Wie ein Konzern Daten auf Reisen schickt

Konzern: Wie dürfen Personaldaten auf Reisen gehen?

Wie ein Konzern Daten auf Reisen schicktEin Konzern muss interne Datentransfers genauso absichern wie seine Kommunikation nach außen. In seinem 44. Tätigkeitsbericht beschäftigt sich der Hessische Datenschutzbeauftragte unter anderem auch damit, worauf ein Konzern achten muss, wenn zwischen den verschiedenen Unternehmen personenbezogene Daten übermittelt werden. Das heißt: Wenn zum Beispiel Volkswagen Deutschland einen Mitarbeiter für zwei Jahre nach Mexiko in das konzerneigene Werk in Puebla schickt, müssen die Personalabteilungen die Daten des Mitarbeiters versenden können, ohne rechtlich belangt zu werden.

Im deutschen, derzeit gültigen Datenschutzrecht gibt es für einen Konzern kein „Privileg“, sprich keine Ausnahme: „Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige Übermittlung vor“, erklärt Dr. Carlo Piltz in seinem hervorragenden Blog de lege data. Personalabteilungen in einem Konzern müssen für den Datentransfer rechtliche Regeln beachten.

Wann ist Datentransfer legitim?

Der Hessische Datenschutzbeauftragte verweist auf den Arbeitsbericht einer Ad-hoc-Arbeitsgruppe namens „Konzerninterner Datentransfer“, der vom 11. Januar 2005 stammt. Eine besonders geschützte Datenübermittlung ist erforderlich, wenn

  1. der Arbeitsvertrag bei Vertragsabschluss einen für den Betroffenen erkennbaren Bezug zum Konzern aufweist, etwa im Hinblick auf Tätigkeiten, die auch in anderen Konzernunternehmen zu verrichten sind.
  2. bei Einstellung des Beschäftigten deutlich erkennbar ist, dass die Verarbeitung der Personaldaten in anderen Konzernunternehmen liegt.

In beiden Fällen muss der Mitarbeiter über die verantwortliche Stelle, den Zweck der Verarbeitung und die Kategorien der Empfänger der Daten nach §4 Abs. 3 BDSG informiert sein. Erst dann ist die Datenübermittlung nach §32 Abs. 1 Satz 1 legitim.

Was ändert sich mit der Datenschutzgrundverordnung?

Die 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) berücksichtigt, dass Verantwortliche eines Unternehmens grundsätzlich ein Interesse daran haben können, „personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“, so Plitz. In diesem Fall wären zumindest einmal die Voraussetzungen für den Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f) erfüllt. Die Übermittlung demnach rechtens wäre. Trotzdem ist die Personalabteilung und die Konzernleitung gut beraten, sich auf besonders abgesicherte Übermittlungswege zu verlegen.

Im Konzern auf Schutzbedarf achten!

Die personenbezogenen Daten der Mitarbeiter überschreiten bei der Übermittlung meist Ländergrenzen. Aufgabe des Konzerns ist es daher auch, eine Transferlösung zu finden, mit der sich die personenbezogenen Daten möglichst geschützt austauschen lassen und nicht unfreiwillig an unbefugte Dritte preisgegeben werden. Dazu sollten die Personalabteilungen zum Beispiel zunächst einmal den

Passt die Schutzklasse zum Schutzbedarf der Daten sind die von den Datenschutzgesetzen geforderten Kontrollpflichten erfüllt – sie haben also ihren Pass! Sobald die EU-Datenschutz-Grundverordnung in Kraft tritt, vermeiden die Verantwortlichen mit dem Pass (Zertifikat) sogar Haftungsrisiken.

Eine Zusammenfassung zur Zertifizierung von Cloud-Diensten und was sie bedeutet finden Sie hier!