Das Thema

In der Praxis verwendet die Wirtschaft häufig Matrix-Strukturen als Organisationsmodell, um die personelle Zusammenarbeit in Unternehmensgruppen und Konzernen kohärent und effizient zu gestalten. Um diese Strukturen in effektiver Weise zu nutzen, ist in aller Regel der Austausch von personenbezogenen Daten zwischen einzelnen Gesellschaften des Konzerns erforderlich. Hieraus ergibt sich oftmals das Erfordernis, die Anforderungen des Beschäftigtendatenschutzes konzernweit umzusetzen.

Dieser Beitrag zeigt typische datenschutzrechtlichen Fragestellungen bei Matrix-Strukturen in Konzernen nach dem durch die Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 geltenden Datenschutzrecht und gibt Handlungsempfehlungen in Form einer Checkliste, wie man die Vorgaben des neuen Datenschutzrechts umsetzt.

Austausch von Mitarbeiterdaten innerhalb in Konzernen mit Matrixstrukturen und DSGVO

Grundsätzlich setzt der effektive Einsatz von Matrix-Strukturen innerhalb eines Konzerns den Austausch von personenbezogenen Daten voraus. Dies betrifft insbesondere die Übermittlung von Mitarbeiterdaten zwischen den verschiedenen Gesellschaften. Dieser Austausch muss in Einklang mit den geltenden datenschutzrechtlichen Vorschriften stehen. Andernfalls drohen Geldbußen, Schadensersatzforderungen oder andere wirtschaftliche Nachteile. Unter der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung („DSGVO“) können Datenschutzbehörden Geldbußen von bis zu 20 Millionen Euro pro Verstoß verhängen. Bei Unternehmen drohen sogar Geldbußen von bis zu vier Prozent des weltweiten Unternehmensumsatzes, je nachdem, welcher Betrag höher ist.

Voraussetzungen für den Austausch von Mitarbeiterdaten in Matrixstrukturen

In einer Matrix-Organisation können Mitarbeiter einen disziplinarischen Vorgesetzten im gleichen Unternehmen haben, während ein anderer Vorgesetzter für die Erteilung von Anweisungen bezüglich der Arbeitsaufgaben der Mitarbeiter zuständig ist (z.B. ein Abteilungsleiter). Letzterer kann etwa bei der Muttergesellschaft oder einer anderen Tochtergesellschaft, gar in einem anderen Land angestellt sein.

Da personenbezogene Daten von verschiedenen Unternehmen innerhalb der Matrix-Organisation verarbeitet werden, muss eine solche Organisationsstruktur rechtliche Schranken im Rahmen der geltenden Datenschutzgesetze überbrücken. So ist es beispielsweise auch notwendig, dass sowohl der interne Disziplinarvorgesetzte als auch der externe Abteilungsleiter Zugriff auf bestimmte personenbezogene Daten des Mitarbeiters haben. Ohne Zugriff auf diese Daten können sie ihre Führungsaufgaben dann nicht adäquat erfüllen.

Die Übermittlung personenbezogener Daten an den jeweiligen Abteilungsleiter bedarf daher einer gesonderten Rechtfertigung nach dem geltenden Datenschutzrecht. Denn die Weitergabe von Mitarbeiterdaten an ein anderes Unternehmen bedarf auch in Matrix- bzw. Konzernstrukturen einer datenschutzrechtlichen Rechtfertigung. Wenn das Unternehmen, für das der Abteilungsleiter oder sonstige Manager tätig ist, seinen Sitz in einem Land außerhalb der EU hat, muss dieses für eine etwaige grenzüberschreitende Datenübermittlung weitere Anforderungen erfüllen.

Unternehmen, die die geltenden Datenschutzbestimmungen nicht einhalten, können mit den bereits beschriebenen erheblichen Geldbußen belegt werden. Daneben drohen andere mögliche Nachteile, wie etwa Schadensersatzforderungen betroffener Mitarbeiter, Unterlassungsverfügungen oder auch mögliche Rufschäden.

