Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Personvern i konsern

  • Lesezeit: 4 Min

News  >  Datenschutz  >  Personvern i konsern

Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Steuerrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Home-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Introduksjon til personvern

Beskyttelsen av personopplysninger er av avgjørende betydning i dagens stadig mer digitaliserte verden. Med EUs personvernforordning (GDPR) og den føderale personvernloven (BDSG) finnes det klare og bindende regler for hvordan selskaper og konserner må håndtere dataene til kunder, ansatte og forretningspartnere. Spesielt i en konsern bestående av flere selskaper er det avgjørende at databehandlingsprosessene innen konsernet er i samsvar med loven. GDPR og BDSG regulerer hvordan personopplysninger kan innhentes, lagres og behandles for å beskytte personvernet og rettighetene til de berørte personene. Selskaper og konserner er derfor forpliktet til å overholde disse reglene konsekvent for å opprettholde tilliten til de berørte og unngå juridiske risikoer.

Konsern og personvern

Et konsern er en sammenslutning av flere selskaper som er under felles ledelse. Konsernledelsen har ansvaret for at retningslinjene i personvernforordningen (GDPR) og den føderale personvernloven (BDSG) overholdes i hele konsernet. Dette gjelder på alle nivåer og i alle selskapene i konsernet – fra morselskapet til datterselskapene. Innsamling, lagring og behandling av personopplysninger må skje konsernverden i henhold til lovbestemmelsene. Konsernledelsen må sørge for at alle selskapene i konsernet kjenner til og implementerer de personvernrettslige kravene for å sikre sikkerheten og beskyttelsen av dataene. Bare slik kan et enhetlig og lovlig personvernivå oppnås i hele konsernet.

Ansvarlig og personvernombud

Innen en konsern er den ansvarlige personen eller enheten som bestemmer formålene og midlene for behandlingen av personopplysninger. Personvernombudet har derimot ansvar for å overvåke at personvernreglene overholdes i alle konsernselskapene. Han eller hun gir råd til konsernledelsen og de enkelte selskapene i alle spørsmål om personvern, trener ansatte og er kontaktperson for de berørte når det gjelder deres rettigheter i forbindelse med behandlingen av deres personopplysninger. Et nært samarbeid mellom den ansvarlige og personvernombudet er avgjørende for å sikre at personvernreglene i hele konsernet overholdes og rettighetene til de berørte effektivt beskyttes.

BAG om videreformidling av personopplysninger innen en konsern – Az. 8 AZR 209/21

Personvern spiller også en sentral rolle i arbeidsretten. Dette gjelder ikke bare håndteringen av personopplysninger fra ansatte overfor tredjeparter, men også innen en konsern. Den føderale arbeidsretten gjorde med dommen fra 8. mai 2025 klart at retningslinjene til personvernforordningen (GDPR) også skal overholdes ved overføring av data innenfor konserngrupper (Az. 8 AZR 209/21).

Myndigheter har en viktig rolle i anvendelsen av personvernforordningen (GDPR): de må sikre overholdelse av personvernlovene, inkludert nasjonale personvernlovgivninger, og iverksette tiltak for datainnsamling og beskyttelse av personopplysninger på Internett. I visse tilfeller reguleres disse oppgavene og tiltakene av tilsvarende artikler i forordningen for å bevare rettighetene til de berørte – som borgere, brukere og offentlighet – og sikre åpenhet.

Fra søknaden til avslutningen av ansettelsesforholdet samles det inn og behandles et stort antall data om ansatte på arbeidsplassen. Arbeidsgivere må spesielt overholde bestemmelsene i EUs personvernforordning (GDPR) og den føderale personvernloven (BDSG), ifølge advokatfirmaet MTR Legal, som bl.a. gir råd om personvernlov.

GDPR må overholdes ved intern overføring av data i konsern

Retningslinjene i GDPR må også overholdes ved intern overføring av data i konsern, slik dommen fra den føderale arbeidsretten den 8. mai 2025 viser. BAG fastslo at en arbeidstaker kan ha krav på erstatning for brudd på GDPR.

I den underliggende saken hadde arbeidsgiveren overført personopplysninger om en ansatt innen konsernet til et overordnet konsernselskap. Årsaken var at en ny skybasert programvare for personaladministrasjon skulle testes. Med programvaren skulle et nytt personaladministrasjonssystem innføres over hele konsernet.

Den foreløpige testdriften av det nye personaladministrasjonssystemet ble tidligere regulert i en bedriftsavtale. I henhold til avtalen kunne navn, startdato for arbeidsforholdet, firma, arbeidssted samt den ansattes forretningsnummer og e-postadresse overføres. Arbeidsgiveren overførte derimot også opplysninger om lønn, fødselsdato, sivilstatus, personnummer, skatte-ID og privatadresse til konsernselskapet.

