Matrix-Strukturen sind ein in der Praxis häufig genutztes Organisationsmodell für erfolgreiche und effiziente personelle Zusammenarbeit in Unternehmensgruppen und Konzernen. Um diese Strukturen effektiv nutzen zu können, ist der Austausch von personenbezogenen Daten zwischen einzelnen Gesellschaften des Konzerns erforderlich. Hierbei müssen Unternehmen im Konzern die Anforderungen des Beschäftigtendatenschutzes beachten. Der vorliegende dritte Beitrag aus unserer Reihe zu rechtlichen Besonderheiten bei Matrix-Strukturen in Konzernen gibt einen Überblick über wesentliche datenschutzrechtliche Fragen zu diesem Thema.
Beschäftigtendatenschutzrechtliche Problematik bei Matrix-Strukturen
Eine Matrix-Struktur lässt sich als mehrdimensionale Organisationsstruktur eines Konzerns beschreiben. Es liegt keine rein hierarchische Organisation vor. Vielmehr fallen gesellschaftsrechtliche Strukturen und arbeitgeberseitige Weisungsbefugnisse teilweise auseinander. Abteilungen und Teams werden quer über Unternehmensgrenzen hinweg gebildet. So kann im Rahmen einer Matrix-Struktur etwa derselbe Arbeitnehmer mehrere Vorgesetzte mit unterschiedlicher Weisungsbefugnis bezüglich verschiedener Bereiche haben. Ein Arbeitnehmer kann beispielsweise disziplinarische bzw. organisatorische Weisungen eines Vorgesetzten innerhalb der gleichen Gesellschaft und sachliche Weisungen durch einen weiteren Vorgesetzten (z.B. einen Abteilungsleiter) erhalten, der selbst bei einer Mutter- oder Schwestergesellschaft beschäftigt ist, gegebenenfalls auch im Ausland.
Aus dieser Organisationsform ergeben sich datenschutzrechtliche Hürden, wenn aufgrund der Matrix-Struktur verschiedene Gesellschaften des Konzerns personenbezogene Daten von Beschäftigten verarbeiten. Zur Ausübung ihrer Vorgesetztenfunktion benötigen beispielsweise sowohl der disziplinarische Vorgesetzte als auch der bei einer anderen Gesellschaft angestellte Abteilungsleiter Zugang zu gewissen, personenbezogenen Daten des Beschäftigten. Die Datenübermittlung an den Abteilungsleiter erfordert eine datenschutzrechtliche Rechtfertigung. Befindet sich die Gesellschaft, bei der der Abteilungsleiter angestellt ist, im außereuropäischen Ausland, gelten unter Umständen zusätzliche Anforderungen.
Unternehmen, die diese Anforderungen an den Datenschutz nicht erfüllen, drohen bereits jetzt empfindliche Geldbußen. Unter der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) erhöhen sich diese sogar auf bis zu 20 Millionen Euro pro Verstoß bzw. bis zu vier Prozent des weltweiten Unternehmensumsatzes.
Rechtfertigung der Übermittlung personenbezogener Daten nach geltendem Recht
Verantwortliche Stelle für die Verarbeitung personenbezogener Daten eines Beschäftigten ist im Ausgangspunkt der Arbeitgeber. Ein Konzernprivileg für die Übermittlung personenbezogener Daten innerhalb eines Konzerns kennt das aktuell gültige Bundesdatenschutzgesetz (BDSG) nicht. Die Übermittlung persönlicher Daten an Gesellschaften desselben Konzerns bedarf daher einer gesonderten Rechtfertigung. Eine Auftragsdatenverarbeitung nach § 11 BDSG scheidet in der Regel mangels Weisungsbefugnis des Vertragsarbeitgebers innerhalb des Konzerns aus. In Betracht kommen folgende Erlaubnistatbestände für die Datenübermittlung in der Matrix:
- Zwecke des Beschäftigungsverhältnisses: Datenübermittlungen sind nach § 32 Abs. 1 Satz 1 BDSG gerechtfertigt, wenn diese zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind. Nach der Auffassung einiger deutscher Datenschutz-Aufsichtsbehörden ist dies nur dann der Fall wenn das Arbeitsverhältnis einen Konzernbezug hat, der bereits bei Beschäftigungsbeginn im Arbeitsvertrag festgehalten ist, d.h. der Beschäftigte von Beginn an etwa in anderen Konzerngesellschaften eingesetzt werden kann. Dann sei die Übermittlung für diesen Einsatz im Konzern erforderlich. Anderenfalls erfolge die Übermittlung der Daten außerhalb des Vertragszwecks. Diese Auffassung stellt die Praxis jedoch vor erhebliche Herausforderungen. Die Übermittlung von Beschäftigtendaten in Matrix-Strukturen würde nahezu unmöglich gemacht. Richtigerweise muss sich jedoch ein Konzernbezug des Arbeitsverhältnisses nicht zwingend aus dem Arbeitsvertrag selbst ergeben. Auch ein offen kommuniziertes Organigramm, welches die Berichtswege über die Unternehmensgrenzen hinweg darstellt, kann die für einen Konzernbezug erforderliche Transparenz schaffen.