Rechtfertigung der Übermittlung personenbezogener Daten nach geltendem Recht

Generell gilt der jeweilige Arbeitgeber als für die Verarbeitung der personenbezogenen Daten seiner Mitarbeiter datenschutzrechtlich Verantwortlicher. Die Übermittlung personenbezogener Daten zwischen Gesellschaften eines Konzerns bedarf grundsätzlich einer gesonderten Rechtfertigung. Es gibt zwar auch nach dem neuen Datenschutzrechts keine Befreiung oder Privilegierung für die Übermittlung personenbezogener Mitarbeiterdaten innerhalb eines Konzerns nach europäischem oder deutschem Datenschutzrecht. Die folgenden Erlaubnistatbestände kommen aber für die Übermittlung personenbezogener Daten innerhalb einer Matrixorganisation oder in Konzernstrukturen in Betracht:

Zwecke des Beschäftigungsverhältnisses

Die Übermittlung personenbezogener Daten kann gerechtfertigt sein, soweit sie für Einstellungsentscheidungen oder nach einer Einstellung zur Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich und verhältnismäßig ist, § 26 Abs. 1 BDSG-neu (neue Fassung des Bundesdatenschutzgesetzes – „BDSG-neu“).

Nach einer gängigen Auslegung des alten Bundesdatenschutzgesetzes in der bis zum 24. Mai 2018 geltenden Fassung ist dies nur der Fall, wenn das Arbeitsverhältnis einen Konzernbezug hat, der bereits bei Beschäftigungsbeginn im Arbeitsvertrag festgehalten wurde. Eine solche Beziehung zum Konzern könnte etwa dann hergestellt werden, wenn der Arbeitsvertrag vorsieht, dass der Mitarbeiter in einer anderen Konzerngesellschaft eingesetzt werden kann. In diesem Fall wird die Übermittlung personenbezogener Daten für den konzernweiten Einsatz als erforderlich erachtet.

Es gibt jedoch stichhaltige Argumente, dass sich Arbeitgeber in einer Matrixorganisation auch in anderen Fällen auf die Zwecke des Beschäftigungsverhältnisses berufen können, um die Weitergabe bestimmter personenbezogener Daten an andere Konzerngesellschaften zu rechtfertigen. Wenn beispielsweise der Vorgesetzte eines Mitarbeiters bei einer anderen Konzerngesellschaft beschäftigt ist, muss dieser Vorgesetzte Zugriff auf bestimmte personenbezogene Daten des von ihm betreuten Mitarbeiters haben, etwa für die Durchführung von Mitarbeitergesprächen. Diese Führungsaufgabe kann aus unserer Sicht einen zulässigen Zweck des Beschäftigungsverhältnisses darstellen. Wenn man hingegen Matrix- oder Konzerninteressen nicht zu den Zwecken des Beschäftigungsverhältnisses im Sinne von § 26 Abs. 1 BDSG-neu zählt, kommt dennoch eine Weitergabe dieser Informationen auf der Grundlage berechtigten Interessen im Sinne von Art. 6 Abs. 1 lit. f) DSGVO in Betracht, siehe nachstehend.

Berechtigte Interessen

Unternehmen können sich gegebenenfalls auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO) berufen, um die Übermittlung personenbezogener Mitarbeiterdaten in einem Konzern zu rechtfertigen, soweit die Übermittlung nicht bereits für Zwecke des Beschäftigungsverhältnisses erforderlich ist. So können etwa interne Berichtszwecke des Konzerns ein berechtigtes Interesse an der Übermittlung personenbezogener Daten darstellen.

