurVerfügung stellen von Rechenzeit, bis hin zum Hosting von Datenbanken oder Anwendungs-programmen auszeichnen. In diesem Sinne wird für die Art des Dienstes eine eigene Begriff-lichkeit verwendet. So existieren Lösungen wie Infrastructure as a Service (IaaS), Platform as aService (PaaS) bzw. Software as a Service (SaaS).

Auch im Rahmen der Dienstleistungen im Unternehmensverbund kommt es häufiger zu Ausla-gerungen von Services in die Cloud, die eine Weitergabe von Mitarbeiterdaten und eine Verar-beitung in der Cloud beinhalten.


Die bereits dargelegten Grundsätze für die Beurteilung einer Datenverarbeitung im Konzernver-bund (vgl. Ziff. IV., 1.) gelten auch uneingeschränkt für Dienstleistungen, die in der Cloud be-trieben werden. Insofern fallen diese Dienste in den Bereich des Outsourcings, das als Auf-tragsdatenverarbeitung oder Funktionsübertragung ausgestaltet werden kann. Im Übrigen istanhand des festgelegten Verarbeitungszwecks zu prüfen, inwieweit die Datenweitergabe sowieVerarbeitung beim Dienstleister bereits aus dem Arbeitsvertrag abgeleitet werden kann oder obeine Interessenabwägung im Sinne des § 28 Abs. 1 Satz 1 Nr. 2 BDSG vorzunehmen ist.Nichtsdestoweniger birgt die Auslagerung eines Dienstes in die Cloud Risiken für Betroffene. Indiesem Zusammenhang fordern die Datenschutzbeauftragten von Bund und Länder im Rahmenihrer 82. Konferenz Anbieter von Cloud-Diensten auf, Maßnahmen anzubieten, die eine Kontrol-lierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung gewährleisten können41.

41 Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29. September 2011, abrufbarunter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/82DSK_CloudComputing.pdf?__blob=publicationFile.


21

Ebenso hat die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme zum Cloud-Computingnützliche Hinweise für das Einschalten eines Cloud-Dienstleisters erarbeitet42.

3. Personalrecruiting

Definition:

Unternehmen oder Unternehmensverbünde rekrutieren neue Mitarbeiter nicht nur über den her-kömmlichen Postweg, sondern verstärkt auch über ihre Internetpräsenz, in deren Rahmen Be-werberfragebögen online ausgefüllt und versendet werden. Auch interne Stellenbewerbungenkönnen auf diese Weise erfolgen. Eine zentrale Stelle betreut sowohl den Stellen- als auch denBewerberpool.

Rechtliche Grundlage:

Rechtsgrundlage für Datenverarbeitungen zum Zwecke der Durchführung des Bewerbungsver-fahrens ist regelmäßig § 32 Abs. 1 Satz 1 BDSG (Erforderlichkeit zur Begründung eines Be-schäftigungsverhältnisses).

Hinsichtlich der Aufbewahrung der Bewerberdaten über das Bewerbungsverfahren hinaus zurErmöglichung eines späteren Rückgriffs sowie zur Weiterübermittlung der Bewerberdaten anverbundene Unternehmen, bedarf es zumindest einer entsprechenden Information und einerWiderspruchsmöglichkeit des Bewerbers. Erfolgt kein Widerspruch, so könnten entgegenste-hende Interessen i.S.v. § 28 Abs. 1 Satz 1 Nr. 2 BDSG43 zurücktreten, sollte die Aufbewahrungbzw. Übermittlung der Bewerberdaten die Einstellungschancen des Bewerbers als „begünsti-gende Maßnahme“ erhöhen44. Möchte sich die verantwortliche Stelle weitergehend absichern,kommt die Einwilligung des Betroffenen nach § 4a BDSG in Betracht. Im Falle eines elektroni-schen Bewerberportals sind hierbei die besonderen Voraussetzungen des § 13 Abs. 2 TMG andie Einwilligung zu beachten.

Die Rekrutierung über das Internet ist durch technisch-organisatorische Maßnahmen im Sinnevon § 9 BDSG und Anlage (Verschlüsselung etc.) zu flankieren.