- Berechtigte Interessen: Auch eine Rechtfertigung der Übermittlung von Beschäftigtendaten innerhalb einer Matrix-Struktur aufgrund eigener berechtigter Interessen des Arbeitgebers nach § 28 Abs. 1 S. 1 Nr. 2 BDSG oder berechtigter Interessen anderer Konzernunternehmen nach § 28 Abs. 2 Nr. 2 lit. a BDSG kommt in Betracht. Geht man wie hier entgegen der Auffassung einiger Literaturstimmen davon aus, dass § 28 Abs. 1 BDSG richtigerweise neben § 32 Abs. 1 BDSG anwendbar ist, so erfordert eine zulässige Datenübermittlung dennoch stets eine Abwägung der Interessen der verantwortlichen Stelle und des betroffenen Beschäftigten im Einzelfall. Insbesondere sind auch eine transparente Information der Beschäftigten über die Datenübermittlungen, eine Selbstbindung an Datenschutzregeln durch Konzernrichtlinien oder auch der Abschluss eines Datenübermittlungsvertrages (Funktionsübertragung) in der Interessenabwägung zugunsten des übermittelnden Arbeitgebers zu berücksichtigen. Denn diese Maßnahmen erhöhen das Datenschutzniveau für die betroffenen Beschäftigten.
- Einwilligungen: Eine Rechtfertigung der Übermittlung von Beschäftigtendaten innerhalb der durch Einwilligungen der Arbeitnehmer in die Übermittlung ist ebenfalls möglich, wenn die Einwilligung die Anforderungen nach § 4a BDSG erfüllt. Vor allem wegen der jederzeitigen freien Widerruflichkeit sind Einwilligungen jedoch im Kontext von Matrix-Strukturen nicht zu empfehlen.
- Betriebsvereinbarungen zur Datenübermittlung in der Matrix: Zusätzliche Rechtssicherheit schafft insbesondere auch die Datenübermittlung aufgrund von Betriebsvereinbarungen, die die verhältnismäßige, faire, transparente und zweckgebundene Übermittlung von Beschäftigtendaten regeln. Betriebsvereinbarungen, die den datenschutzrechtlichen Anforderungen genügen, stellen eine andere Rechtsvorschrift im Sinne des § 4 BDSG dar.
Datenübermittlungen in Drittstaaten: Wenn sich die Gesellschaft, an die die Daten der Arbeitnehmer übermittelt werden sollen, außerhalb der EU/EWR befindet und in diesem Staat nach der Einschätzung der Kommission kein angemessenes Datenschutzniveau besteht (z.B. in den USA), so muss die Übermittlung dorthin in einem zweiten Schritt besondere, zusätzliche Anforderungen erfüllen. Andernfalls ist die Datenübermittlung rechtswidrig. Als geeignete Maßnahmen kommen hier insbesondere eine Zertifizierung der datenimportierenden Konzernunternehmen unter dem EU-US Privacy Shield, der Abschluss von EU-Standardvertragsklauseln (SCCs) mit der jeweiligen Gesellschaft im Ausland oder die Selbstbindung durch sog. Binding Corporate Rules (BCR) in Betracht. Einwilligungen aller betroffenen Beschäftigten in die Datenübermittlung an ausländische Konzerngesellschaften sind wegen der damit verbunden Rechtsunsicherheiten und des Verwaltungsaufwandes in Matrix-Strukturen nicht empfehlenswert.