Anvendelsen av personvernforordningen og tilsvarende artikler gjelder ikke bare for selskaper, men også for myndigheter for å beskytte rettighetene til brukere, berørte og borgere. Tiltak for datainnsamling og beskyttelse av personopplysninger på Internett, samt overholdelse av nasjonale personvernlovgivninger, er en viktig oppgave i alle saker og inngår i sentrale oppgaver for å sikre åpenhet overfor offentligheten.

Data overført uten tilstrekkelig rettsgrunnlag

Dette motsatte saksøker seg. Han argumenterte med at dataene hans ble behandlet uten tilstrekkelig rettsgrunnlag, ettersom bruken av faktiske data i testfasen ikke var nødvendig og dermed brøt med prinsippene om dataminimering og formålsbegrensning i henhold til Art. 5 GDPR. I tillegg var ikke behandlingen dekket av den eksisterende bedriftsavtalen. Han krevde i henhold til Art. 82 Abs. 1 GDPR immateriell erstatning for brudd på GDPR.

Etter at de lavere rettsinstansene hadde avvist hans sak, endte den til slutt i den føderale arbeidsretten. BAG ba først EU-domstolen om en vurdering. EU-domstolen klarla med dom den 19. desember 2024 at reglement for databehandling i en bedriftsavtale må oppfylle kravene i GDPR. Denne rettspraksisen sluttet BAG seg til og bestemte at saksøker har krav på erstatning.

Anvendelsen av relevante artikler i personvernforordningen og nasjonale personvernlovgivninger er avgjørende for utførelsen av myndighetenes oppgaver og for beskyttelsen av de berørte borgerne og brukerne i alle saker. Tiltak for datainnsamling og beskyttelse av personopplysninger på Internett må også gjennomføres med hensyn til åpenhet overfor offentligheten.

Krav om immateriell erstatning

Arbeidsgiveren hadde overført flere data enn tillatt i henhold til bedriftsavtalen til det overordnede konsernselskapet. Dette var ikke nødvendig og utgjorde et brudd på GDPR, understreket BAG. Ved å overføre personopplysningene til det overordnede konsernselskapet hadde saksøker mistet kontrollen over sine data og led tap av immateriell art, slo BAG videre fast.

Dommen viser at dataoverføring også innen en konsern alltid bør vurderes med hensyn til personvernretten. Kravene i GDPR må overholdes fullt ut. Dette inkluderer spesielt prinsippene om dataminimering, formålsbegrensning og åpenhet.

Gjennomføringen av egnede tiltak og den konsekvente anvendelsen av personvernforordningen samt relevante artikler er uunnværlig for å beskytte de berørte, som borgere og brukere, og for å utføre myndighetenes oppgaver i alle tilfeller. Dette inkluderer datainnsamling på Internett, overholdelse av nasjonale personvernlovgivninger og åpenhet overfor offentligheten.

Krav til behandling av personopplysninger i arbeidsforhold

Behandling av personopplysninger i arbeidsforhold er i utgangspunktet bare tillatt hvis det finnes et tilhørende rettsgrunnlag for dette. Dette gjelder for eksempel når databehandling er nødvendig for å oppfylle arbeidsavtalen. I tillegg er databehandling tillatt hvis arbeidstakeren har gitt sitt samtykke. Det er viktig at samtykket gis frivillig, er spesifikt og kan tilbakekalles. Databehandling kan også være tillatt hvis arbeidsgiveren kan bevise en legitim interesse i å ivareta selskapets sikkerhet og det ikke er overordnede interesser eller rettigheter til arbeidstakeren som taler imot dette.

BAGs dom understreker betydningen av ansvarlig håndtering av ansattdata og nødvendigheten av å integrere personvernaspekter tidlig og omfattende i bedriftsprosesser.

MTR Legal gir råd i arbeidsrett og personvernlov.

Ta gjerne kontakt med oss!

Anvendelse av personvernforordningen og relevante artikler samt implementeringen av egnede tiltak for datainnsamling på Internett og overholdelse av nasjonale personvernlovgivninger er av avgjørende betydning for beskyttelsen av de berørte, borgere og brukere, samt for å oppfylle myndighetenes oppgaver i alle tilfeller og overfor offentligheten.

Sie haben ein rechtliches Anliegen?

Reservieren Sie Ihre Beratung – Wählen Sie Ihren Wunschtermin online oder rufen Sie uns an.
Bundesweite Hotline
Jetzt erreichbar

Jetzt Rückruf buchen

oder schreiben Sie uns!

Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Oft gesucht

Karriere
Offices
Rechtsanwälte
News

Weitere Infos

News
Datenschutz
Impressum

Social Media

Footer--MTR Legal Rechtsanwälte Footer-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte Footer--MTR Legal Rechtsanwälte Footer--MTR Legal Rechtsanwälte

Offices

Berlin
Düsseldorf
Frankfurt
Hamburg
Köln
München
Stuttgart
Bonn

© 2024 MTR Rechtsanwaltsgesellschaft mbH