Wird ein Personaldienstleister bzw. ein sog. Shared-Service-Center (hierzu nachstehend Ziff.4.) involviert, bedarf es der Abgrenzung der Auftragsdatenverarbeitung von der Funktionsüber-tragung mit den entsprechenden datenschutzrechtlichen Konsequenzen (vgl. hierzu vorstehendZiff. III., 3.4 sowie III., 5. zur Transparenz).

Sollen Bewerberdaten in ein Drittland transferiert werden, so sind die §§ 4b, 4c BDSG zu be-achten. Hat sich z.B. die in einem Drittland ansässige Konzernmutter die Einstellungsentschei-dung vorbehalten und war dieser Umstand dem Bewerber transparent, so ist die entsprechendeDatenübermittlung im Rahmen der Bewerbungsphase gem. § 4c Abs. 1 Satz 1 Nr. 2 BDSGzulässig.

42 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_de.pdf.43 Eine unmittelbare Erforderlichkeit dürfte aus § 32 Abs. 1 Satz 1 BDSG schwerlich herzuleiten sein.44 Zur Aufbewahrung aus Gründen des Allgemeinen Gleichbehandlungsgesetzes - AGG - vgl. z.B. Schafft, AuA 2006, S. 517.


22

4. Shared-Service-Center „Human Resources”

Definition:

Im Rahmen von Shared-Services im HR-Bereich werden Dienstleistungsprozesse in einem Un-ternehmensverbund konsolidiert bzw. zentralisiert (z.B. Gehaltsabrechnung und Betreuung,Pensionskasse). Dabei übernimmt eine zentralisierte Stelle (Shared-Service-Center) die Bear-beitung gleichgelagerter Prozesse aus den verschiedenen Bereichen oder Konzernunterneh-men.


Zunächst ist zu ermitteln, ob die Weitergabe der Personaldaten an das Shared-Service-Centerim Rahmen einer Auftragsdatenverarbeitung oder Funktionsübertragung erfolgt (s.o. Ziff. III.,3.4).

Im Fall der Auftragsdatenverarbeitung liegt zwar keine Datenübermittlung an einen Dritten vor,es bedarf aber des Abschlusses eines Vertrages im Sinne des § 11 BDSG. Liegt eine Funkti-onsübertragung vor, ist die datenschutzrechtliche Zulässigkeit der Personaldatenübermittlungan das Shared-Service-Center vorrangig nach § 32 Abs. 1 Satz 1 BDSG zu beurteilen.

Die Zulässigkeit der Datenweitergabe an das Shared-Service-Center kann sich im Falle ent-sprechender Transparenz für den Mitarbeiter aus § 32 Abs. 1 Satz 1 BDSG (Erforderlichkeit zurDurchführung des Beschäftigungsverhältnisses) ergeben. Wenn die Datenschutzgruppe nachArt. 29 der EU-Datenschutzrichtlinie den Arbeitsvertrag als unzureichende Rechtsgrundlage füreine Zentralisierung der Gehalts- und Personalverwaltungsfunktion im internationalen Konzernansieht45, so ist diese Aussage zu undifferenziert. Zunächst einmal kommt es insoweit auf denkonkreten Vertragsinhalt an. Im Übrigen dürfte es wertungsmäßig einen Unterschied machen,ob nur die Gehaltsverwaltung oder die gesamte Personalverwaltungsfunktion zentralisiert wer-den soll.

§ 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt als Erlaubnisnorm in Betracht, sollte sich die Datenwei-tergabe nicht unmittelbar aus dem jeweiligen Arbeitsvertrag ergeben. Dabei können entgegen-stehende Interessen der Betroffenen am Ausschluss der Zentralisierung als nachrangig ange-sehen werden, wenn der Dienstleister sorgfältig ausgewählt und vertraglich auf die Einhaltungder Datenschutzbestimmungen verpflichtet worden ist. Die Mitbestimmungsrechte des Betriebs-rates sind zu beachten.