Neue Anforderungen ab dem 25. Mai 2018 unter der Datenschutz-Grundverordnung
Ab dem 25. Mai 2018 müssen Unternehmen die neuen Vorgaben der Datenschutz-Grundverordnung beachten. Diese haben dann Vorrang vor nationalen Vorschriften zum Datenschutz wie dem aktuell gültigen Bundesdatenschutzgesetz.
- Erlaubnistatbestände der DSGVO: Auch unter der DSGVO bleibt es im Grundsatz bei dem Erfordernis einer Rechtfertigung der Datenübermittlung im Einzelfall, z.B. nach Art. 6 Abs. 1, 9 Abs. 1 DSGVO oder im Beschäftigungskontext nach Art. 88 Abs. 1 DSGO i.V.m. § 26 Abs. 1 des Entwurfs eines neuen Bundesdatenschutzgesetzes (“BDSG-E”; Informationen zu aktuellen Stand der Gesetzgebung finden Sie hier). Allerdings gelten gewisse Erleichterungen für die erforderliche Interessenabwägung bei Datenübermittlungen im Konzern.
- Gemeinsame Verantwortlichkeit: Unter der DSGVO werden Konzernunternehmen, die Beschäftigtendaten innerhalb einer Matrix-Struktur übermitteln, zudem in der Regel als gemeinsame Verantwortliche im Sinne von Art. 26 Art. 1 DSGVO anzusehen sein. Dann tritt an die Stelle eines Datenübermittlungsvertrags ein sogenanntes Joint Controllership Agreement zum gemeinsamen Umgang mit Beschäftigtendaten in der Matrix. Darin stellen die teilnehmenden Konzernunternehmen ihre Kooperation in der Matrix-Organisation dar. Sie legen insbesondere fest, wer von ihnen welche datenschutzrechtlichen Verpflichtungen gegenüber den Beschäftigten wahrnimmt. Dies betrifft vor allem die Erfüllung von Betroffenenrechten wie beispielsweise den Informationspflichten gegenüber den Beschäftigten. Die wesentlichen Inhalte des Joint Controllership Agreements müssen den Beschäftigten z.B. im Intranet zur Verfügung gestellt werden.
Betriebsvereinbarungen weiterhin zulässig: Betriebsvereinbarungen bleiben ein zulässiges Mittel zur Schaffung von mehr Rechtssicherheit bei der Datenübermittlung in der Matrix. Auch unter der Datenschutz-Grundverordnung sind Betriebsvereinbarungen als eigenständiger Erlaubnistatbestand für die Datenübermittlung nach Art. 88 Abs. 1 DSGVO anerkannt, sofern sie die inhaltlichen Vorgaben nach Art. 88 Abs. 2 und Art. 5 DSGVO umsetzen.
Fazit und Handlungsempfehlungen
Bei der Übermittlung von Beschäftigtendaten innerhalb von Matrix-Strukturen im Konzern ist genau zu prüfen, ob die einzelnen Datenübermittlungen den gesetzlichen Erlaubnistatbeständen entsprechen. Betriebsvereinbarungen sind ein probates Mittel für mehr Rechtssicherheit bei der Datenübermittlung in der Matrix. Bei schlechter Verhandlungsposition können diese den konzerninternen Datenaustausch jedoch auch massiv einschränken. Zudem empfehlen wir, durch eine möglichst frühzeitige und weitgehende Information der Arbeitnehmer über Zweck und Reichweite der Datenübermittlung in der Matrix die gesetzlich geforderte Transparenz zu schaffen. Zur Erfüllung der zusätzlichen Anforderungen an die Übermittlung von Daten in sogenannte Drittländer bietet sich besonders der Abschluss von Standardvertragsklauseln oder entsprechender Intra-Group Data Transfer Agreements an. Die Datenschutz-Grundverordnung bringt für Arbeitgeber im Konzern neue Anforderungen wie etwa Joint Controllership Agreements. Unternehmen sind gut beraten, diese rechtzeitig vor dem 25. Mai 2018 umzusetzen.
Dieser Beitrag ist Teil einer Reihe, die sich mit den rechtlichen Herausforderungen von Matrix-Strukturen in Konzernen beschäftigt. Einen Beitrag zu besonderen Haftungsrisiken für Geschäftsleiter bei Matrix-Strukturen können Sie hier abrufen. Einen Kurzbeitrag zu steuerrechtlichen Besonderheiten finden Sie hier.