Einführung in den Datenschutz
Der Schutz personenbezogener Daten ist in der heutigen, zunehmend digitalisierten Welt von zentraler Bedeutung. Mit der Datenschutz-Grundverordnung (DSGVO) der EU und dem Bundesdatenschutzgesetz (BDSG) existieren klare und verbindliche Regeln, wie Unternehmen und Konzerne mit den Daten von Kunden, Mitarbeitern und Geschäftspartnern umgehen müssen. Besonders in einem Konzern, der aus mehreren Unternehmen besteht, ist es entscheidend, dass die datenverarbeitenden Prozesse innerhalb des Konzerns rechtskonform gestaltet werden. Die DSGVO und das BDSG regeln, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen, um die Privatsphäre und die Rechte der betroffenen Personen zu schützen. Unternehmen und Konzerne sind daher verpflichtet, diese Vorschriften konsequent einzuhalten, um das Vertrauen der Betroffenen zu wahren und rechtliche Risiken zu vermeiden.
Konzern und Datenschutz
Ein Konzern ist ein Zusammenschluss mehrerer Unternehmen, die unter einer einheitlichen Leitung stehen. Die Konzernleitung trägt dabei die Verantwortung, dass innerhalb des gesamten Konzerns die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) eingehalten werden. Das betrifft alle Ebenen und Unternehmen des Konzerns – von der Muttergesellschaft bis zu den Tochterunternehmen. Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten muss konzernweit nach den gesetzlichen Vorgaben erfolgen. Die Konzernleitung muss sicherstellen, dass alle Unternehmen im Konzern die datenschutzrechtlichen Anforderungen kennen und umsetzen, um die Sicherheit und den Schutz der Daten zu gewährleisten. Nur so kann ein einheitliches und rechtssicheres Datenschutzniveau im gesamten Konzern erreicht werden.
Verantwortlicher und Datenschutzbeauftragter
Innerhalb eines Konzerns ist der Verantwortliche die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Datenschutzbeauftragte hingegen ist dafür zuständig, dass die Einhaltung der Datenschutzvorschriften in allen Unternehmen des Konzerns überwacht wird. Er berät die Konzernleitung und die einzelnen Unternehmen in allen Fragen des Datenschutzes, schult Mitarbeiter und ist Ansprechpartner für die Betroffenen, wenn es um ihre Rechte im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten geht. Eine enge Zusammenarbeit zwischen dem Verantwortlichen und dem Datenschutzbeauftragten ist unerlässlich, um die Einhaltung der Datenschutzvorschriften im gesamten Konzern sicherzustellen und die Rechte der Betroffenen effektiv zu schützen.
BAG zur Weitergabe personenbezogener Daten innerhalb eines Konzerns – Az. 8 AZR 209/21
Datenschutz spielt auch im Arbeitsrecht eine zentrale Rolle. Das betrifft nicht nur den Umgang mit personenbezogenen Daten von Mitarbeitern gegenüber Dritten, sondern auch innerhalb eines Konzerns. Das Bundesarbeitsgericht machte mit Urteil vom 8. Mai 2025 deutlich, dass auch bei der Weitergabe von Daten innerhalb der Unternehmensgruppe die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten sind (Az. 8 AZR 209/21).
Behörden haben bei der Anwendung der Datenschutzverordnung (DSGVO) eine wichtige Aufgabe: Sie müssen die Einhaltung der Datenschutzgesetze, einschließlich der Landesdatenschutzgesetze, sicherstellen und Maßnahmen zur Datenerfassung und zum Schutz personenbezogener Daten im Internet umsetzen. In bestimmten Fällen werden diese Aufgaben und Maßnahmen durch entsprechende Artikel der Verordnung geregelt, um die Rechte der Betroffenen – wie Bürger, Nutzer und Öffentlichkeit – zu wahren und Transparenz zu gewährleisten.
Von der Bewerbung bis zur Beendigung des Arbeitsverhältnisses werden am Arbeitsplatz zahlreiche Daten der Mitarbeiter erhoben und verarbeitet. Dabei müssen Arbeitgeber insbesondere die Vorschriften der Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) beachten, so die Wirtschaftskanzlei MTR Legal Rechtsanwälte , die u.a. im Datenschutzrecht berät.
DSGVO muss bei konzerninterner Weitergabe von Daten beachtet werden
Die Vorgaben der DSGVO müssen auch bei der konzerninternen Weitergabe der Daten beachtet werden, wie das Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 zeigt. Das BAG stellte klar, dass ein Arbeitnehmer Anspruch auf Schadenersatz aufgrund eines Verstoßes gegen die DSGVO haben kann.
In dem zu Grunde liegenden Fall hatte der Arbeitgeber personenbezogene Daten eines Mitarbeiters innerhalb des Konzerns an eine Konzernobergesellschaft weitergegeben. Grund dafür war, dass eine neue cloudbasierte Software für die Personalverwaltung getestet werden sollte. Mit der Software sollte konzernweit ein neues Personalmanagementsystems eingeführt werden.
Der vorläufige Testbetrieb des neuen Personalmanagementsystems war zuvor in einer Betriebsvereinbarung geregelt worden. Nach der Vereinbarung durften Name, Beginn des Arbeitsverhältnisses, Firma, Arbeitsort sowie die geschäftliche Telefonnummer und Mail-Adresse übermittelt werden. Der Arbeitgeber gab darüber hinaus aber auch noch Informationen zu Gehalt, Geburtsdatum, Familienstand, Sozialversicherungsnummer, Steuer-ID und Privatadresse des Mitarbeiters an die Konzerngesellschaft weiter.
