Datenschutz in Matrixstrukturen

PrintMailRate-it
Der Einsatz von Mitarbeitern in Matrixstrukturen kann datenschutzrechtliche Herausforderungen bereithalten. Für individuelle Lösungen sind dabei verschiedene Ansätze möglich.

Charakteristisch für Matrixstrukturen ist eine mehrdimensionale Organisation des Unternehmens. Auf Basis unterschiedlicher Organisationskriterien können dadurch einzelne Mitarbeiter in unterschiedlichen Weisungsbeziehungen stehen. Sobald sich diese Matrixstruktur über ein einzelnes Unternehmen hinweg auf verschiedene juristische Personen erstreckt, bspw. innerhalb eines Konzerns, müssen zur Steuerung der Mitarbeiter regelmäßig Beschäftigtendaten über Unternehmensgrenzen ausgetauscht werden.

Hierauf ist mit dem Bundesdatenschutzgesetz (BDSG) deutsches Datenschutzrecht anzuwenden, wenn die für die Erhebung und Verarbeitung derartiger personenbezogener Daten verantwortliche Stelle ihren Unternehmenssitz entweder in Deutschland oder außerhalb der EU sowie des Europäischen Wirtschaftsraums (EWR) hat. Liegt der Sitz der datenverarbeitenden Stelle dagegen in einem anderen Staat der EU bzw. des EWR, so ist dessen (ausländisches) Datenschutzrecht anwendbar. Dadurch können grenzüberschreitend tätige Unternehmen mit Sitz in der EU bzw. des EWR nach einem einheitlichen (wenn auch nicht deutschen) Datenschutzrecht handeln.

Im Anwendungsbereich des BDSG müssen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch eine Rechtsvorschrift oder durch die Einwilligung des Betroffenen erlaubt sein, andernfalls sind sie verboten. Dabei fällt unter Datenverarbeitung auch die Übertragung der Daten an Dritte. Das BDSG behandelt jede rechtlich selbständige Gesellschaft als eine eigene verantwortliche Stelle, selbst wenn es sich um verschiedene Gesellschaften desselben Konzerns handelt. Datenübermittlungen zwischen Konzerngesellschaften sind daher zu behandeln wie Übermittlungen zwischen Dritten, müssen also durch Rechtsvorschrift oder Einwilligung erlaubt sein. Ein sog. „Konzernprivileg” besteht im deutschen Datenschutzrecht nicht.

Eine theoretisch mögliche Einwilligung der betroffenen Mitarbeiter sollte einer konzernweiten Datenübermittlung nicht zugrunde gelegt werden, da ein jederzeit möglicher Widerruf das Ende der Datenübermittlungen bedeuten oder jedenfalls eine Alternativlösung erfordern würde.

Die Zulässigkeit zur Datenübermittlung kann sich weiterhin aus Konzern-, Gesamt- oder Betriebsvereinbarungen ergeben, die als eigenständige Rechtsgrundlagen im Sinne des BDSG gelten. Allerdings muss hierfür der gestattende Datenumgang in der Betriebsvereinbarung hinreichend genau beschrieben werden. Der Austausch von Arbeitnehmerdaten zwischen Unternehmen eines Matrixkonzerns – etwa zum Aufbau einer konzernweiten Arbeitnehmerdatenbank für die Personalentwicklung im Konzern – kann durch eine solche Betriebsvereinbarung legitimiert werden.

Schließlich kann sich die Zulässigkeit zu Datentransfers aus Erlaubnistatbeständen des BDSG selbst ergeben.

Eine denkbare Auftragsdatenverarbeitung (§ 11 BDSG) setzt die Beauftragung einer anderen Stelle voraus, die die Datenverarbeitung anstelle des Auftraggebers erbringt. Ergebnis eines solchen Auftrags ist es, dass der Auftraggeber verantwortlich für die Datenverarbeitung bleibt, so dass eine „Datenübermittlung” im Sinne des BDSG gar nicht erst stattfindet. Charakteristisch für die Auftragsdatenverarbeitung ist allerdings eine verbleibende Weisungsbefugnis des verantwortlichen Auftraggebers an den Auftragnehmer. Innerhalb von Konzernstrukturen ist das etwa bei einer in eine Tochtergesellschaft „ausgelagerten”, weisungsgebundenen Lohnbuchhaltung denkbar. Die Besonderheit bei Matrixorganisationen liegt jedoch darin, dass Querschnittsfunktionen wie zentrale IT-, Finanz- oder Rechtsabteilungen gerade nicht weisungsabhängig tätig werden (sollen). Eine Möglichkeit, dies dennoch über Auftragsdatenverarbeitung abzubilden, kann im Einzelfall darin bestehen, die verbleibenden Weisungsrechte den konzerngebundenen Auftraggebern nur innerhalb eines definierten Rahmens einzuräumen.

Schließlich können nach § 32 Abs. 1 S. 1 Alt. 2 BDSG personenbezogene Daten eines Beschäftigten erhoben, verarbeitet und genutzt werden, sofern dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dabei reicht der bloße Wunsch nach einer konzernweiten Personalpolitik allein regelmäßig nicht, um eine Datenübermittlung zur Erreichung des Vertragszwecks erforderlich werden zu lassen. Anders ist es jedoch, wenn die Arbeitsverhältnisse selbst einen Konzernbezug aufweisen, der eine Datenübermittlung erfordert; bspw. durch die vertragliche Vereinbarung zur konzernweiten Tätigkeit des Arbeitnehmers. Die Schaffung von Arbeitsverhältnissen mit Konzernbezug und die Beschreibung der geschuldeten Arbeitsleistung auch gegenüber anderen Konzerngesellschaften können daher die begehrte Datenübermittlung zur Durchführung des konkreten Beschäftigungsverhältnisses erforderlich – und damit datenschutzrechtlich zulässig – werden lassen. Etwaige Änderungen der Matrixstrukturen sind dann zusätzlich in die arbeitsvertraglichen Vereinbarungen aufzunehmen, was den Administrationsaufwand erhöhen kann.
 
zuletzt aktualisiert am 10.02.2016

Kontakt

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30

Anfrage senden

Profil

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu