Internationaler Datenschutz

Nicht nur Großkonzerne, sondern auch Unternehmen des deutschen Mittelstands werden immer öfter Teil einer Unternehmensgruppe. Zur Ausnutzung von Synergieeffekten werden hierbei auch, zumindest in Teilbereichen, institutions- und länderübergreifende Teams gebildet. So ist der fachliche Vorgesetzte plötzlich nicht mehr der Linienvorgesetzte, sondern der übergeordnete Leiter eines Bereichs in der Muttergesellschaft. Hierbei werden ganz automatisch auch personenbezogene Daten des Mitarbeiters übermittelt, was datenschutzrechtlich durchaus problematisch ist und zu einem Compliance-Verstoß führen kann. Auch wenn dies in der derzeit diskutierten EU-Datenschutz-Grundverordnung angedacht ist, so existiert derzeit kein sog. Konzernprivileg. Auch scheint diese Grundverordnung in der jetzigen Form nicht mehrheitsfähig zu sein und in naher Zukunft nicht verabschiedet zu werden, wie Dr. Jörn Voßbein auf dem diesjährigen Fachkongress „DAFTA“ mit weiteren Datenschutzexperten diskutierte. Somit muss auch weiterhin die Übermittlung von Mitarbeiterdaten an eine andere Gesellschaft, wie bei jeder anderen Datenübermittlung, stets durch eine Rechtsvorschrift legalisiert werden. Hierbei ist beispielsweise die Einführung eines konzernweiten Telefon- oder E-Mail-Verzeichnisses noch relativ einfach umsetzbar. Diese geschäftlichen Kontaktdaten sind oftmals für die Kommunikation und die Erfüllung der Arbeitsaufgaben erforderlich, so dass ein „berechtigtes Interesse“ gegeben sein kann (§ 28 BDSG). Dies wird im Rahmen einer sog. Matrix-Organisation zunehmend schwieriger. Im Gegensatz zum Telefonverzeichnis werden hierbei oftmals umfassendere Daten an fachliche Vorgesetzte übermittelt, wie z. B. Skill- oder Performance-Informationen, was wesentlich kritischer zu betrachten ist. Ist diese Struktur bei Eingehung des Arbeitsvertrags für den Mitarbeiter bereits erkennbar sowie durch Unterzeichnung des Arbeitsvertrags gebilligt, erhält das Arbeitsverhältnis einen Konzernbezug. Ein Datentransfer ist dann durch das Beschäftigtenverhältnis abgedeckt (§ 32 BDSG). Andernfalls ist ein 10-Punkte-Anforderungskatalog der Datenschutz-Aufsichtsbehörden umzusetzen, wozu auch ein konzernweit einheitliches Datenschutzkonzept bzw. Datenschutzhandbuch gehört. Wenn die anderen Gesellschaften im Nicht-EU-Ausland angesiedelt sind, muss ferner geprüft werden, ob im Land des Empfängers ein ausreichendes Datenschutzniveau herrscht. Ein solches Datenschutzniveau ist beispielsweise in den USA nicht gegeben. Demnach müsste der Datentransfer, im Übrigen unerheblich ob mündlich oder elektronisch, unterbleiben. Dem kann nur dadurch begegnet werden, dass sich der Empfänger entweder dem „Safe Harbor“-Abkommen unterwirft oder mit ihm ein Vertrag entsprechend den sog. „Standardsvertragsklauseln der EU-Kommission“ abgeschlossen wird. Die Erfahrung der UIMC zeigt jedoch, dass es teilweise schwierig ist, als Tochtergesellschaft von der Mutter einen solchen Vertrag einzufordern. Alternativ kann auch das Etablieren von „Binding Corporate Rules“ eine Herangehensweise sein, wodurch konzernweit einheitliche Datenschutzstandards eingeführt würden, die dem EU-Datenschutzniveau entsprechen. Diese Fragestellungen sollten grundsätzlich mit dem betrieblichen Datenschutzbeauftragten abgestimmt werden.