Die Verarbeitung von Beschäftigtendaten innerhalb eines Konzerns ist in der Praxis weit verbreitet, aber rechtlich gesehen, kann es ganz schön knifflig werden. Auch wenn Unternehmen organisatorisch miteinander verbunden sind, gelten sie datenschutzrechtlich als eigenständige Verantwortliche. Ein echtes „Konzernprivileg“ gibt es in der DSGVO nicht.
Das bedeutet, dass jede Weitergabe von personenbezogenen Beschäftigtendaten zwischen den Konzerngesellschaften eine eigene Rechtsgrundlage benötigt. Oft wird dafür Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse) herangezogen. Dabei ist jedoch eine sorgfältige Abwägung der Interessen notwendig. Konzerninterne Verwaltungszwecke können zwar ein legitimes Interesse darstellen („kleines Konzernprivileg“), reichen aber für sich genommen als Begründung nicht aus – besonders bei sensiblen Daten oder Leistungs- und Verhaltensdaten sollte man vorsichtig sein.
Zusätzlich müssen die speziellen gesetzlichen Regelungen für Beschäftigtendaten beachtet werden. In Deutschland ist das § 26 BDSG, wobei die aktuelle europarechtliche Diskussion zur Gesetzeskonformität des § 26 BDSG berücksichtigt werden muss. Datenverarbeitungen müssen immer für das Beschäftigungsverhältnis notwendig sein. Eine pauschale konzernweite Nutzung „auf Vorrat“ ist nicht erlaubt.
Besondere Aufmerksamkeit ist auch bei internationalen Datenübermittlungen innerhalb des Konzerns gefragt. Wenn Daten in Drittstaaten transferiert werden, müssen zusätzlich die Anforderungen der Artikel 44 ff. DSGVO erfüllt werden, beispielsweise durch Standardvertragsklauseln und ein Transfer Impact Assessment (TIA).
In der Praxis ist es ratsam, konzernweite Datenschutzkonzepte zu entwickeln. Dazu gehören verbindliche Regelungen zur Datenweitergabe, transparente Informationspflichten gegenüber den Beschäftigten und klare Zuständigkeiten. Sind Betriebsräte gebildet worden, müssen dazu Betriebsvereinbarungen verhandelt werden.
Die Einhaltung dieses Prozesses sollte regelmäßig überprüft werden. Dabei sollte kontrolliert werden, ob die Datenübermittlungen innerhalb des Konzerns auf einer tragfähigen Rechtsgrundlage basieren, ob die Informationspflichten erfüllt sind und ob internationale Datentransfers ordnungsgemäß abgesichert wurden.
