Erfahrungsgemäß sind Konzernmütter häufig der Auffassung, alles wissen zu müssen und wissen zu dürfen. Bei ausländischen Konzernmüttern, insbesondere aus dem anglo-amerikanischen Raum, sind diese Bestrebungen meist sogar noch deutlicher ausgeprägt. Was aber tun, schließlich handelt es sich um die eigene „Mutter“ und die hat einen, wie Mütter halt so sind, häufig in der Hand. Aber wie im richtigen Leben auch, so schadet etwas Abnabelung vom Elternhaus auch aus datenschutzrechtlicher Sicht nicht und ist für die eigene Entwicklung sogar notwendig.
Der Inhalt im Überblick
- Treffen folgende Fragen auf Sie zu?
- Wenn Sie den überwiegenden Teil der Fragen mit „Ja“ beantwortet haben, dann dürften folgende Informationen interessant für Sie sein.
- Einwilligung:
- Betriebsvereinbarung:
- Auftragsdatenverarbeitung:
- Rechtsfolgen für das eigene Unternehmen und die Geschäftsführung:
- Rechtsfolgen für die Konzernmutter und die Geschäftsführung:
- Fazit:
Treffen folgende Fragen auf Sie zu?
- Arbeiten Sie in einem Unternehmen mit Konzernstrukturen?
- Wird die Personalabteilung zentral von der Konzernmutter gestellt?
- Erfolgt die Lohnbuchhaltung ebenfalls durch die Konzernmutter?
- Werden Daten über Mitarbeiterentwicklungen von der Konzernmutter gespeichert?
- Haben Sie sich schon immer gefragt, ob Datenweitergaben zwischen den verschiedenen Konzernfirmen zulässig sind?
- Sind Sie zufällig Betriebsrat oder wollten Sie Ihren Arbeitgeber schon immer einfach mal per se etwas ärgern und Ihr Arbeitgeber verfügt auch über den notwendigen Humor?
- Vielleicht sind Sie aber auch Geschäftsführer und Ihre Firma wurde von der Konzernmutter ärgerlicherweise soeben feindlich übernommen?
Wenn Sie den überwiegenden Teil der Fragen mit „Ja“ beantwortet haben, dann dürften folgende Informationen interessant für Sie sein.
Denn lagert das eigene Unternehmen die Verarbeitung personenbezogener Daten (z.B. Personalabteilung oder Lohnbuchhaltung) aus, so ist dies nur unter gewissen Voraussetzungen zulässig. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (§4 I BDSG)
Einwilligung:
Möglich ist die Einwilligung des betroffenen Arbeitnehmers, diese muss jedoch freiwillig sein, was im Arbeitsverhältnis aufgrund der unterschiedlichen Machtverhältnisse bereits schwierig ist. Zudem kann eine einmal erteilte Einwilligung auch jederzeit Widerrufen werden. Das Einholen einer Mitarbeitereinwilligung stellt daher beim Outsourcing personenbezogener Datenverarbeitung meist kein praktikables Mittel dar.
Betriebsvereinbarung:
Eine weitere Möglichkeit, den Umgang mit Daten zu erlauben, liegt im Abschluss einer Betriebsvereinbarung zwischen Arbeitgeber und Betriebsrat, denn eine Betriebsvereinbarung stellt eine Rechtsvorschrift im Sinne des BDSG dar. Der Nachteil einer Betriebsvereinbarung ist aus Sicht des Arbeitgebers allerdings, dass er insoweit auf den Betriebsrat angewiesen ist. Kommt eine Einigung nicht zustande, so entscheidet die Einigungsstelle. Der Spruch der Einigungsstelle ersetzt die Einigung zwischen Arbeitgeber und Betriebsrat (§87 II BetrVG). Dieses Verfahren kostet allerdings Zeit und keiner weiß von vornherein, was genau am Ende dabei herauskommt.
