Beratung - Weiterbildung - Information für Interessenvertretungen

Datenschutz bei der Datenverarbeitung außer Haus

Nahezu jedes größere Unternehmen verarbeitet Be­schäf­tigtendaten „außer Haus“. Hierdurch wird die Datenverarbeitung für Beschäftigte und Betriebsräte häufig intransparent, und für die Interessenvertretung stellt sich die Frage, wie der Datenschutz eingehalten werden kann.

Nach den Regelungen des Bundesdatenschutzgesetzes  (BDSG) muss der Datenschutz auf der Ebene von Unternehmen gewährleistet werden. Werden personenbezogene Daten, insbesondere Beschäftigtendaten, zum Beispiel an Konzernmütter oder Konzern-Rechenzentren übermittelt, so muss der Arbeitgeber gewährleisten, dass die Bestimmungen des BDSG eingehalten werden. Dies erfolgt grob gesagt in zwei Schritten.

Schritt 1: Bei jeglicher Verarbeitung von Beschäftigtendaten muss der Arbeitgeber die Zulässigkeit (vergl. § 4 BDSG) prüfen. Danach ist Speicherung oder Verarbeitung von Daten unter anderem zulässig, wenn 

  • es ein konkretes Gesetz gibt, das die Datenverarbeitung erlaubt (z. B. Arbeitszeitgesetz, Mutterschutz usw.),
  • die Datenverarbeitung im engen Sinne des Beschäftigungsverhältnisses erfolgt (vgl. § 32 BDSG),
  • es im Interesse des Arbeitgebers ist und Interessen der Beschäftigten nicht beeinträchtigt werden oder
  • der Beschäftigte im Einzelfall in die Verarbeitung schriftlich eingewilligt hat.


Zudem muss jeweils die Zweckbestimmung der Daten­ver­ar­bei­tung konkret festgelegt werden.

Diese Anforderungen sind bei einer Datenübermittlung in Konzernen oder Unternehmensverbänden häufig gar nicht so einfach zu erfüllen. So hat der Beschäftigte einen Arbeitsvertrag mit nur einem Unternehmen innerhalb des Konzernganzen, und so ist eine Datenübermittlung über die Unternehmensgrenzen hinaus mit § 32 BDSG zumeist nicht zu begründen. Insbesondere die Übermittlung sensibler Daten, wie Fehlzeiten, Qualifikationen oder Verhaltensdaten, ist aus Sicht der Beschäftigten in aller Regel nicht wünschenswert und nicht erforderlich. Aus diesem Grunde fordern Konzerne seit langen ein Konzernprivileg, das den konzernweiten Datenfluss juristisch ermöglicht.

Schritt 2: Häufig sitzt die Konzernmutter im Ausland, z. B. in den USA, aber auch in Großbritannien, Indien oder Südafrika. Selbst wenn die Zulässigkeit der Datenübermittlung im Schritt 1 legitimiert ist, müssen hier weitere länderspezifische Bedingungen erfüllt werden. Es ist hier grob zu unterscheiden zwischen Staaten mit einem angemessenen Datenschutzniveau – wie alle Staaten der EU und des Europäischen Wirtschaftsraumes (EWR) – und sonstigen Staaten ohne angemessenen Datenschutz, wie beispielsweise den USA oder Indien. Für die USA gilt die Spezial­regelung „Safe Harbor“. Nach dem aktuellen Urteil des EuGH vom 6. Oktober 2015 wird von den Sachverständigen angenommen, dass die Safe Harbor-Regelung keine Grundlage mehr für Daten­über­mittlungen in die USA ist.

Es sei noch darauf hingewiesen, dass sich die genannten Re­ge­lungen nicht auf die Datenverarbeitung und -übermittlung besonders sensibler Daten, wie Gesundheitsdaten oder Gewerk­schafts­zu­gehörig­keit, anwenden lassen. Hier gelten nach § 28 Abs. 6 - 7 BDSG weitere einschränkende Bestimmungen. Neben den Anfor­derungen des Bundesdatenschutzgesetzes ist natürlich für den Betriebsrat, häufig den Konzernbetriebsrat, die Frage seiner zu­ständigen Beteiligungsrechte entscheidend. Werden Ver­haltens- oder Leistungsdaten von Beschäf­tigten verarbeitet, so hat der Be­triebsrat nach § 87 Abs. 1 Ziff. 6 BetrVG mitzubestimmen. Werden weitere Beschäftigtendaten verarbeitet oder in Kon­zer­nen übermittelt, so hat der Betriebsrat ein Über­wa­chungs­recht nach § 80 Abs. 1 BetrVG. Er kann sich bei Fragen und Konflikten an die Aufsichtsbehörde, in NRW den Lan­des­daten­schutz­beauf­tragten, wenden.

Diese kurzen Hinweise zeigen, dass dem Betriebsrat auch bei der Übermittlung von Beschäftigtendaten innerhalb von Konzernen oder Unternehmensgruppen über die Ländergrenzen hinweg Hand­lungs­optionen offenstehen.

Sie wünschen mehr Informationen zum Thema? Melden sie sich einfach in der nächsten TBS-Regionalstelle oder nutzen sie unser Kontaktformular.

 

Ansprechpartner/in


Zum Profil

Seminare

Update Datenschutzrecht
21.02.2017

Datenverarbeitung "außer Haus"
21. - 22.06.2017

Broschüre

Beschäftigtendaten außer Haus