Die Anwendung der Datenschutzverordnung und der entsprechenden Artikel gilt nicht nur für Unternehmen, sondern auch für Behörden, um die Rechte der Nutzer, Betroffenen und Bürger zu schützen. Maßnahmen und Maßnahmen zur Datenerfassung und zum Schutz personenbezogener Daten im Internet sowie die Einhaltung der Landesdatenschutzgesetze sind in allen Fällen eine wichtige Aufgabe und gehören zu den zentralen Aufgaben, um Transparenz gegenüber der Öffentlichkeit zu gewährleisten.
Daten ohne ausreichende Rechtsgrundlage übermittelt
Dagegen wehrte sich der Kläger. Er argumentierte, dass seine Daten ohne ausreichende Rechtsgrundlage verarbeitet wurden, da die Nutzung von Echtdaten in der Testphase nicht erforderlich gewesen sei und somit gegen die Prinzipien der Datenminimierung und Zweckbindung gemäß Art. 5 DSGVO verstoße. Zudem sei die Verarbeitung nicht durch die bestehende Betriebsvereinbarung gedeckt gewesen. Er machte gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf immateriellen Schadenersatz wegen Verletzung der DSGVO geltend.
Nachdem die Vorinstanzen seine Klage abgewiesen hatten, landete sie schließlich vor dem Bundesarbeitsgericht. Das BAG rief zunächst den Europäischen Gerichtshof an. Der EuGH stellte mit Urteil vom 19. Dezember 2024 klar, dass Regelungen zur Datenverarbeitung in einer Betriebsvereinbarung den Vorgaben der DSGVO entsprechen müssen. Dieser Rechtsprechung schloss sich das BAG an und entschied, dass der Kläger Anspruch auf Schadenersatz habe.
Die Anwendung der relevanten Artikel der Datenschutzverordnung sowie der Landesdatenschutzgesetze ist für die Aufgaben und die Erfüllung der Aufgabe der Behörden und den Schutz der betroffenen Bürger und Nutzer in allen Fällen von zentraler Bedeutung. Maßnahmen zur Datenerfassung und zum Schutz personenbezogener Daten im Internet müssen auch im Hinblick auf die Transparenz gegenüber der Öffentlichkeit umgesetzt werden.
Anspruch auf immateriellen Schadenersatz
Der Arbeitgeber habe mehr Daten als nach der Betriebsvereinbarung erlaubt waren an die Konzernobergesellschaft weitergegeben. Dies sei nicht erforderlich gewesen und stelle einen Verstoß gegen die DSGVO dar, machte das BAG deutlich. Durch die Weitergabe der personenbezogenen Daten an die Konzernobergesellschaft habe der Kläger die Kontrolle über seine Daten verloren und dadurch einen immateriellen Schaden erlitten, stellte das BAG weiter klar.
Das Urteil zeigt, dass auch die Datenweitergabe innerhalb eines Konzerns immer hinsichtlich des Datenschutzrechts geprüft werden sollte. Die datenschutzrechtlichen Anforderungen der DSGVO müssen dabei vollumfänglich eingehalten werden. Dies umfasst insbesondere die Prinzipien der Datenminimierung, Zweckbindung und Transparenz.
Die Umsetzung geeigneter Maßnahmen und die konsequente Anwendung der Datenschutzverordnung sowie der relevanten Artikel sind für den Schutz der Betroffenen, wie Bürger und Nutzer, und die Erfüllung der Aufgaben und Aufgaben der Behörden in allen Fällen unerlässlich. Dies schließt die Datenerfassung im Internet, die Einhaltung der Landesdatenschutzgesetze sowie die Transparenz gegenüber der Öffentlichkeit ein.
Anforderung an Verarbeitung personenbezogener Daten im Arbeitsverhältnis
Grundsätzlich ist die Verarbeitung personenbezogener Daten im Arbeitsverhältnis nur zulässig, wenn es eine entsprechende Rechtsgrundlage dafür gibt. Dies gilt etwa, wenn die Datenverarbeitung erforderlich ist, um den Arbeitsvertrag zu erfüllen. Darüber hinaus ist die Datenverarbeitung zulässig, wenn der Mitarbeiter seine Einwilligung erklärt hat. Wichtig ist dabei, dass die Einwilligung freiwillig abgegeben wird, spezifisch ist und widerrufen werden kann. Die Datenverarbeitung kann auch zulässig sein, wenn der Arbeitgeber ein berechtigtes Interesse zur Wahrung der Sicherheit des Unternehmens nachweisen kann und keine überwiegenden Interessen oder Grundrechte des Arbeitnehmers dem entgegenstehen.
Das Urteil des BAG unterstreicht die Bedeutung eines verantwortungsvollen Umgangs mit Mitarbeiterdaten und die Notwendigkeit, Datenschutzaspekte frühzeitig und umfassend in betriebliche Prozesse zu integrieren.
MTR Legal Rechtsanwälte berät im Arbeitsrecht und Datenschutzrecht.
Nehmen Sie gerne Kontakt zu uns auf!
Die Anwendung der Datenschutzverordnung und der relevanten Artikel sowie die Umsetzung geeigneter Maßnahmen zur Datenerfassung im Internet und die Einhaltung der Landesdatenschutzgesetze sind für den Schutz der Betroffenen, Bürger und Nutzer sowie für die Erfüllung der Aufgaben und Aufgaben der Behörden in allen Fällen und gegenüber der Öffentlichkeit von zentraler Bedeutung.