Auftragsdatenverarbeitung:
Die Tatsache, dass Firmen Outsourcing betreiben und hiervon auch die Bearbeitung personenbezogener Daten betroffen sein kann, war dem Gesetzgeber sogar durchaus bewusst (was nicht unbedingt immer selbstverständlich ist). Daher hat der Gesetzgeber einst den §11 BDSG geschaffen. Lässt also das Unternehmen durch die Konzernmutter Daten im Auftrag verarbeiten, so muss das Unternehmen sicherstellen, dass es „Herr seiner Daten“ bleibt und einen Vertrag zur Auftragsdatenverarbeitung abschließen. §11 BDSG macht insoweit konkrete Vorgaben dazu, was alles in dem Vertrag geregelt sein muss.
Rechtsfolgen für das eigene Unternehmen und die Geschäftsführung:
Wird der Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder hat das eigene Unternehmen sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der bei der Konzernmutter getroffenen technischen und organisatorischen Maßnahmen überzeugt, so droht ein Bußgeld in Höhe von bis zu 50.000 EUR (§43 I Nr. 2b, III BDSG). Sind zudem Bank- oder Kreditkartenkonten Dritten unrechtmäßig zur Kenntnis gelangt sind, ist dies im Wege einer sog. Security-Breach-Notification unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen (§42a BDSG). Liegt keine wirksame Auftragsdatenverarbeitung vor, so ist die Konzernmutter Dritte im Sinne des BDSG. Das Unterlassen einer gebotenen Mitteilung kann sogar mit einem Bußgeld von bis zu 300.000,- EUR geahndet werden (§43 II Nr. 7, III BDSG). Die Geschäftsleitung kann solche Aufgaben natürlich delegieren (möglichst natürlich an den Datenschutzbeauftragten), sie trifft im Zusammenhang mit der Aufgabendelegation jedoch eine Aufsichtspflicht (§130 I OWiG). Wird eine Zuwiderhandlung begangen, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre und ist die Pflichtverletzung mit Strafe bedroht, so droht sogar die Verhängung einer Geldbuße in gleicher Höhe (§130 III OWiG) gegenüber der Geschäftsführung persönlich.
Sollten Sie also ein ganz spezielles Verhältnis zu Ihrem Chef pflegen, dies ist selbstverständlich richtungsunabhängig gemeint, so kann es ja nicht schaden, der Einfachheit halber mal nachzufragen aufgrund welcher vermeintlichen Grundlage denn so Daten an die Konzernmutter weitergegeben werden.
Rechtsfolgen für die Konzernmutter und die Geschäftsführung:
Aber auch für die Konzernmutter ist die unbefugte Verarbeitung personenbezogener Daten nicht ganz so trivial. Und nach all dem Ärger dürfte auch wieder der bereits oben angesprochene Geschäftsführer, dessen Firma von der Konzernmutter ärgerlicherweise soeben feindlich übernommen wurde, wieder hellhörig werden. Denn wer unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, der verwirkt ebenfalls ein Bußgeld in Höhe von bis zu 300.000 EUR (§43 II Nr. 1, III BDSG). Für die Geschäftsführung gilt auch hier das zuvor Gesagte.
Fazit:
Datenschutz kann aus verschiedenen Gesichtspunkten spannend sein, fragen Sie einfach jemanden der sich damit auskennt, soweit vorhanden natürlich Ihren Datenschutzbeauftragten. Nebenbei bemerkt, wer entgegen der gesetzlichen Pflicht (§4f BDSG) einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, geht ebenfalls das Risiko einer Bußgeldverhängung von bis zu 50.000,- EUR ein (§43 I Nr. 2, III BDSG). Zu den bereits genannten erforderlichen Aufsichtsmaßnahmen der Geschäfstführung gehören übrigens auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen wie z.B. dem Datenschutzbeauftragten (§130 I 2 OWiG).
Hat Ihr Unternehmen eigentlich einen Datenschutzbeauftragten? Und wie ist Ihr Verhältnis zum Chef?
Fragen über Fragen….