Datentransfer im Konzern: Wie dürfen Personaldaten auf Reisen gehen?

Konzerne müssen ihren internen Datentransfer genauso absichern wie ihre Kommunikation nach außen. In seinem 44. Tätigkeitsbericht beschäftigt sich der Hessische Datenschutzbeauftragte unter anderem auch damit, worauf Konzerne achten müssen, wenn zwischen den verschiedenen Unternehmen personenbezogene Daten übermittelt werden. Das heißt: Wenn zum Beispiel Volkswagen Deutschland einen Mitarbeiter für zwei Jahre nach Mexiko in das konzerneigene Werk in Puebla schickt, müssen die Personalabteilungen die Daten des Mitarbeiters versenden können, ohne rechtlich belangt zu werden.

Im deutschen, derzeit gültigen Datenschutzrecht gibt es für einen Konzern kein „Privileg“, sprich keine Ausnahme: „Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige Übermittlung vor“, erklärt Dr. Carlo Piltz in seinem Datenschutz-Blog de lege data. Personalabteilungen in einem Konzern müssen für den Datentransfer rechtliche Regeln beachten.

Wann ist Datentransfer legitim?

Der Hessische Datenschutzbeauftragte verweist auf den Arbeitsbericht einer Ad-hoc-Arbeitsgruppe namens „Konzerninterner Datentransfer“, der vom 11. Januar 2005 stammt. Eine besonders geschützte Datenübermittlung ist erforderlich, wenn

1. der Arbeitsvertrag bei Vertragsabschluss einen für den Betroffenen erkennbaren Bezug zum Konzern aufweist, etwa im Hinblick auf Tätigkeiten, die auch in anderen Konzernunternehmen zu verrichten sind.
2. bei Einstellung des Beschäftigten deutlich erkennbar ist, dass die Verarbeitung der Personaldaten in anderen Konzernunternehmen liegt.

In beiden Fällen muss der Mitarbeiter über die verantwortliche Stelle, den Zweck der Verarbeitung und die Kategorien der Empfänger der Daten nach §4 Abs. 3 BDSG informiert sein. Erst dann ist die Datenübermittlung nach §32 Abs. 1 Satz 1 legitim.

Was ändert sich mit der Datenschutzgrundverordnung?

Die 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) berücksichtigt, dass Verantwortliche eines Unternehmens grundsätzlich ein Interesse daran haben können, „personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“, so Plitz. In diesem Fall wären zumindest einmal die Voraussetzungen für den Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f) erfüllt. Die Übermittlung demnach rechtens wäre. Trotzdem ist die Personalabteilung und die Konzernleitung gut beraten, sich auf besonders abgesicherte Übermittlungswege zu verlegen.

Im Konzern auf Schutzbedarf achten!

Die personenbezogenen Daten der Mitarbeiter überschreiten bei der Übermittlung meist Ländergrenzen. Aufgabe des Konzerns ist es daher auch, eine Transferlösung zu finden, mit der sich die personenbezogenen Daten möglichst geschützt austauschen lassen und nicht unfreiwillig an unbefugte Dritte preisgegeben werden. Dazu sollten die Personalabteilungen zum Beispiel zunächst einmal den

• mithilfe des Schutzbedarf-Rechners ermitteln, welche Schutzklasse die Daten tatsächlich benötigen.
• einen zertifizierten Cloud-Dienst mit der entsprechenden Schutzklasse auswählen.

Passt die Schutzklasse zum Schutzbedarf der Daten, sind die von den Datenschutzgesetzen geforderten Kontrollpflichten erfüllt – sie haben also ihren Pass! Sobald die EU-Datenschutz-Grundverordnung in Kraft tritt, vermeiden die Verantwortlichen mit dem Pass (Zertifikat) sogar Haftungsrisiken.

Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.