Befindet sich das Shared-Service-Center in einem Drittland und ist eine wirksame Betriebsver-einbarung abgeschlossen worden, kann sich der Datenimporteur im Drittland diesen Regelun-gen unterwerfen. Im Übrigen sind die §§ 4b, 4c BDSG zu beachten. Zur Schaffung eines an-gemessenen Datenschutzniveaus bietet sich im Fall der Auftragsdatenverarbeitung die Ver-wendung der entsprechenden EU-Standardvertragsklauseln (Controller to Processor) an. Beider Funktionsübertragung kommen die zwei anderen Standardvertragsklauselwerke (Controllerto Controller) der EU-Kommission in Betracht.

45 Vgl. WP 114, S. 15.


23

5. Zentrale Führungskräftebetreuung und -entwicklung

Definition:

Speziell in Bezug auf leitende Angestellte wird zum Teil die gesamte Personalverwaltung aus-gelagert und häufig zentral bei der Holding bzw. der Konzernmutter angesiedelt.


Es liegt in der Natur der Sache, dass die zentrale Führungskräftebetreuung und -entwicklungdurch die Holding bzw. die Konzernmutter über eine weisungsgebundene Unterstützung bei derDatenverarbeitung hinausgeht. Mithin liegt in diesen Fällen keine Auftragsdatenverarbeitungvor, mit der Folge dass die Weitergabe der Daten der leitenden Angestellten eine Datenüber-mittlung darstellt.

Diese ist jedoch gem. § 32 Abs. 1 Satz 1 BDSG regelmäßig zulässig, denn die Angestelltentä-tigkeit ist hier in aller Regel nicht auf das jeweilige Beschäftigungsunternehmen beschränkt,sondern gerade auf die Kooperation mit der Konzernspitze angelegt. Natürlich tragen auch hierTransparenz und möglichst dezidierte arbeitsvertragliche Regelungen zur Rechtssicherheit bei.

Soweit man gleichwohl auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG zurückgreift, sind jedenfalls insofernkeine überwiegenden Betroffeneninteressen zu erwarten, als die zentrale Führungskräftebe-treuung und -entwicklung gerade Karrierechancen und Verdienstmöglichkeiten eröffnet.

6. Übermittlung an Matrix-Vorgesetzte

Definition:

Die Matrixorganisation zählt zu den möglichen Modellen der Organisation von Stellenbeziehun-gen im Unternehmensverbund, nach denen Zuständigkeiten und Verantwortlichkeiten aufge-baut werden können. Im Konzernverbund wird die Fach- und ggf. auch die Personalvorge-setztenfunktion häufig auf eine oder mehrere Personen in anderen konzernangehörigen Unter-nehmen übertragen. Beispielsweise können Mitarbeiter den Leitern der verrichtungsbezogenenAbteilungen Beschaffung, Produktion und Absatz und gleichzeitig den objektbezogenen Pro-duktmanagern unterstellt sein. Somit bestehen mehrere Weisungsbeziehungen, was naturge-mäß auch die Übermittlung der betreffenden Personaldaten bedingt.

Rechtliche Grundlagen:Als Erlaubnisnorm für die Übermittlung der erforderlichen Personaldaten lässt sich zunächst§ 32 Abs. 1 Satz 1 BDSG heranziehen. Ist die Matrixstruktur im Arbeitsvertrag geregelt bzw.bei dessen Abschluss für den Mitarbeiter erkennbar, so rechtfertigt die Zweckbestimmung desArbeitsvertrages die Datenübermittlung. Auch die Aufnahme einer sog. Flexibilitätsklausel, wo-nach der Mitarbeiter sich bereit erklärt, in verschiedenen Konzernteilen im In- und Ausland tätigzu werden (sog. konzerndimensionales Arbeitsverhältnis), schafft hinreichende Transparenz fürden Betroffenen im Hinblick auf entsprechende Datenflüsse. Jedenfalls soweit das Direktions-recht des Arbeitgebers reicht, kann sich ein konzerndimensionales Arbeitsverhältnis auch nach-träglich konkretisieren.