Auch ein Blick in die Erwägungsgründe zur DSGVO zeigt, dass Konzerninteressen durchaus berechtigte Interessen im Sinne der DSGVO darstellen und die Übermittlung personenbezogener Daten von Beschäftigten erlauben können. So sieht Erwägungsgrund 48 Folgendes vor: „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Jede auf berechtigten Interessen beruhende Datenübermittlung erfordert eine Abwägung der Interessen des Verantwortlichen und des betroffenen Beschäftigten im Einzelfall. Die Datenübermittlung in Matrix- bzw. Konzernstrukturen muss zudem stets fair, transparent, verhältnismäßig, zweckgebunden und auf das zur Verfolgung der berechtigten Interessen erforderliche Maß beschränkt sein. Eines der entscheidenden Kriterien für hier notwendige Interessenabwägung ist etwa die Transparenz der Datenverarbeitung. Entscheiden sich Unternehmen für den Austausch von Daten in der Matrix oder im Konzern, sind sie gut beraten, diese Datenübermittlungen möglichst transparent zu kommunizieren, etwa im Rahmen sogenannter Datenschutzinformationen, vgl. Art. 13, 14 DSGVO. In der Praxis entscheiden sich Konzerngesellschaften mit einer Matrix-Organisation zudem häufig für den Abschluss konzerninterner Datenübermittlungsvereinbarungen, die zusätzliche Sicherheitsvorkehrungen und gemeinsame Datenschutzstandards zum Schutz der personenbezogenen Daten der Mitarbeiter innerhalb der Matrix-Organisation vorsehen. Derartige Vereinbarungen können bei der Interessensabwägung zugunsten des Arbeitgebers berücksichtigt werden und erhöhen somit die Wahrscheinlichkeit, dass die Datenübermittlung als rechtsgültig angesehen wird.

Einwilligung

Die datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) ist in der Praxis selten eine taugliche Rechtsgrundlage für (gegebenenfalls sogar grenzüberschreitende) Datenübertragungen innerhalb einer Matrix-Organisation. Denn Einwilligungserklärungen müssen freiwillig abgegeben werden um gültig zu sein und können jederzeit von den Mitarbeitern widerrufen werden. Die Datenschutzaufsichtsbehörden sind der Ansicht, dass die Mitarbeiter in der Regel keine freie Wahl haben, ob sie der Verarbeitung ihrer personenbezogenen Daten durch ihren Arbeitgeber zustimmen, da zwischen den Parteien aufgrund des Arbeitsverhältnisses ein gewisses Ungleichgewicht herrscht. Aufgrund jener Einschränkungen sollten sich Arbeitgeber nur in Ausnahmesituationen auf die Einwilligung stützen. Grundsätzlich sollten Unternehmen Einwilligungen in einem solchen Kontext nur dann verwenden, wenn sie ernstlich bereit sind, die Frage, ob Daten übermittelt oder auf sonstige Weise verarbeitet werden, zur Disposition des betroffenen Mitarbeiters zu stellen.

Betriebsvereinbarung zur Datenübermittlung in Konzernen mit Matrixstrukturen

Auch Betriebsvereinbarungen können innerhalb von Matrix-Organisationen als Rechtsgrundlage für die Verarbeitung personenbezogener Mitarbeiterdaten dienen. Die Betriebsvereinbarung muss allerdings ein hohes Maß an Transparenz aufweisen und geeignete sowie konkrete Maßnahmen zum Schutz der personenbezogenen Daten der Mitarbeiter gemäß Art. 88 Abs. 1 und 2 DSGVO und § 26 Abs. 4 BDSG-neu vorsehen.

Typischerweise werden personenbezogene Mitarbeiterdaten in Human Capital Management („HCM“) Systemen wie z.B. SuccessFactors, Workday, PeopleSoft usw. gespeichert und verarbeitet. Konzerne haben ein Interesse daran, Matrix-Managern Zugriffsrechte auf bestimmte personenbezogene Daten der Mitarbeiter in ihrem Team zu gewähren, die im HCM-System gespeichert sind. Betriebsräte haben verbindliche Mitbestimmungsrechte bei der Einführung und Nutzung solcher HCM-Systeme (§ 87 Abs. 1 Nr. 6 BetrVG). Es ist daher empfehlenswert, die Betriebsvereinbarungen so zu gestalten, dass Matrix-Manager und andere ausgewählte Mitarbeiter sicher auf Mitarbeiterdaten im HCM-System zugreifen können, soweit dies zur Erfüllung ihrer Führungs- oder sonstigen Aufgaben innerhalb der Matrix-Organisation erforderlich ist. Solche adäquat ausgearbeiteten Betriebsvereinbarungen können den Arbeitgebern innerhalb einer Matrix-Organisation zusätzliche Rechtssicherheit bieten. (Anm. d. Redaktion: SAP ERP HCM und Co: Erfüllen Zugriffsrechte für den Betriebsrat auf HCM-Systeme die Informations- und Unterrichtungspflichten des Arbeitgebers nach dem BetrVG?).

