Datenschutz: Vorsicht bei Datenübermittlung innerhalb des Konzerns
Der Beschäftigtendatenschutz gewinnt in der arbeitsrechtlichen Praxis immer mehr an Bedeutung. Sachverhalte, die früher selbstverständlich waren, stellen sich im Lichte des Datenschutzes oft als kritisch dar. So auch die Datenbündelung im Konzern, um die sich die äußerst praxisrelevante Entscheidung des Landesarbeitsgerichts (LAG) Hamm dreht. Danach kann die konzernweite Datenübermittlung für Unternehmen teuer werden. Dies jedenfalls dann, wenn die betreffende Datenübermittlung zur Erreichung des beabsichtigten Ziels (z. B. homogene Gehaltsstruktur im außertariflichen Bereich) nicht erforderlich war.
Landesarbeitsgericht Hamm, Urteil vom 14.12.2021 – 17 Sa 1185/20
Worum geht es?
Es geht um die Frage, ob bzw. in welcher Form die Datenverarbeitung im Konzern zulässig ist. Hierbei spielen die allgemeinen datenschutzrechtlichen Grundsätze des Art. 5 der Datenschutz-Grundverordnung (DSGVO) eine herausragende Rolle. Diese Regelung ist als Verbot mit Erlaubnisvorbehalt ausgestaltet. Zudem ist wichtig zu wissen, dass es im Datenschutz kein Konzernprivileg gibt. Selbst eine Weitergabe von Daten innerhalb eines Konzerns muss sich an den strengen datenschutzrechtlichen Regelungen messen lassen.
Der Sachverhalt
Die Parteien streiten über Schadensersatz- sowie Unterlassungsansprüche. Die Klägerin wandte sich gegen eine Datenverarbeitung, die das Unternehmen vorgenommen hatte. Im Arbeitsvertrag war u.a. geregelt, dass personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses genutzt werden. Bei dem Arbeitgeber handelte es sich um ein Krankenhaus. Das Krankenhaus war gesellschaftsrechtlich als GmbH organisiert und in eine Konzernstruktur eingebunden. Es bestand ein Managementvertrag zwischen den einzelnen Krankenhaus-Gesellschaften und einer Obergesellschaft, damit diese auf die einzelnen Krankenhausgesellschaften Einfluss nehmen konnte. Die Konzernobergesellschaft ordnete an, dass zur Vereinheitlichung der Gehaltsstrukturen im übertariflichen Bereich die jeweiligen Krankenhausgesellschaften Beschäftigtendaten an die Konzerngesellschaft übermittelt sollten. Es handelte sich u.a. um den Namen, Vorname, Anschrift und Gehaltshöhe, die Höhe des jährlichen Bonus und Kopien des Arbeitsvertrages. Eine Einwilligung für die Datenübermittlung lag nicht vor. Kurz vor der Datenweitergabe teilte der Arbeitgeber mit, dass diese Daten an die Obergesellschaft weitergeleitet werden. Gegen diese Datenverarbeitung ging die Klägerin vor und begehrte Schadensersatz sowie Unterlassung.
Die Entscheidung
Das LAG gab der Klägerin recht und entschied, dass die Datenverarbeitung nicht rechtmäßig war, da keine Erlaubnisgrundlage für die Datenverarbeitung vorlag. Zunächst wurde festgestellt, dass keine Einwilligung vorlag und auch § 26 Abs. 1 BDSG als Erlaubnisgrundlage ausscheidet, da die Obergesellschaft weder zentral eine Personalabteilung betreibt noch sonst ein Konzernbezug zur Durchführung des Arbeitsverhältnisses ersichtlich war. Insbesondere konnte die Beklagte die Datenverarbeitung nicht auf Art. 6 Abs. 1 lit. f DSGVO stützen, da die Voraussetzungen nicht vorlagen. Denn zur Ermittlung eines Gehaltsgefüges mit dem Ziel, Schaffung von homogenen Arbeitsbedingungen und Anpassung der Gehälter ist lediglich die Verarbeitung von Gehaltsdaten, der Funktion des Beschäftigten und seiner Organisationseinheit erforderlich. Eine Verarbeitung von personenbezogenen Daten, wie zum Beispiel Name, Vorname, Geburtsdatum, Privatadresse und Vorlage des gesamten Arbeitsvertrages ist für eine Vergleichsgruppenbildung nicht erforderlich.
Im Rahmen der Gesamtabwägung hat das LAG Hamm auch die Erwägungsgründe zur DSGVO berücksichtigt, die die Erforderlichkeit näher konkretisieren. Bedeutung hat vor allem der Erwägungsgrund 47 Satz 1 zur DSGVO, der die vernünftigen Erwartungen des Betroffenen nennt. Danach ist zu berücksichtigen, ob der Betroffene damit rechnen musste, dass seine Daten für den konkreten Zweck (Vereinheitlichung der Gehaltsstrukturen im Konzern) verwendet werden. Es kommt auf den Zeitpunkt der ursprünglichen Datenerhebung an. Maßgebend ist ein objektivierter Maßstab, d.h. welche Erwartungen ein vernünftiger Dritter in der Person des Betroffenen hätte. Damit ist zu fragen: Konnte der Betroffene mit dem Verarbeitungszweck (Vereinheitlichung der Gehaltsstrukturen im Konzern) bei Abschluss seines Arbeitsvertrages rechnen oder nicht. Die Interessenabwägung fiel in dem entschiedenen Fall zu Gunsten des Betroffenen und zu Lasten des Arbeitgebers aus. Denn die Datenübermittlung war in der konkreten Ausgestaltung nicht erforderlich. Die Gehaltsdaten des Betroffenen hätten in pseudonymisierter Form übermittelt werden können. Auch damit wäre der Zweck – Vereinheitlichung der Gehaltsstrukturen im Konzern – erreicht wurden. Zur Erreichung dieses Zwecks war lediglich die Übermittlung der Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), die Funktion des Beschäftigten und seiner Organisationseinheit erforderlich. Alle weiteren Daten (wie Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, Arbeitsvertrag) sind für die Vergleichsdatenbildung nicht nötig gewesen.
