Keine konzerninterne Datenübermittlung von Arbeitnehmerdaten?

Die interne Datenübermittlung zwischen verschiedenen Gesellschaften eines Konzerns ist in Zeiten umfassender technischer und personaler Vernetzung keine besondere Neuigkeit. Mitunter selbstverständlich werden Mitarbeiterdaten zum Zwecke der Lohnabwicklung, zur Personalverwaltung oder aus steuerlichen Gründen von einer Konzerngesellschaft an eine andere übermittelt, dort gespeichert und für den jeweiligen Zweck genutzt. Dass dabei datenschutzrechtlich relevante personenbezogene Daten, die Arbeitnehmerdaten, verarbeitet werden, liegt auf der Hand. Häufig unklar ist hingegen, auf welcher rechtlichen Grundlage die konzerninterne Datenübermittlung beruht und ob diese im konkreten Fall tatsächlich datenschutzrechtlich zulässig ist. Dieser Frage hat sich das Landgericht Bochum in einer Entscheidung aus dem Jahr 2020 (ausschnittsweise) angenommen und festgestellt – so viel sei vorweggenommen –, dass eine Datenübermittlung von personenbezogenen (Mitarbeiter-)Daten im streitgegenständlichen Fall nicht vom „berechtigten Interesse“ des Arbeitgebers gedeckt war.

Das Urteil

Gegenstand des Urteils war die Übermittlung personenbezogener Daten (Arbeitnehmerdaten), insbesondere zur Höhe des Jahresbruttogehalts, Informationen zu Prämien und zu sonstigen Leistungen der Klägerin von ihrer Arbeitgeberin, einer Gesellschaft innerhalb eines Gesellschaftsverbundes, an eine andere Tochtergesellschaft (Beklagte) des gleichen Gesellschaftsverbundes. Zweck dieser Datenübermittlung war die Erstellung einer Datenbank mit Vergleichswerten zu Gehältern für neu abzuschließende Arbeitsverträge.

Neben der Verpflichtung der Beklagten sämtliche von der Übermittlung betroffenen Daten, unabhängig von der Art des jeweiligen Speichermediums (Cloud, Datenbank, Excel, Tablets, Handys, geschäftliche PC’s etc.), bei sich zu löschen, sprach das Gericht der Klägerin zudem einen (immateriellen) Schadensersatz in Höhe von  8.000 € zu (Art. 82 Abs. 1 DSGVO). Das Gericht begründet seine Entscheidung mit dem Argument, dass sich die Beklagte für die vorgenommene Datenübermittlung auf keine taugliche Rechtsgrundlage berufen könne. Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) schied – zwischen den Parteien unstreitig – als Ermächtigungsgrundlage von vornherein aus, da eine solche im vorliegenden Fall nicht erteilt worden war. Zudem könne sich die Beklagte für die Datenübermittlung auch nicht auf ihre „berechtigten Interessen“ aus Art. 6 Abs. 1 lit. f DSGVO berufen, da die hierbei vorzunehmende Abwägung der Interessen der Klägerin die der Beklagten überwiegen würden. Das gelte unabhängig von der Frage, ob der Beklagten in diesem Fall das sog. „kleine Konzernprivileg“ zugutekomme, da auch diesbezüglich eine Interessensabwägung vorzunehmen sei. Inhaltlich scheitere die konkrete Datenübermittlung bereits an deren Erforderlichkeit. So sieht Erwägungsgrund 39 S. 9 der DSGVO vor, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht zumutbar durch andere Mittel erreicht werden kann. Im zu entscheidenden Fall, so das Gericht, wäre der Aufbau einer Vergleichsdatenbank zu Gehältern neuer Mitarbeiter aber auch dadurch umzusetzen gewesen, dass man eine neue Datenbank ohne „Altdaten“ der bereits bestehenden Arbeitsverträge aufbaut oder  mit Arbeitnehmerdaten, die vor ihrer Übermittlung pseudonymisiert oder anonymisiert wurden. Erschwerend kam bei der Abwägung hinzu, dass die Klägerin der Datenübermittlung im Nachhinein (aber vor dem gerichtlichen Verfahren) ausdrücklich widersprochen hatte, sodass eine Löschung der Daten bei der Beklagten jedenfalls zu diesem Zeitpunkt hätte stattfinden müssen.

Auswirkungen auf die Praxis

Die Folgen des Urteils für die unternehmensinterne Datenübermittlung sind durchaus von großer Relevanz. So zeigt sich, dass der unbedarfte interne Austausch von Mitarbeiterdaten zwischen mehreren Konzerngesellschaften keineswegs als „daily business“ eingestuft werden sollte, sondern jederzeit einer inhaltlichen Einzelfallprüfung unter Beachtung des verfolgten Zwecks bedarf. Das erfordert mitunter eine genauen Abwägung der Interessen des Arbeitnehmers und seinem Recht auf informationelle Selbstbestimmung sowie den geschäftlichen Informationsinteressen des Arbeitgebers. Verkürzt wäre dabei die Annahme Arbeitnehmerdaten vor ihrer Übermittlung lediglich zu pseudonymisieren, da pseudonymisierte Daten zum einen weiterhin dem Anwendungsbereich der DSGVO unterliegen und zum anderen dem streitgegenständlichen Sachverhalt zugrunde lag, dass die Klägerin gegenüber der Beklagten ausdrücklich kundgab, dass sie mit einer Pseudonymisierung der zur Erstellung der Vergleichsdatenbank nötigen Daten einverstanden sei. Ob eine Pseudonymisierung also auch ohne vorherige Absprache mit dem Arbeitnehmer ausreicht, kann bezweifelt werden. Um auf „Nummer sicher zu gehen“ sollten Arbeitgeber daher personenbezogene Daten ihrer Mitarbeiter vor der konzerninternen Datenübermittlung anonymisieren. Dies gilt insbesondere für Fälle wie der streitgegenständlichen Erstellung einer statistischen Datenbank für Gehaltsvergleichswerte in denen der Zweck der Datenverarbeitung auch durch Daten ohne direkten Personenbezug erreicht werden kann.

