Kon­zern­in­ter­ne Wei­ter­ga­be von Mit­ar­bei­ter­da­ten nach der DSGVO?

Die Fra­ge der Wei­ter­ga­be von Mit­ar­bei­ter­da­ten (Beschäf­tig­ten­da­ten) im Kon­zern­ver­bund stellt sich sehr oft. In der Schweiz ist Art. 328b OR ein­schlä­gig (Arbeits­platz­be­zug der Daten). Nach der aktu­el­len Recht­spre­chung des Bun­des­ge­richts ist Art. 328b OR aller­dings nicht als Ver­bots­norm, son­dern als arbeits­ver­trag­li­che Kon­kre­ti­sie­rung der daten­schutz­recht­li­chen Bear­bei­tungs­grund­sät­ze der Zweck­bin­dung und der Ver­hält­nis­mä­ssig­keit zu ver­ste­hen. Art. 328b OR kann einer Wei­ter­ga­be des­halb nicht a prio­ri ent­ge­gen­ste­hen, ver­langt aber – über das Daten­schutz­recht – eine Inter­es­sen­ab­wä­gung im Ein­zel­fall.

Nach der DSGVO ver­langt die Bekannt­ga­be von Beschäf­tig­ten­da­ten im Kon­zern wie jede ande­re Form der Bear­bei­tung eine Rechts­grund­la­ge (d.h. die Bekannt­ga­be und auch die fol­gen­de Bear­bei­tung ver­lan­gen eine Rechts­grund­la­ge, wobei die Bekannt­ga­be durch die Arbeit­ge­be­rin auch dem Arbeit­neh­mer­da­ten­schutz­recht unter­steht und die fol­gen­de Bear­bei­tung durch die emp­fan­gen­de Dritt­ge­sell­schaft nur dem all­ge­mei­nen Daten­schutz­recht). In Fra­ge kommt Art. 6 Abs. 1 lit. f DSGVO, das berech­tig­te Inter­es­se. Dar­auf deu­tet auch Erwä­gungs­grund 48 hin, der als mög­li­cher­wei­se berech­tig­tes Inter­es­se u.a. die inter­ne Ver­wal­tung im Kon­zern nennt:

(48) Ver­ant­wort­li­che, die Teil einer Unter­neh­mens­grup­pe oder einer Grup­pe von Ein­rich­tun­gen sind, die einer zen­tra­len Stel­le zuge­ord­net sind kön­nen ein berech­tig­tes Inter­es­se haben, per­so­nen­be­zo­ge­ne Daten inner­halb der Unter­neh­mens­grup­pe für inter­ne Ver­wal­tungs­zwecke ein­schließ­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Kun­den und Beschäf­tig­ten, zu über­mit­teln. Die Grund­prin­zi­pi­en für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten inner­halb von Unter­neh­mens­grup­pen an ein Unter­neh­men in einem Dritt­land blei­ben unberührt.

Aller­dings bedeu­tet dies nicht, dass jede Bekannt­ga­be inner­halb des Kon­zerns zuläs­sig ist, wenn sie der inter­nen Ver­wal­tung dient – es braucht stets eine Inter­es­sen­ab­wä­gung im Ein­zel­fall, die nach der DSGVO anders als nach dem revDSG doku­men­tiert wer­den muss (und nicht nur wer­den sollte).

Das Ober­lan­des­ge­richt­Hamm (OLG Hamm) hat nun ent­schie­den, dass eine kon­kre­te Bekannt­ga­be nicht mit Art. 6 Abs. 1 lit. f DSGVO ver­ein­bar war, im Wesent­li­chen weil auch anony­mi­sier­te oder pseud­ony­mi­sier­te Daten aus­ge­reicht hät­ten. Es ging um einen Manage­ment­ver­trag mit einer Kon­zern­mut­ter, ie bei Arbeits­ver­trä­gen mit einem Lohn über einer bestimm­ten Gren­ze ein Veto­recht hat­te. Um die Zahl ent­spre­chen­der Ver­trä­ge zu bestim­men, führ­te die Kon­zern­mut­ter eine Abfra­ge bei den Kon­zern­ge­sell­schaf­ten durch, bei der u.a. nach dem Namen der betrof­fe­nen Mit­ar­bei­ter gefragt wurde.

Eben­falls kei­ne Rechts­grund­la­ge war § 26 BDSG, die Par­al­lel­norm zu Art. 328b OR im deut­schen Bun­des­da­ten­schutz­ge­setz, die eine Bear­bei­tung von Beschäf­tig­ten­da­ten grund­sätz­lich erlaubt, soweit die­se „für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach Begrün­dung des Beschäf­ti­gungs­ver­hält­nis­ses für des­sen Durch­füh­rung oder Been­di­gung oder zur Aus­übung oder Erfül­lung der sich aus einem Gesetz oder einem Tarif­ver­trag, einer Betriebs- oder Dienst­ver­ein­ba­rung (Kol­lek­tiv­ver­ein­ba­rung) erge­ben­den Rech­te und Pflich­ten der Inter­es­sen­ver­tre­tung der Beschäf­tig­ten erfor­der­lich ist“. § 26 BDSG geht der DSGVO gestützt auf Art. 88 DSGVO vor, doch war die Bekannt­ga­be im vor­lie­gen­den Fall eben nicht notwendig.

Der Ent­scheid des OLG ist nicht über­ra­schend. Er zeigt vor allem, dass bei der immer erfor­der­li­chen Ver­hält­nis­mä­ssig­keits­prü­fung ernst­haft nach Alter­na­ti­ven gefragt wer­den muss – der oft etwas pau­scha­le Ein­wand des „Busi­ness“, ein Bear­bei­tungs­zweck las­se sich mit anony­men Daten nicht errei­chen, soll­te des­halb oft hin­ter­fragt werden.