Dabei ist jedoch zu beachten, dass derartige Betriebsvereinbarungen den (umfassenden, aber leider recht vage gehaltenen) Anforderungen von Art. 88 Abs. 2 DSGVO genügen müssen. Danach müssen die Betriebsparteien insbesondere angemessene und besondere Maßnahmen zum Datenschutz am Arbeitsplatz regeln. Dies gilt insbesondere für die Transparenz der Verarbeitung, für die die Übermittlung personenbezogener Daten innerhalb von Matrix- oder Konzernstrukturen sowie für die Überwachungssysteme am Arbeitsplatz. Häufig empfiehlt sich hier der Einsatz einer Kombination aus einer entsprechenden DSGVO-Rahmenvereinbarung und der Anpassung einzelner Betriebsvereinbarung.

Datenübermittlung an Drittstaaten

Datenübermittlungen innerhalb der Matrix-Organisation von Konzerngesellschaften in der EU in Drittländer außerhalb der EU können zusätzliche Maßnahmen erfordern, es sei denn, dieses Land verfügt über ein angemessenes Datenschutzniveau. Diese Datenübermittlung muss neben den allgemeinen Rechtsgrundlagen den zusätzlichen Anforderungen der Art. 44 ff. DSGVO entsprechen.

Dies ist beispielsweise bei Datenübermittlungen aus EU-Mitgliedstaaten in die USA der Fall. Wenn beispielsweise ein Matrix-Manager der US-Konzernmuttergesellschaft personenbezogene Daten erhält oder Zugriff auf personenbezogene Daten eines Mitarbeiters einer Tochtergesellschaft in der EU nimmt, müssen geeignete Schutzvorkehrungen getroffen werden.

Solche geeigneten Garantien könnten etwa eine Zertifizierung des Datenimporteurs nach dem EU-US Privacy Shield sein. Als in der Praxis deutlich weiter verbreitete Alternative können der Datenexporteur und der Datenimporteur auch sogenannte EU-Standardvertragsklauseln („SCC“s) abschließen. Eine weitere Möglichkeit ist die Selbstverpflichtung aller Konzerngesellschaften innerhalb der Matrix-Organisation zu sogenannten Binding Corporate Rules („BCR“), die teilweise als „Goldstandard“ für den konzerninternen Datentransfer angesehen werden. Hat ein Konzern bisher keine oder nur eingeschränkte Datenschutzstrukturen implementiert, kann der Abschluss eines konzerninternen Datentransfervertrages auf Basis von SCCs ein sinnvoller erster Schritt sein, um geeignete Garantien zu schaffen. SCCs können auch zeitnah umgesetzt werden, während die Implementierung von BCRs in der Regel mehr Zeit und Aufwand erfordert.

Gemeinsame Verantwortlichkeit

Unternehmen innerhalb einer Matrix-Organisation müssen auch beurteilen, inwieweit sie personenbezogene Daten als gemeinsam für die Verarbeitung Verantwortliche (i.S.v. Art. 26 DSGVO) verarbeiten. Unternehmen gelten als gemeinsam Verantwortliche, wenn sie gemeinsam die Zwecke und Mittel der Verarbeitung, z.B. personenbezogener Mitarbeiterdaten, festlegen. Nach Ansicht der Datenschutzaufsichtsbehörden kann dies der Fall sein, wenn Arbeitgeber innerhalb eines Konzerns gemeinsam Datenbanken, wie etwa ein gemeinsames Bewerberportal betreiben. In solchen Fällen müssen die gemeinsam Verantwortlichen eine Vereinbarung abschließen (Joint Controllership Agreement), in der ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO und des BDSG-neu festgelegt sind. Hierbei ist allerdings zu beachten, dass deutsche Datenschutzaufsichtsbehörden teilweise bereits Stellungnahmen veröffentlicht haben, dass eine gemeinsame Verarbeitung keine taugliche Rechtsgrundlage für den Datenaustausch im Konzern sein soll. Hierbleibt abzuwarten, wie sich die Behörden europaweit positionieren werden und wie die gerichtliche zu letztlich entscheiden. Sind Unternehmen in einer Matrixorganisation zum Abschluss eines Joint Controllership Agreements verpflichtet, ohne dass eine entsprechende Vereinbarung besteht, stellt dies jedenfalls einen mit Geldbuße bewehrten Verstoß gegen die DSGVO dar (Art. 83 Abs. 4 lit. a) DSGVO).

Transparenzerfordernisse

Die DSGVO stellt, wie bereits angesprochen, zudem auch gegenüber dem bisherigen Datenschutzrecht erhöhte Transparenzanforderungen an Arbeitgeber (Art. 12 ff. DSGVO). Für Unternehmen in einer Matrix-Organisation bedeutet dies insbesondere, dass der jeweilige Arbeitgeber als datenschutzrechtlicher Verantwortlicher seinen Mitarbeitern mitteilen muss, welche personenbezogenen Daten er zu welchen Zwecken an welche Empfänger aufgrund welcher Rechtsgrundlage innerhalb der Matrix-Organisation übermittelt. Diese Informationen müssen präzise und leicht verständlich sein. Sie müssen ferner umfassend und leicht zugänglich sein. Die Informationen können etwa in allgemeinen betrieblichen Datenschutzhinweisen für Mitarbeiter enthalten sein.

Fazit und Checkliste

Vor der Übermittlung personenbezogener Daten innerhalb der Matrix-Organisation an andere Konzerngesellschaften hat der Arbeitgeber sicherzustellen, dass jeder Datentransfer den gesetzlichen Anforderungen der DSGVO und des BDSG-neu entspricht. Datenübertragungen innerhalb von Matrixstrukturen sind nicht datenschutzrechtlich „privilegiert“. Solide Datenschutzstrukturen innerhalb eines Konzerns können den Datentransfer ermöglichen und das Risiko von Bußgeldern, Schadensersatzansprüchen und anderen Nachteilen verringern.

Anhang: Checkliste für den Austausch von Mitarbeiterdaten in Konzernen mit Matrixstrukturen

  • Lassen sich die einzelnen Datenübertragungsvorgänge innerhalb der Matrix-Organisation bzw. des Konzerns auf eine Rechtsgrundlage stützen Sind die Datenübertragungen etwa für Zwecke des Arbeitsverhältnisses oder zur Verfolgung anderer berechtigter Interessen erforderlich?
  • Existieren geeignete Garantien, wie z.B. SCCs, für die konzerninterne Datenübermittlung in Länder außerhalb der EU?
  • Sind die Mitarbeiter hinreichend umfassend und transparent über die Weitergabe ihrer personenbezogenen Daten an andere Konzerngesellschaften informiert?
  • Gelten Betriebsvereinbarungen, die den konzerninternen Datentransfer regeln? Wenn ja, entsprechen die Betriebsvereinbarungen den erhöhten Anforderungen der DSGVO und des BDSG-neu?
  • Bestehen konzerninterne Datenübermittlungsverträge, die verbindliche Standards für die Übermittlung personenbezogener Daten innerhalb der Matrix-Organisation vorsehen?
  • Sind die Unternehmen der Unternehmensgruppe als gemeinsam Verantwortliche mit Bezug auf bestimmte Datenverarbeitungsvorgänge tätig Wenn ja, ist ein entsprechendes Joint Controllership Agreement abgeschlossen?

 

RA Dr. Wolf-Tassilo Böhm
Senior Associate bei Hogan Lovells International LLP (Büro Frankfurt)

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

FAArb, RA Tim Wybitul
Partner bei Hogan Lovells International LLP (Büro Frankfurt)

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

 

Ähnliche Beiträge: