Viele Personalabteilungen gehen davon aus, dass Mitarbeiterdaten innerhalb eines Konzerns ohne Einschränkungen weitergegeben werden können. Doch auch innerhalb einer Unternehmensgruppe gilt die DSGVO, und die Übermittlung von personenbezogenen Daten
– insbesondere in Drittstaaten – muss strengen Regeln folgen. Wer sich hier nicht an die Vorgaben hält, riskiert hohe Bußgelder und Rechtsstreitigkeiten.
Unterschied zwischen EU-/EWR-Staaten und Drittstaaten
Grundsätzlich unterscheidet die DSGVO zwischen der Übermittlung von Daten innerhalb des Europäischen Wirtschaftsraums (EWR) und der Weitergabe in sogenannte Drittstaaten.
-
Innerhalb des EWR gilt die DSGVO direkt. Dennoch bedeutet das nicht, dass Daten beliebig zwischen Unternehmen ausgetauscht werden dürfen. Auch innerhalb Europas gelten die Grundsätze der Zweckbindung, Datenminimierung und Notwendigkeit. Eine Übermittlung zwischen Konzernunternehmen muss stets auf einer rechtlichen Grundlage basieren, z. B. einer Betriebsvereinbarung oder einer klaren Interessenabwägung.
-
Drittstaaten unterliegen zusätzlichen Anforderungen nach Kapitel 5 DSGVO. Hier müssen Unternehmen nachweisen, dass ein angemessenes Datenschutzniveau besteht. Dies kann über Angemessenheitsbeschlüsse, Standardvertragsklauseln oder Binding Corporate Rules (BCRs) sichergestellt werden.
Zweistufenprüfung: Rechtliche Grundlagen und Angemessenheit
Werden Mitarbeiterdaten innerhalb des Konzerns weitergegeben, muss eine zweistufige Prüfung erfolgen:
-
Rechtliche Grundlage für die Übermittlung – Darf die HR-Abteilung die Daten überhaupt weitergeben? Eine solche Übermittlung erfordert eine zulässige Rechtsgrundlage wie:
-
Erfüllung eines Vertrags (z. B. Gehaltsabrechnung über eine konzernweite Lohnbuchhaltung)
-
Berechtigtes Interesse des Unternehmens (z. B. zentrale Personalverwaltung)
-
Gesetzliche Vorgaben (z. B. Steuer- oder Sozialversicherungsrecht)
-
Eine freiwillige und informierte Einwilligung (die im Arbeitsverhältnis aber oft problematisch ist)
-
-
Angemessenheitsmechanismus bei Drittstaaten – Falls die Übermittlung in einen Drittstaat erfolgt, muss zusätzlich sichergestellt werden, dass ein angemessenes Schutzniveau besteht. Optionen sind:
-
Angemessenheitsbeschluss der EU-Kommission (z. B. für Japan oder Großbritannien)
-
Standardvertragsklauseln (SCCs), die zusätzliche Schutzmaßnahmen erfordern
-
Binding Corporate Rules (BCRs), wenn der Konzern genehmigte interne Datenschutzrichtlinien hat
-
Häufige Fehler und Risiken
Viele Unternehmen machen den Fehler, dass sie davon ausgehen, dass HR-Daten generell innerhalb des Konzerns genutzt werden dürfen. Besonders problematisch sind:
-
Automatische Weiterleitung von Personalakten an die Konzernzentrale ohne Prüfung der Notwendigkeit
-
Fehlende Information der Betroffenen über die Datenweitergabe
-
Nutzung von IT-Dienstleistern außerhalb der EU ohne ausreichende Schutzmaßnahmen
-
Einholung einer Einwilligung, obwohl diese im Arbeitsverhältnis meist nicht als freiwillig gilt
Praxis-Tipps für HR-Abteilungen
Um DSGVO-konform zu handeln, sollten Personalabteilungen folgende Maßnahmen ergreifen:
-
Datenflüsse genau analysieren: Welche Daten werden weitergegeben und ist das wirklich notwendig?
-
Klare Konzernrichtlinien aufstellen: Datenschutz muss in konzernweiten HR-Prozessen geregelt sein.
-
Angemessene Schutzmechanismen nutzen: Falls ein Drittland betroffen ist, SCCs oder BCRs sicherstellen.
-
Mitarbeiter informieren: Transparenz ist entscheidend – Beschäftigte müssen wissen, was mit ihren Daten passiert.
Fazit: Konzerninterne Weitergabe ist kein Selbstläufer
Die Übermittlung von Mitarbeiterdaten innerhalb eines Konzerns erfordert eine sorgfältige Prüfung und die Einhaltung strikter Datenschutzrichtlinien. Wer sich an die Zweistufenprüfung hält, kann rechtliche Risiken vermeiden und gleichzeitig den Schutz der Beschäftigten gewährleisten.