Datenschutz bei internationalem Mitarbeitereinsatz
Veröffentlicht am 1st Apr 2015
Die Zunahme des internationalen Güter- und Dienstleistungsverkehrs, das Expandieren bundesdeutscher Unternehmen in ausländischen Märkten sowie die Exporttätigkeit, auch mit direktem Engagement im Ausland, sei es durch Gründung eigener Niederlassung, durch Gründung von Tochtergesellschaften oder die internationale Zusammenarbeit im Rahmen eines Joint Ventures ziehen den internationalen Einsatz von Mitarbeitern inner- und außerhalb von Unternehmensgruppen nach sich. Im Rahmen dieses internationalen Mitarbeitereinsatzes werden nicht nur die Mitarbeiter selbst, sondern häufig auch ihre Personaldaten ins Ausland zu verbundenen oder Partnerunternehmern „entsandt“. Der Datenfluss erfolgt (leider) meist automatisch und ohne weitere rechtliche Prüfung.
1. Personaldatentransfer im internationalen Konzern
Das Bundesdatenschutzgesetz (BDSG) regelt die Übermittlung personenbezogener Daten. Danach ist jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat (Verbot mit Erlaubnisvorbehalt).
Dies gilt auch für die Übermittlung personenbezogener Arbeitnehmerdaten im Konzern. Ein sogenanntes Konzernprivileg, d.h. eine Erleichterung der Übermittlung innerhalb von Konzernen, kennt das BDSG nicht. Auch die Übermittlung personenbezogener Arbeitnehmerdaten im Konzern bedarf daher einer Erlaubnis.
Bei der Entsendung von Arbeitnehmern hat die Auslandsgesellschaft ein Interesse an der Übermittlung von Personaldaten des entsendeten Mitarbeiters, wie beispielsweise Name, Anschrift, Fähigkeiten. Diese Daten gelten als personenbezogene Daten im Sinne des BDSG. Wie die Mitarbeiterdaten übermittelt werden, ist unerheblich. Die Vorschriften des BDSG müssen also bei einer mündlichen Weitergabe ebenso eingehalten werden, wie bei einer schriftlichen Übermittlung. Kurz gesagt: Die Übermittlung bedarf einer Erlaubnis (vgl. im Einzelnen unter Ziffer 2).
Bei der Übermittlung von Personaldaten ins Ausland muss die übermittelnde Stelle (also der Arbeitgeber in Deutschland) zudem sicherstellen, dass ein angemessenes Datenschutzniveau beim Empfänger der Daten gewährleistet ist. Innerhalb der Europäischen Union, sowie den Staaten Norwegen, Island und Liechtenstein sichert die Umsetzung der EU-Datenschutzrichtlinie das Schutzniveau. Ob ein ausreichendes Schutzniveau in anderen Drittstaaten gewährleistet ist, stellt die EU-Kommission verbindlich fest. Bislang stuft die EU-Kommission unter anderem die USA nicht als Staat mit ausreichendem Schutzniveau ein.
Eine Übermittlung in Staaten ohne ausreichendes Schutzniveau kann nur erfolgen, wenn der Betroffene einwilligt, die Übermittlung der Daten für die Vertragserfüllung erforderlich ist (§ 4c Nr. 2 BDSG) oder zwischen der übermittelnden und der empfangenden Stelle die EU-Standardvertragsklauseln vereinbart wurden. Die Vereinbarung dieser Klauseln führt dazu, dass die empfangende Stelle so zu behandeln ist, als befände sie sich innerhalb der EU. Die EU aktualisiert die Standardvertragsklauseln regelmäßig. Zudem werden sie im Amtsblatt der europäischen Union veröffentlicht.
2. Bedeutende Erlaubnistatbestände des BDSG
Personenbezogene Daten können im Zusammenhang mit einem Beschäftigungsverhältnis übermittelt werden, wenn es für die Durchführung des Beschäftigungsverhältnisses erforderlich ist (§ 32 Abs. 1 Satz 1 BDSG). Neben einem tauglichen Verwendungszweck fordert der Erlaubnistatbestand die Erforderlichkeit der Datenübermittlung. Im Rahmen der Datenübermittlung innerhalb eines Konzerns ist zwingend erforderlich, dass das Arbeitsverhältnis Konzernbezug aufweist. Ein Konzernbezug kann beispielsweise dadurch hergestellt werden, dass sich der Mitarbeiter zum konzernweiten Einsatz bereit erklärt.
Scheitert die Übermittlung an den Voraussetzungen des § 32 Abs. 1 BDSG und ist es zur Wahrung der berechtigten Interessen der verantwortlichen Stelle erforderlich, Personaldaten zu übermitteln, kann die Übermittlung auch auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG gestützt werden. Verantwortliche Stelle ist in diesem Zusammenhang der inländische Arbeitgeber. Anerkannte berechtigte Interessen sind beispielsweise Risikominimierung oder die Verfolgung wirtschaftlicher Interessen. Auch diese Erlaubnisnorm fordert wiederrum die Erforderlichkeit der Datenübermittlung.
3. Betriebsvereinbarung als Erlaubnistatbestand
Darüber hinaus kann auch eine Betriebsvereinbarung eine Grundlage für die Datenübermittlung schaffen. Es ist dann allerdings im Einzelfall darauf zu achten, dass die Betriebsvereinbarung mit dem zuständigen Betriebsrat – ggfs. auch dem Konzernbetriebsrat – abgeschlossen wird. Andernfalls ist sie unter Umständen unwirksam.
4. Einwilligung
Selbstverständlich kann die Datenübermittlung auch durch Einwilligung des Mitarbeiters im Einzelfall gerechtfertigt werden. Allerdings ist zum einen bereits stark umstritten, ob die Einwilligung im Arbeitsverhältnis nicht stets unfreiwillig aufgrund des bestehenden Über-/Unterordnungsverhältnisses erfolgt und damit unwirksam ist. Zum anderen ist die Einwilligung jederzeit frei widerruflich. Vor diesem Hintergrund empfiehlt sich in der Regel möglichst eine andere Gestaltungsweise.