Im Übrigen ist die Übermittlung von Mitarbeiterdaten auch nach Vornahme einer Interessenab-wägung gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig, wenn diese ergibt, dass die unterneh-


24

menspolitischen und organisatorischen Interessen an der Einrichtung von Matrixstrukturenüberwiegen. Im Rahmen der Interessenabwägung ist auch zu berücksichtigen, dass die Anzahlder einem bestimmten Mitarbeiter zugewiesenen Matrixvorgesetzten begrenzt ist. Eine Interes-senabwägung kann aber im Fall des Drittlandtransfers nur dann zu Gunsten des Unternehmensausfallen, wenn bei dem Datenempfänger ein angemessenes Datenschutzniveau gegeben ist.War die internationale Matrixstruktur von vorneherein absehbar und ist sie damit als Bestandteildes Arbeitsverhältnisses anzusehen, sind die entsprechenden Übermittlungen nach § 4c Abs. 1Satz 1 Nr. 2 BDSG gestattet.

7. Remotezugriffe auf Mitarbeiterdaten

Definition:

Remotezugriffe sind Fernzugriffe, die per Wählverbindung oder Standleitung auf einen anderenRechner erfolgen. Remotezugriffe erfolgen z.B., wenn ein auf Geschäftsreise befindlicher zu-griffsberechtigter Manager mittels eines Notebooks über eine Netzverbindung innerhalb seinesZuständigkeitsbereichs auf Daten seines Unternehmens zugreift.


§ 3 Abs. 4 Satz 2 Nr. 3 BDSG definiert das Übermitteln als das Bekanntgeben gespeicherteroder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in derWeise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oderzum Abruf bereitgehaltene Daten einsieht oder abruft.

Im obigen Beispiel liegt keine Datenübermittlung in diesem Sinne vor, wenn durch technisch-organisatorische Maßnahmen – insbesondere die Verschlüsselung der Inhalte nach dem Standder Technik - sichergestellt ist, dass Dritte keine Kenntnis von den Daten erhalten.

An dieser Beurteilung ändert sich nichts, wenn der Zugriff aus einem Drittland erfolgt. Entschei-dend ist insoweit die organisatorische Zugehörigkeit zur verantwortlichen Stelle und nicht der(zufällige und ggf. vorübergehende) Standort.

8. Skill-Management

Definition:

Die Personalentwicklung beinhaltet geplante Maßnahmen der Aus- und Fortbildung, der sonsti-gen Mitarbeiterförderung und der Organisationsentwicklung. Einen speziellen Fall bildet dassog. Skill-Management. Hierunter versteht man das Verwalten der Fähigkeiten und Qualifikatio-nen (Skills) einzelner Mitarbeiter. Mit Hilfe konzernweit verfügbarer Skill-Datenbanken sollen dieMitarbeiter gezielt ihren Fähigkeiten entsprechend an der richtigen Stelle im Unternehmensver-bund bzw. in Projektteams eingesetzt bzw. gefördert werden.


Neben § 32 Abs. 1 Satz 1 BDSG bei konzerndimensionalen Arbeitsverhältnissen kommt für diemit dem Aufbau konzernweiter Skill-Datenbanken verbundenen Datenübermittlungen § 28Abs. 1 Satz 1 Nr. 2 BDSG als Erlaubnisnorm in Betracht, sollte arbeitsvertraglich keine ent-sprechende Flexibilitätsklausel vorgesehen worden sein. Bei der Datenweitergabe ins Drittland


25

muss im Fall des § 28 Abs. 1 Satz 1 Nr. 2 BDSG allerdings ein angemessenes Schutzniveaugegeben sein, da ansonsten entgegenstehende Interessen der Betroffenen vorliegen können.

