Die Frage der Weitergabe von Mitarbeiterdaten (Beschäftigtendaten) im Konzernverbund stellt sich sehr oft. In der Schweiz ist Art. 328b OR einschlägig (Arbeitsplatzbezug der Daten). Nach der aktuellen Rechtsprechung des Bundesgerichts ist Art. 328b OR allerdings nicht als Verbotsnorm, sondern als arbeitsvertragliche Konkretisierung der datenschutzrechtlichen Bearbeitungsgrundsätze der Zweckbindung und der Verhältnismässigkeit zu verstehen. Art. 328b OR kann einer Weitergabe deshalb nicht a priori entgegenstehen, verlangt aber – über das Datenschutzrecht – eine Interessenabwägung im Einzelfall.
Nach der DSGVO verlangt die Bekanntgabe von Beschäftigtendaten im Konzern wie jede andere Form der Bearbeitung eine Rechtsgrundlage (d.h. die Bekanntgabe und auch die folgende Bearbeitung verlangen eine Rechtsgrundlage, wobei die Bekanntgabe durch die Arbeitgeberin auch dem Arbeitnehmerdatenschutzrecht untersteht und die folgende Bearbeitung durch die empfangende Drittgesellschaft nur dem allgemeinen Datenschutzrecht). In Frage kommt Art. 6 Abs. 1 lit. f DSGVO, das berechtigte Interesse. Darauf deutet auch Erwägungsgrund 48 hin, der als möglicherweise berechtigtes Interesse u.a. die interne Verwaltung im Konzern nennt:
(48) Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.
Allerdings bedeutet dies nicht, dass jede Bekanntgabe innerhalb des Konzerns zulässig ist, wenn sie der internen Verwaltung dient – es braucht stets eine Interessenabwägung im Einzelfall, die nach der DSGVO anders als nach dem revDSG dokumentiert werden muss (und nicht nur werden sollte).
Das OberlandesgerichtHamm (OLG Hamm) hat nun entschieden, dass eine konkrete Bekanntgabe nicht mit Art. 6 Abs. 1 lit. f DSGVO vereinbar war, im Wesentlichen weil auch anonymisierte oder pseudonymisierte Daten ausgereicht hätten. Es ging um einen Managementvertrag mit einer Konzernmutter, ie bei Arbeitsverträgen mit einem Lohn über einer bestimmten Grenze ein Vetorecht hatte. Um die Zahl entsprechender Verträge zu bestimmen, führte die Konzernmutter eine Abfrage bei den Konzerngesellschaften durch, bei der u.a. nach dem Namen der betroffenen Mitarbeiter gefragt wurde.
Ebenfalls keine Rechtsgrundlage war § 26 BDSG, die Parallelnorm zu Art. 328b OR im deutschen Bundesdatenschutzgesetz, die eine Bearbeitung von Beschäftigtendaten grundsätzlich erlaubt, soweit diese „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“. § 26 BDSG geht der DSGVO gestützt auf Art. 88 DSGVO vor, doch war die Bekanntgabe im vorliegenden Fall eben nicht notwendig.
Der Entscheid des OLG ist nicht überraschend. Er zeigt vor allem, dass bei der immer erforderlichen Verhältnismässigkeitsprüfung ernsthaft nach Alternativen gefragt werden muss – der oft etwas pauschale Einwand des „Business“, ein Bearbeitungszweck lasse sich mit anonymen Daten nicht erreichen, sollte deshalb oft hinterfragt werden.