Introduktion til databeskyttelse
Beskyttelsen af personoplysninger er af central betydning i den stadig mere digitaliserede verden i dag. Med EU’s generelle databeskyttelsesforordning (GDPR) og den tyske føderale databeskyttelseslov (BDSG) findes der klare og bindende regler for, hvordan virksomheder og koncerner skal håndtere kunders, medarbejderes og forretningspartneres data. Især i en koncern, der består af flere virksomheder, er det afgørende, at de databehandlende processer inden for koncernen udformes i overensstemmelse med loven. GDPR og BDSG regulerer, hvordan personoplysninger må indsamles, lagres og behandles for at beskytte privatlivets fred og de berørte personers rettigheder. Virksomheder og koncerner er derfor forpligtet til konsekvent at overholde disse bestemmelser for at bevare tilliden hos de berørte og undgå juridiske risici.
Koncern og databeskyttelse
En koncern er en sammenslutning af flere virksomheder, der er under fælles ledelse. Koncernledelsen bærer ansvaret for, at kravene i den generelle databeskyttelsesforordning (GDPR) og den føderale databeskyttelseslov (BDSG) overholdes i hele koncernen. Dette omfatter alle niveauer og virksomheder inden for koncernen – fra moderselskabet til datterselskaberne. Indsamling, lagring og behandling af personoplysninger skal foregå i hele koncernen i overensstemmelse med lovbestemmelserne. Koncernledelsen skal sikre, at alle virksomheder i koncernen kender til og efterlever de databeskyttelsesretlige krav for at garantere dataenes sikkerhed og beskyttelse. Kun på den måde kan der opnås et ensartet og juridisk sikkert databeskyttelsesniveau i hele koncernen.
Ansvarlig og databeskyttelsesofficer
Inden for en koncern er den ansvarlige den person eller instans, der træffer beslutninger om formålene og midlerne til behandling af personoplysninger. Dataansvarliges opgave derimod er at overvåge overholdelsen af databeskyttelsesbestemmelserne i alle koncernens virksomheder. Han eller hun rådgiver koncernledelsen og de enkelte virksomheder om alle spørgsmål inden for databeskyttelse, uddanner medarbejdere og fungerer som kontaktperson for de berørte, når det drejer sig om deres rettigheder i forbindelse med behandlingen af deres personoplysninger. Et tæt samarbejde mellem den ansvarlige og databeskyttelsesofficeren er afgørende for at sikre overholdelse af databeskyttelsesbestemmelserne i hele koncernen og effektivt beskytte de berørtes rettigheder.
BAG om overførsel af personoplysninger inden for en koncern – Az. 8 AZR 209/21
Databeskyttelse spiller også en central rolle i arbejdsretten. Dette gælder ikke kun for håndteringen af medarbejdernes personoplysninger overfor tredjeparter, men også inden for en koncern. Den føderale arbejdsret understregede ved dom af 8. maj 2025, at kravene i den generelle databeskyttelsesforordning (GDPR) også skal overholdes ved overførsel af data inden for koncernsamarbejdet (Az. 8 AZR 209/21).
Myndighederne har en vigtig opgave med anvendelsen af databeskyttelsesforordningen (GDPR): De skal sikre overholdelsen af databeskyttelseslovene, herunder de statslige databeskyttelseslove, og gennemføre foranstaltninger til dataindsamling og beskyttelse af personoplysninger på internettet. I visse tilfælde reguleres disse opgaver og foranstaltninger af relevante artikler i forordningen for at bevare de berørtes rettigheder – såsom borgere, brugere og offentligheden – og sikre gennemsigtighed.
Fra ansøgning til afskedigelse bliver mange oplysninger om medarbejderne indsamlet og behandlet på arbejdspladsen. Arbejdsgivere skal især overholde bestemmelserne i den generelle databeskyttelsesforordning (GDPR) og den føderale databeskyttelseslov (BDSG), understreger advokatfirmaet MTR Legal Rechtsanwälte, der bl.a. rådgiver om databeskyttelsesret.
GDPR skal overholdes ved intern overførsel af data inden for koncernen
Kravene i GDPR skal også overholdes ved intern overførsel af data inden for koncernen, som dommen fra den føderale arbejdsret af den 8. maj 2025 viser. Domstolen fastslog, at en medarbejder kan have krav på erstatning som følge af en overtrædelse af GDPR.
I den pågældende sag havde arbejdsgiveren videregivet en medarbejders personoplysninger inden for koncernen til et overordnet koncernselskab. Årsagen var, at der skulle testes ny cloudbaseret software til personaleforvaltning, hvor et nyt personalestyringssystem skulle implementeres i hele koncernen.
