データ保護の導入
個人データの保護は、今日のますますデジタル化される世界において極めて重要です。EUの一般データ保護規則(GDPR)と連邦データ保護法(BDSG)により、企業や企業グループが顧客、従業員、ビジネスパートナーのデータをどのように取り扱うかについて明確で拘束力のある規則が存在します。特に複数の企業から成る企業グループにおいて、グループ内のデータ処理プロセスが法的に準拠して設計されることが重要です。GDPRとBDSGは、個人データが収集、保存、処理される方法を規制し、当事者のプライバシーと権利を保護します。したがって、企業や企業グループはこれらの規則を常に順守し、当事者の信頼を維持し、法的リスクを回避する義務があります。
企業グループとデータ保護
企業グループは、統一された指導のもとにいくつかの企業が結集したものです。グループの指導部は、企業グループ全体で一般データ保護規則(GDPR)および連邦データ保護法(BDSG)の指示が順守される責任を担います。これは、持株会社から子会社に至るまで、グループのすべてのレベルと企業に関係します。個人データの収集、保存、処理は、法的規定に従ってグループ全体で行わなければなりません。グループ指導部は、グループ内のすべての企業がデータ保護法令の要件を理解し、実施することを保証し、データの安全性と保護を確保しなければなりません。こうすることで、グループ全体で統一的かつ法律的に安全なデータ保護レベルが達成できます。
責任者とデータ保護責任者
企業グループ内では、責任者は個人データの処理目的および手段を決定する者または機関です。一方、データ保護責任者は、グループ内のすべての企業でデータ保護規則の順守が監視されることを保証します。彼はグループの指導部や各企業に対してデータ保護に関するすべての質問にアドバイスし、従業員を教育し、個人データの処理に関連する権利について当事者の窓口となります。責任者とデータ保護責任者の緊密な協力は、グループ全体でデータ保護規則の順守を確保し、当事者の権利を効果的に保護するために不可欠です。
BAG の企業グループ内の個人データの伝達に関する判例 – Az. 8 AZR 209/21
労働法においても、データ保護は重要な役割を果たします。これは、第三者に対する従業員の個人データの取り扱いに限らず、企業グループ内でも同様です。連邦労働裁判所は、2025年5月8日の判決で、企業グループ内でのデータの伝達においても、一般データ保護規則(GDPR)の要件を順守しなければならないことを明確にしました(Az. 8 AZR 209/21)。
監督機関は、データ保護規則(GDPR)の適用において重要な役割を担っており、データ保護法を、地方データ保護法を含めて順守させ、インターネット上での個人データの収集や保護のための対策を実施しなければなりません。特定の場合には、規則の関連する条項に基づいてこれらの任務および措置が管理され、当事者、つまり市民、利用者、及び公衆の権利を守り、透明性を確保することが求められます。
応募から雇用の終了までの間、職場では多くの従業員データが収集され、処理されます。これにおいて、特に雇用主は一般データ保護規則(GDPR)及び連邦データ保護法(BDSG)の規定を遵守しなければならないと、法律事務所MTR Legal Rechtsanwälteが指摘しています。
GDPRは企業グループ内でのデータ伝達においても考慮されなければならない
GDPRの要件は、企業グループ内でのデータ伝達においても順守されなければならないことを、2025年5月8日の連邦労働裁判所の判決が示しています。この判決では、労働者がGDPRに違反した場合に損害賠償を求める権利があるとしています。
このケースの背景には、雇用主が従業員の個人データを企業グループ内で持株会社に提供した問題がありました。理由は、新しいクラウドベースの人事管理ソフトウェアをテストするためでした。このソフトウェアを用いて、企業グループ全体で新しい人事管理システムが導入される予定でした。
新しい人事管理システムの予備的なテスト運用は、事前に事業協約で規定されていました。合意の下では、名前、雇用関係の開始、会社、勤務地、業務電話番号、メールアドレスを提供することができましたが、雇用主はさらに、給与、出生年月日、家族構成、社会保障番号、税務ID、私用住所の情報も企業グループに提供しました。
データ保護規則および関連する条項の適用は、企業だけでなく、利用者、当事者、市民の権利を守るための措置とインターネット上の個人データ保護にとっても重要であり、すべてのケースにおいて透明性を維持するための基本的な任務です。
十分な法的根拠のないデータの送信
それに対して、原告が抵抗しました。彼は、データの取り扱いに十分な法的根拠がなく、試験段階での本来のデータの使用が必要ではなく、GDPR第5条に基づくデータ最小化と目的を制限する原則に違反していると主張しました。また、既存の事業協約によって、その処理がカバーされていなかったことも指摘しました。彼は、GDPR第82条第1項に基づいて、GDPRの違反による非財産的損害賠償を請求しました。
下級審が彼の訴訟を却下した後、最終的には連邦労働裁判所に訴えました。BAGはまず、欧州司法裁判所に訴えました。ECJは2024年12月19日の判決で、事業協約におけるデータ処理の規則がGDPRの要件に従う必要があることを明確にし、BAGはこの判例に従い、原告に損害賠償を求める権利があると決定しました。
関連するデータ保護規則の適用と地方データ保護法の順守は、すべてのケースにおいて国民の権利保護と利用者の権利を満たすための基本的な任務であり、透明性の維持には不可欠です。特にインターネット上のデータ収集と個人データ保護対策の実施が重要です。
非財産的損害賠償の請求
雇用主は、事業協約で許可されている以上のデータを企業統括会社に提供していました。これは必要ではなく、GDPRに対する違反であるとBAGは指摘しました。企業統括会社への個人データの送信によって、原告はデータの管理権を失い、その結果、非財産的損害を被ったとBAGはさらに明確にしました。
この判決は、企業グループ内でのデータ送信においても、常にデータ保護法を順守する必要があることを示しています。GDPRのデータ保護要件は、データ最小化、目的拘束性、透明性の原則を含めて、すべて順守される必要があります。
適切な措置の実施とデータ保護規則および関連する条項の徹底的な適用は、当事者、市民、利用者の保護、および当局の任務の遂行に不可欠であり、特にインターネット上でのデータ収集、地方データ保護法の順守、および公共への透明性の確保を含みます。
労働関係における個人データ処理の要件
原則として、労働関係における個人データの処理は、適切な法的根拠がある場合にのみ許可されます。たとえば、データ処理が雇用契約を履行するために必要である場合です。さらに、従業員が同意を表明した場合には、データ処理が許可されます。このとき、同意が自発的であり、特定的であり、撤回可能であることが重要です。さらに、雇用主が会社の安全を維持するための正当な利益を証明でき、労働者の優越的な権利または基本的権利によってそれが妨げられない場合にも、データ処理が許可されることがあります。
BAGの判決は、従業員データの責任ある取り扱いと、データ保護の側面を早期かつ包括的に会社のプロセスに組み込む必要性を強調しています。
MTR Legal Rechtsanwälte は、労働法および データ保護法に関する 。
どうぞお気軽に ご連絡 ください。
データ保護規則の適用と関連する条項、またインターネット上でのデータ収集のための適切な措置の実施、および地方データ保護法の順守は、被害者、市民、利用者の保護、また当局の任務の遂行において、すべてのケースにおいて、公共に対する透明性を維持するために、極めて重要です。