Weiteren rechtlichen Bedenken begegnet die Durchführung der konzerninternen Mitarbeiterdatenübermittlung auf Basis einer beim Arbeitnehmer zuvor eingeholten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Der Verordnungsgeber beurteilt die Rechtmäßigkeit einer solchen Einwilligung als taugliche Rechtsgrundlage für eine Datenverarbeitung u.a. nach ihrer Freiwilligkeit. Dem zugrunde liegt die Vorstellung, dass sich die an der Datenverarbeitung beteiligten Akteure, der Betroffene und der Datenverarbeiter, in einem strukturellen Gleichgewicht gegenüberstehen und frei von äußeren oder inneren Zwängen entscheiden können, ob sie eine Einwilligung erteilen möchten oder nicht, ohne dabei negative Folgen befürchten zu müssen. Demgegenüber ist ein Arbeitsverhältnis naturgemäß von einer Machtasymmetrie zwischen dem Arbeitgeber als weisungsberechtigter Partei und dem Arbeitnehmer als weisungsgebundener Partei geprägt. Das hat zur Folge, dass die Einwilligung für die Datenverarbeitung im Arbeitsverhältnis in aller Regel keine taugliche Rechtsgrundlage darstellen wird.

Datenschutzrechtlich legitim wäre es hingegen, Arbeitnehmerdaten an Dritte zu übermitteln, wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO). Auf diesen Grundsatz wird z. B. die Veröffentlichung von Mitarbeiternamen auf einer Website oder die Weitergabe von Visitenkarten bei Arbeitnehmern „mit Außenwirkung“ gestützt. Weiter erforderlich ist beispielsweise die Entgegennahme von Bewerberdaten, deren interne Übermittlung an die zuständige Stelle sowie die vorübergehende Speicherung dieser Daten zum Zwecke der Entscheidungsfindung. Im Unterschied dazu ist eine Datenbank mit Mitarbeitergehältern bei einer anderen (Konzern-) Gesellschaft zur Verbesserung des Einstellungsprozesses künftiger Mitarbeiter nicht erforderlich für die Durchführung des Arbeitsverhältnisses mit einem bestimmten (bestehenden) Arbeitnehmer. Das Anlegen einer Gehaltsdatenbank für neue Mitarbeiter wirkt sich weder unmittelbar auf das bereits bestehende Arbeitsverhältnis des von der Datenübermittlung betroffenen Mitarbeiters aus, noch ist es für die zukünftige Durchführung des Arbeitsverhältnisses relevant. Demnach drängt sich auf, dass eine konzerninterne Datenübermittlung von nicht für das Arbeitsverhältnis zwingend erforderlichen Daten nicht auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann.

Abseits der Frage nach einer tauglichen Rechtsgrundlage für die konzerninterne Datenübermittlung verdient die Höhe des zugesprochenen (immateriellen) Schadensersatzanspruchs einer Erwähnung. So ist diese mit 8.000 € für eine Datenübermittlung bezüglich eines einzelnen Arbeitnehmers, bei der keine sensiblen Daten betroffen waren, durchaus als hoch einzuordnen. Insoweit bestätigt das Landgericht Bochum den allgemeinen Trend, wonach die Gerichte die Schadensersatzverlangen von Betroffenen nicht mit wenigen hundert Euro „abspeisen“, sondern mitunter auch Beträge im oberen vierstelligen Bereich zusprechen.

Ausblick

Dass Arbeitgeber innerhalb einer Konzernstruktur Arbeitnehmerdaten verarbeiten und in einem gewissen Umfang auch verarbeiten müssen, steht außer Frage. Jedoch hat das Landgericht Bochum in seiner Entscheidung eindrücklich aufgezeigt, dass die konzerninterne Datenübermittlung keineswegs einen jederzeit unbedenklichen Geschäftsvorgang darstellt, sondern an alle an der Übermittlung beteiligten Konzerngesellschaften rechtliche Anforderungen stellt. Ignoriert ein mit dem Arbeitgeber verbundenes Unternehmen diese Vorgaben, sieht es sich nicht nur einer Pflicht zur Löschung der Daten ausgesetzt, sondern macht sich darüber hinaus auch schadensersatzpflichtig.

Insoweit ist es anzuraten, innerhalb mehrerer Konzerngesellschaften von Anfang an festzulegen und zu prüfen, welche Arbeitnehmerdaten konzernintern zwingend übermittelt werden müssen und dies – wenn nötig – ohne Personenbezug zu tun.