Ohne die Einwilligung der betroffenen Mitarbeiter sollten keine sensitiven Daten nach§ 3 Abs. 9 BDSG in Skill-Datenbanken eingegeben werden. Da Angaben über die Fähigkeitenvon Mitarbeitern ohnehin eine gewisse Sensitivität aufweisen, sollten die Mitarbeiter generellüber die Funktionsweise und Zweckbestimmung einer Skill-Datenbank informiert sein. Ist dasder Fall und geben sie die Daten selbst freiwillig ein, so kann regelmäßig vom Vorliegen einerkonkludenten Einwilligung nach § 4a BDSG ausgegangen werden. Zu beachten ist, dass auchmit Einwilligung eingegebene Skill-Daten einer Nutzungsbeschränkung im Hinblick auf das All-gemeine Gleichbehandlungsgesetz (AGG) unterliegen können.

Die verantwortliche Stelle hat sich beim Aufbau einer Skill-Datenbank unabhängig von den vor-stehenden Ausführungen zu fragen, ob diese nicht zunächst mit pseudonymen oder anonymenDaten aufgebaut werden kann. Wird eine gesuchte Fähigkeit eines Mitarbeiters über die Daten-bank gefunden, kann eine Anfrage an den jeweiligen Arbeitgeber des Betroffenen über dessenIdentität erfolgen.

Das Skill-Management bedarf der Mitbestimmung des Betriebsrats (§ 87 Abs. 1 Nr. 6 BetrVG),so dass auch entsprechende Betriebsvereinbarungen als Erlaubnisnormen in Betracht kom-men, deren Regelungen im Fall des Drittlandtransfers vertraglich durchgereicht werden können.Bezüglich der leitenden Angestellten sollte eine entsprechende Vereinbarung mit demSprecherausschuss getroffen werden.

9. Mitarbeiterbefragung

Definition:

Mitarbeiterbefragungen sind ein Instrument zur Beschaffung von Steuerungsdaten, wobei dieeinzelnen Zielsetzungen unterschiedlich sein können. Vielfach geht es darum, Informationenüber die Arbeitszufriedenheit, die Motivation der Mitarbeiter oder Vorgesetztenbeurteilungenabzufragen. Dies geschieht zunehmend auch online.


Die Frage, ob eine Mitarbeiterbefragung, bei der die Antworten personenbezogen erhoben undgespeichert werden, auf § 28 BDSG gestützt werden kann, wurde im aufsichtsbehördlichenBereich verneint46. Eine geänderte Rechtsauffassung durch Einführung des § 32 BDSG ist nichtzu erwarten, zumal die erarbeiteten Grundsätze zu § 28 BDSG ihre Gültigkeit nicht verlieren.Aus datenschutzrechtlicher Sicht unbedenklich ist eine Mitarbeiterbefragung jedenfalls, wenndiese in anonymisierter Form (vgl. §§ 3 Abs. 6, 3a BDSG), d.h. ohne Möglichkeit eines Rück-schlusses auf bestimmte Mitarbeiter, oder auf Grundlage einer informierten und freiwilligenEinwilligung gem. § 4a BDSG erfolgt. Der Hinweis auf die Freiwilligkeit sollte in den Fragebogen- optisch hervorgehoben - aufgenommen werden47.

Die Weitergabe von personenbezogenen Arbeitnehmerdaten an einen externen Dienstleisterzur Auswertung der Antworten ist anhand der vorstehend dargestellten Abgrenzung (Ziff. III.,3.4) zu beurteilen.

46 Vgl. unter https://www.datenschutzzentrum.de/wirtschaft/praxis/20070313.htm.47 Vgl. auch BfDI, 20. Tätigkeitsbericht - 2003/2004, 120 = RDV 2004, 187.


26

Aus Gründen der Akzeptanz empfehlenswert und teilweise betriebsverfassungsrechtlich not-wendig (zu Personalfragebögen bzw. Beurteilungsgrundsätzen siehe § 94 BetrVG) ist die Betei-ligung der Mitarbeitervertretung.

Wird eine unter § 94 BetrVG fallende Befragungsaktion von der ausländischen Konzernspitzeper E-Mail durchgeführt, so ändert dies nichts an der notwendigen Mitbestimmung48.

Soweit Mitarbeiterdaten personenbezogen in Drittländer übermittelt werden, sind die §§ 4b, 4cBDSG zu beachten. Auch hier sollte aber vorzugsweise eine anonymisierte oder pseudonymi-sierte Form gewählt werden.