Den foreløbige testdrift af det nye personalestyringssystem var tidligere reguleret i en virksomhedsforeningsaftale. Ifølge aftalen måtte navn, ansættelsesdato, firma, arbejdssted samt den forretningsmæssige telefonnummer og e-mailadresse videregives. Arbejdsgiveren havde derudover dog også overført oplysninger om løn, fødselsdato, familieretlig status, socialforsikringsnummer, skatte-id og privatadresse til koncernselskabet.
Anvendelsen af databeskyttelsesforordningen og de relevante artikler gælder ikke kun for virksomheder, men også for myndigheder for at beskytte brugernes, de berørtes og borgernes rettigheder. Foranstaltninger til dataindsamling og beskyttelse af personoplysninger på internettet samt overholdelse af de statslige databeskyttelseslove er i alle tilfælde en vigtig opgave og centrale til opnåelse af gennemsigtighed over for offentligheden.
Data overført uden tilstrækkelig retsgrundlag
Det modsatte sagsøgeren sig imod. Han argumenterede, at hans data blev behandlet uden tilstrækkelig retsgrundlag, da brugen af faktiske data i testfasen ikke var nødvendig og dermed i strid med principperne om dataminimering og formålsbegrænsning i henhold til art. 5 GDPR. Desuden var behandlingen ikke omfattet af den eksisterende virksomhedsforeningsaftale. Han krævede i henhold til art. 82 styrke 1 GDPR erstatning for ikke-økonomisk tab på grund af overtrædelse af GDPR.
Efter at de lavere instanser havde afvist hans sag, endte den til sidst foran den føderale arbejdsret. Først anmodede BAG den Europæiske Domstol. EU-Domstolen afgav dom den 19. december 2024, at reglerne for databehandling i en virksomhedsforeningsaftale skal være i overensstemmelse med GDPR. Denne retspraksis blev fulgt af BAG, som besluttede, at sagsøgeren havde krav på erstatning.
Anvendelsen af relevante artikler i databeskyttelsesforordningen samt de statslige databeskyttelseslove er af central betydning for opgaverne og opfyldelsen af myndighedernes opgaver og beskyttelse af de berørte borgere og brugere i alle tilfælde. Foranstaltninger til dataindsamling og beskyttelse af personoplysninger på internettet skal også implementeres i forhold til gennemsigtighed over for offentligheden.
Krav på ikke-økonomisk erstatning
Arbejdsgiveren havde videregivet flere data end tilladt ifølge virksomhedsforeningsaftalen til det overordnede koncernselskab. Dette var ikke nødvendigt og udgjorde en overtrædelse af GDPR, pointerede BAG klart. Ved at videregive de personoplysninger til det overordnede koncernselskab mistede sagsøgeren kontrollen over sine data og led derved et ikke-økonomisk tab, konstaterede BAG yderligere.
Dommen viser, at dataoverførsel inden for en koncern altid bør gennemgås med hensyn til databeskyttelsesret. De databeskyttelsesretlige krav i GDPR skal i den forbindelse fuldt ud overholdes. Dette omfatter især principperne om dataminimering, formålsbegrænsning og gennemsigtighed.
Implementeringen af passende foranstaltninger og konsekvent anvendelse af databeskyttelsesforordningen samt de relevante artikler er i alle tilfælde uundværlige for beskyttelsen af de berørte, såsom borgere og brugere, og for opfyldelsen af myndighedernes opgaver. Dette inkluderer dataindsamling på internettet, overholdelse af de statslige databeskyttelseslove samt gennemsigtighed over for offentligheden.
Krav til behandling af personoplysninger i ansættelsesforhold
Grundlæggende er behandling af personoplysninger i et ansættelsesforhold kun tilladt, hvis der findes et tilsvarende retsgrundlag for det. Dette gælder for eksempel, når databehandling er nødvendig for at opfylde ansættelsesaftalen. Desuden er databehandling tilladt, hvis medarbejderen har givet sit samtykke. Det er vigtigt, at samtykket gives frivilligt, er specifikt og kan tilbagekaldes. Databehandling kan også være tilladt, hvis arbejdsgiveren kan dokumentere en legitim interesse i at beskytte virksomhedens sikkerhed, og ingen overvejende interesser eller grundlæggende rettigheder hos medarbejderen taler imod det.
BAG-dommen understreger betydningen af en ansvarlig omgang med medarbejderdata og nødvendigheden af tidligt og omfattende at integrere databeskyttelsesaspekter i virksomhedens processer.
MTR Legal Rechtsanwälte rådgiver inden for arbejdsret og Databeskyttelsesret.
Kontakt os gerne Kontakt os!
Anvendelsen af databeskyttelsesforordningen og de relevante artikler samt implementeringen af passende foranstaltninger til dataindsamling på internettet og overholdelse af de statslige databeskyttelseslove er af central betydning for beskyttelsen af de berørte, borgere og brugere samt for opfyldelsen af opgaverne og myndighedernes opgaver i alle tilfælde og overfor offentligheden.