Zudem stellte das LAG fest, dass die personenbezogenen Daten nach den Vereinbarungen des Arbeitsvertrags ausschließlich für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen und gerade nicht für konzernbezogene Verwaltungszwecke. Die Verarbeitung zur Erstellung einer konzernweiten Vergleichsdatenbank über die Gehälter stellt eine Zweckänderung dar, die gemäß Art. 13 Abs. 3 DSGVO eine Hinweispflicht des Arbeitgebers auslöst. Ein solcher Hinweis erfolgte nicht.
Das LAG bestätigte damit letztlich den Schadensersatzanspruch in Höhe von EUR 2.000 sowie den Unterlassungsanspruch der Klägerin.
Was heißt das?
Die Ausführungen des LAG Hamm zeigen, welchen Stellenwert die allgemeinen datenschutzrechtlichen Grundsätze für die Praxis und die damit verbundene Anwendung haben. Daher sollten diese Grundsätze stets im Rahmen der Abwägung geprüft werden. Anknüpfend an das Urteil des LAG Hamm können Unternehmen folgende drei Prüfungsschritte vornehmen:
Prüfungsschritt 1 – Berechtigtes Interesse
In einem ersten Schritt ist zu prüfen, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, an den die Daten übermittelt werden sollen, vorliegt. Es kann sich um ein rechtliches oder tatsächliches, wirtschaftliches oder ideelles Interesse handeln. Dieser Prüfungsschritt ist insbesondere bei der Datenübermittlung innerhalb eines Konzerns wichtig, da gemäß Erwägungsgrund 48 Satz 1 zur DSGVO das berechtigte Interesse auch ein Datenaustausch im Rahmen einer konzerninternen Übermittlung für interne Verwaltungszwecke sein kann.
Prüfungsschritt 2 – Erforderlichkeit
In einem zweiten Schritt ist zu prüfen, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen auch erforderlich ist. Das bedeutet, die Datenverarbeitung ist auf das absolut Notwendige zu beschränken. Es ist zu prüfen, ob das Ziel nicht mit anderen Mitteln, die weniger stark in die Grundrechte und Grundfreiheiten des Betroffenen eingreifen, erreicht werden kann. Danach ist die Datenverarbeitung erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.
Prüfungsschritt 3 – Interessenabwägung
Als dritter Schritt ist konkret zu prüfen, ob die Interessen, Grundrechte oder Grundfreiheiten des Betroffenen, die den Schutz personenbezogener Daten erfordern, die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen. Hier ist eine Gesamtabwägung der Erforderlichkeit der Datenverarbeitung vorzunehmen. Das LAG stellte für diese Gesamtabwägung auf den Maßstab der Art. 1 und Art. 5 DSGVO, die dort genannten Grundsätze und Leitprinzipien sowie die Berücksichtigung der Grundrechte-Charta, ab. Hierbei sind die Grundrechtsbezüge, die Eingriffsintensität, die Art der verarbeiteten Daten, die Art der Betroffenen, mögliche Aufgaben oder Pflichten und die Zwecke der Datenverarbeitung zu berücksichtigen. Auf diese Weise ist der Ausgleich zwischen den Betroffenenrechten und den Verwendungsinteressen vorzunehmen.
Handlungsempfehlung Die Grundsätze der DSGVO bieten sehr gute Anhaltspunkte. Insbesondere die Transparenz, die Zweckbindung sowie der Grundsatz der Datenminimierung hätten im vorliegenden Fall ausgereicht, um eine ordnungsgemäße Interessenabwägung vorzunehmen. Hieran anknüpfend sind in der Praxis bereits sehr einfache Kontrollfragen zielführend (z.B.: Ist für den Betroffenen nachvollziehbar, dass und warum seine Daten verwendet werden, oder ist die geplante Datenverarbeitung noch von einem vorher definierten Zweck gedeckt oder kann auf bestimmte Daten für die Zieleichung verzichtet werden?). Sofern ein Unternehmen eine dieser Fragen verneinen muss, sollte eine vertiefte datenschutzrechtliche Prüfung angestellt und mögliche Konsequenzen abgeleitet werden (z. B.: eine festgestellte Zweckänderung führt zu einer Informationspflicht). Die Durchführung der Kontrollfragen ist zwingend vor der Datenverarbeitung durchzuführen. Unternehmen sollten die Durchführung der Kontrollfragen dokumentieren. Außerdem ist zu empfehlen, keine datenschutzrechtlichen Regelungen in den Arbeitsverträgen aufnehmen, um die Verwendungszwecke nicht unnötig einzuschränken. |