10. Compliance

Definition:

Der Begriff Compliance beinhaltet die Einhaltung von Gesetzen und Richtlinien sowie von frei-willigen Kodizes (Selbstverpflichtungen) in Unternehmen.

Im Rahmen der Erfüllung allgemeiner Compliancevorgaben (z.B. Sarbanes Oxley Act, Corpora-te Governance Codex) entstehen unternehmensübergreifende Reportingstrukturen, über wel-che personenbezogene Informationen über die Verletzung gesetzlicher oder betrieblicher Vor-gaben erfasst, unter Beteiligung der Konzernrevisions- und / oder Konzernsicherheitsabteilungzentral aufgeklärt und zentralen Entscheidungsstellen (Compliance Officer, Clearing Commit-tee, Konzernvorstand) zugeleitet werden.


Als rechtliche Grundlagen kommen § 32 Abs. 1 Satz 1 und § 28 Abs. 1 Satz 1 Nr. 2 BDSG inBetracht.

Die Übermittlung relevanter personenbezogener Beschäftigtendaten zwischen Konzerngesell-schaften kann u.U. auf die Zweckbestimmung des Arbeitsverhältnisses gestützt werden (§ 32Abs. 1 Satz 1 BDSG). Voraussetzung ist aber zumindest, dass das Arbeitsverhältnis durch eineentsprechende, für den Mitarbeiter transparente betriebliche Organisation und eine eindeutigeFunktionszuweisung im Konzern mitgestaltet wird.

Für Beschäftigungsverhältnisse, die bereits vor der organisatorischen Einrichtung der entspre-chenden zentralen Funktionen und Reportingstrukturen entstanden sind, so dass eine entspre-chende Ausgestaltung bzw. Einbeziehung in das Arbeitsverhältnis fraglich ist, kann auf § 28Abs. 1 Satz 1 Nr. 2 BDSG zurückgegriffen werden. Das betriebliche Interesse an der Einhal-tung von Compliancevorgaben überwiegt grundsätzlich das Interesse des Betroffenen am Aus-schluss entsprechender Datenübermittlungen. Allerdings müssen die zur Erfüllung der Compli-anceanforderungen eingesetzten Systeme (Videoüberwachung, Whistleblowingsysteme etc., zuLetzteren vgl. den Arbeitsbericht der ad-hoc-Arbeitsgruppe „Beschäftigtendatenschutz“49,) stetsam Grundsatz der Verhältnismäßigkeit ausgerichtet werden.

Im Hinblick auf Datenübermittlungen in Drittländer ergeben sich keine zusätzlichen Anforderun-gen, wenn die Compliancemaßnahmen Bestandteil des Arbeitsverhältnisses sind (§ 4c Abs. 1Satz 1 Nr. 2 BDSG). Im Übrigen bedarf es eines angemessenen Datenschutzniveaus bei demjeweiligen Datenempfänger.

48 Vgl. Hess. LAG, BB 2001, 2432 sowie Däubler, Gläserne Belegschaften?, 4. Aufl., Rn. 838.49 Abrufbar unter http://www.datenschutz-hessen.de/ft-beschaeftigtendatensch.htm.


27

11. Bonusprogramme

Definition:

Bonusprogramme sollen die Mitarbeitermotivation fördern, indem den Mitarbeitern die Möglich-keit geboten wird, an einer positiven Unternehmensperformance, zu der sie beigetragen haben,zu partizipieren. Ein Beispiel hierfür sind sog. Aktienoptionspläne, bei denen den teilnehmendenMitarbeitern im Rahmen einer aktienbasierten Vergütung die Option eingeräumt wird, eine be-stimmte Anzahl von Unternehmensaktien zu einem bestimmten Zeitpunkt gratis bzw. verbilligtzu erwerben.


Bonusprogramme werden in der Regel einvernehmlich entweder auf Grundlage arbeitsvertrag-licher Regelung oder - z.B. bei nachträglicher Einführung - auf Basis einer freiwilligen Einwilli-gung des Mitarbeiters durchgeführt. Als Rechtsgrundlagen für die erforderliche Personaldaten-verarbeitung kommen mithin § 4 a BDSG und 32 Abs. 1 Satz 1 BDSG in Betracht.

Auf nationaler und europäischer Ebene kann die Übertragung der Abwicklung des Prämiensys-tems an einen externen Dienstleister im Wege der Auftragsdatenverarbeitung gem. § 11 BDSGerfolgen.

Im Fall von konzerndimensionalen Arbeitsverhältnissen, bei denen die Gewährung bestimmterBoni vertraglich fixiert worden ist, stellt § 4c Abs. 1 Satz 1 Nr. 2 BDSG die Rechtsgrundlage fürdie Übermittlung der erforderlichen Mitarbeiterdaten an ein konzernangehöriges Unternehmenim Drittland dar. Eine von vornherein feststehende Weiterübermittlung an einen im Drittlandniedergelassenen Dienstleister zwecks Verwaltung der Aktienoptionspläne ist entweder auf Ba-sis einer entsprechenden Einwilligung gem. § 4a BDSG oder gem. § 4c Abs. 1 Satz 1 Nr. 3BDSG möglich. Die Artikel 29-Gruppe hat allerdings Bedenken, die Beauftragung eines im Dritt-land niedergelassenen Dienstleisters (Verwaltung der Aktienoptionspläne, Gehaltszahlungsma-nagement) als einen Vertragsschluss im Interesse des Betroffenen zu qualifizieren50. Die Grup-pe plädiert vor diesem Hintergrund für die Verwendung eines Vertrages zur Schaffung ange-messener Schutzgarantien. Hinsichtlich der Stock Options dürfte sich die Problematik in derPraxis insofern nicht stellen, als die Durchführung der Aktienoptionspläne auf Basis einer infor-mierten Einwilligung der Mitarbeiter erfolgt. Für die Wirksamkeit der Einwilligungserklärungenvon Mitarbeitern im Zusammenhang mit Bonusprogrammen spricht auch nach Auffassung derArtikel 29-Gruppe im Rahmen des Arbeitspapiers51, dass den Betroffenen nur die Gelegenheitzur Wahrnehmung einer Vergünstigung geboten wird.

12. Werbliche Ansprache der Mitarbeiter

Definition:

Versendung jeglichen Werbematerials durch den Arbeitgeber an seine Mitarbeiter, sei es perelektronischer oder herkömmlicher Dienstpost oder - z.B. als Beilage zur Gehaltsabrechnung -an die Privatadresse.

50 WP 114, S. 16, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_de.pdf.51 WP 114, S.13.


28

Rechtliche Grundlage:

Von der Mitarbeiterwerbung sind zunächst unternehmensinterne Kommunikationen zur Informa-tion über eigene Produkte des Unternehmensverbundes zu unterscheiden. Solche sind nach§ 32 Abs. 1 Satz 1 BDSG über die Zweckbestimmung des Arbeitsvertrags gedeckt.Soweit Mitarbeiterwerbung unadressiert (etwa durch Einlegen in das Mitarbeiterfach) erfolgt, istmangels Personalisierung eine Anwendbarkeit des BDSG nicht gegeben. Aus Akzeptanzgrün-den kann es allerdings auch dann empfehlenswert sein, die Möglichkeit eines Werbewider-spruchs einzuräumen.Ferner ist zwischen den Kommunikationsmitteln, die zur werblichen Ansprache genutzt werdensollen, zu unterscheiden. Soll die Werbung per Telefon, Fax, E-Mail oder SMS erfolgen, fordertder Gesetzgeber grundsätzlich eine vorherige, ausdrückliche Einwilligung des Adressaten (§ 7UWG). Eine Ausnahme vom Einwilligungsvorbehalt kann sich im Falle der werblichen Anspra-che per E-Mail ergeben (vgl. § 7 Abs. 3 UWG).Im Falle der Briefwerbung ist die Verarbeitung und Nutzung personenbezogener Daten eben-falls grundsätzlich einwilligungsbedürftig (vgl. § 28 Abs. 3 Satz 1 BDSG). Ausnahmen von die-sem Grundsatz hat der Gesetzgeber in § 28 Abs. 3 Satz 2 BDSG vorgesehen52. Personenbe-zogene Daten der Mitarbeiter können ohne deren Einwilligung im Konzernverbund zu Werbe-zwecken übermittelt werden, wenn die Transparenzpflichten des § 28 Abs. 3 Satz 4 BDSG ge-wahrt werden, so die Dokumentation der Übermittlung für zwei Jahre nach Maßgabe von § 34Abs. 1a BDSG durch die verantwortliche Stelle und den Datenempfänger sowie die Angabe der„ersterhebenden Stelle“ in der Werbung selbst.Erfolgt eine Ansprache zu Werbezwecken, ist der betroffene Mitarbeiter entsprechend den all-gemeinen Regeln über die Möglichkeit des Werbewiderspruchs zu informieren (§ 28 Abs. 4Satz 2 BDSG).Soweit den Mitarbeitern werbliche Informationen über deren dienstliche E-Mail-Adresse zugelei-tet werden sollen, sind zumindest die Transparenzregeln des § 6 TMG zu beachten. Insbeson-dere sollte also bereits die Kopf- und Betreffzeile den werblichen Charakter der E-Mail erkennenlassen.Schließt ein Mitarbeiter auf derartige Werbemaßnahmen hin einen Vertrag ab, richtet sich derweitere Umgang mit seinen personenbezogenen Daten nach den Regelungen des Kundenda-tenschutzes.

13. Unternehmenstransaktionen

Definition:Konzernstrukturen unterliegen vielfach einem ständigen Wandel, sei es, dass der Konzern neueUnternehmen erwirbt, oder dass bisherige Konzernunternehmen veräußert oder umstrukturiertwerden. Vor diesem Hintergrund stellt sich die Frage, wie der Mitarbeiterdatenschutz bei denentsprechenden Unternehmenstransaktionen gewährleistet werden kann.

Rechtliche Grundlagen:Im Rahmen von Unternehmenstransaktionen finden sog. Due-Diligence-Prüfungen statt. Poten-zielle Erwerber benötigen zu ihrer Meinungsbildung ggf. auch personenbezogene Informationender Mitarbeiter des zu erwerbenden Unternehmens. Als Rechtsgrundlage für die hiermit ver-bundene Übermittlung der Mitarbeiterdaten, immerhin handelt es sich beim potenziellen Bewer-

52 Ausführlich hierzu: Gola/Reif, Kundendatenschutz – Leitfaden für die Praxis, 3. Aufl. 2011, Rn. 309 ff.


29

ber um einen „Dritten“, kommt § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht. Die Erforderlichkeitder Datenübermittlung lässt sich aus der Erfüllung arbeitsvertraglicher Pflichten nur schwerlichherleiten. Abzuwägen ist insoweit das Interesse an der Ermöglichung der Betriebsveräußerungmit den Vertraulichkeitsinteressen der Mitarbeiter53. Jede Übermittlung ist auf die zum gegebe-nen Zeitpunkt unbedingt erforderlichen Daten zu beschränken54. Auch auf die Sicherheit derübermittelten Daten ist zu achten und es ist dafür Sorge zu tragen, dass Daten z.B. strikt imbesonders abgesicherten sog. „Data-Room“ gehalten werden. Nach Möglichkeit sollten lediglichanonymisierte oder statistisch aufbereitete Daten weitergegeben werden.

53 Zur Thematik vgl. Diller/Deutsch, K&R 1998, S. 16.54 Zu den erforderlichen Datenkategorien, vgl. Göpfert,(Mayer, NZA 2011, 486, 489.

GDD-Arbeitskreis „Datenschutz-Praxis“ · im Interesse der Mitarbeiter liegt, dass ihr...

Documents

Transcript of GDD-Arbeitskreis „Datenschutz-Praxis“ · im Interesse der Mitarbeiter liegt, dass ihr...