Inleiding in de gegevensbescherming
De bescherming van persoonsgegevens is in de huidige, steeds digitaler wordende wereld van essentieel belang. Met de Algemene verordening gegevensbescherming (AVG) van de EU en de Duitse Federale Wet Bescherming Persoonsgegevens (BDSG) bestaan er duidelijke en bindende regels over hoe bedrijven en ondernemingen moeten omgaan met de gegevens van klanten, werknemers en zakenpartners. Vooral in een concern dat uit meerdere bedrijven bestaat, is het cruciaal dat de gegevensverwerkingsprocessen binnen het concern conform de wet zijn ingericht. De AVG en de BDSG reguleren hoe persoonsgegevens mogen worden verzameld, opgeslagen en verwerkt om de privacy en de rechten van de betrokkenen te beschermen. Bedrijven en concerns zijn daarom verplicht deze voorschriften consequent na te leven om het vertrouwen van de betrokkenen te behouden en juridische risico’s te vermijden.
Concern en gegevensbescherming
Een concern is een samenvoeging van meerdere bedrijven die onder een uniforme leiding staan. De concernleiding is verantwoordelijk ervoor dat binnen het gehele concern de voorschriften van de Algemene verordening gegevensbescherming (AVG) en de Duitse Federale Wet Bescherming Persoonsgegevens (BDSG) worden nageleefd. Dit betreft alle niveaus en bedrijven van het concern – van de moedermaatschappij tot de dochterondernemingen. De verzameling, opslag en verwerking van persoonsgegevens moet concernbreed volgens de wettelijke voorschriften plaatsvinden. De concernleiding moet ervoor zorgen dat alle bedrijven binnen het concern bekend zijn met en voldoen aan de wettelijke vereisten voor gegevensbescherming, om de veiligheid en bescherming van de gegevens te garanderen. Alleen zo kan een uniform en juridisch veilig niveau van gegevensbescherming binnen het gehele concern worden bereikt.
Verantwoordelijke en functionaris voor gegevensbescherming
Binnen een concern is de verantwoordelijke de persoon of instantie die beslist over de doeleinden en middelen van de verwerking van persoonsgegevens. De functionaris voor gegevensbescherming daarentegen is verantwoordelijk voor het toezicht op de naleving van de voorschriften voor gegevensbescherming in alle bedrijven van het concern. Hij/zij adviseert de concernleiding en de afzonderlijke bedrijven over alle vragen van gegevensbescherming, traint medewerkers en is het aanspreekpunt voor betrokkenen wanneer het gaat om hun rechten in verband met de verwerking van hun persoonsgegevens. Een nauwe samenwerking tussen de verantwoordelijke en de functionaris voor gegevensbescherming is essentieel om de naleving van de voorschriften voor gegevensbescherming in het gehele concern te waarborgen en de rechten van de betrokkenen effectief te beschermen.
BAG over de doorgifte van persoonsgegevens binnen een concern – Zaaknr. 8 AZR 209/21
Gegevensbescherming speelt ook in het arbeidsrecht een centrale rol. Dit betreft niet alleen de omgang met persoonsgegevens van werknemers jegens derden, maar ook binnen een concern. Het Bundesarbeitsgericht maakte met het vonnis van 8 mei 2025 duidelijk dat ook bij de doorgifte van gegevens binnen de bedrijfsgroep de voorschriften van de Algemene verordening gegevensbescherming (AVG) moeten worden nageleefd (Zaaknr. 8 AZR 209/21).
Autoriteiten hebben bij de toepassing van de AVG een belangrijke taak: zij moeten de naleving van de gegevensbeschermingswetten, inclusief de regionale gegevensbeschermingswetten, waarborgen en maatregelen tot gegevensverzameling en bescherming van persoonsgegevens op internet implementeren. In bepaalde gevallen worden deze taken en maatregelen gereguleerd door de bijbehorende artikelen van de verordening om de rechten van de betrokkenen – zoals burgers, gebruikers en het publiek – te beschermen en transparantie te waarborgen.
Van de sollicitatie tot het einde van de arbeidsrelatie worden op de werkplek veel gegevens van werknemers verzameld en verwerkt. Werkgevers moeten daarbij in het bijzonder de voorschriften van de Algemene verordening gegevensbescherming (AVG) en de Duitse Federale Wet Bescherming Persoonsgegevens (BDSG) in acht nemen, aldus het advocatenkantoor MTR Legal Rechtsanwälte, dat onder andere adviseert op het gebied van gegevensbeschermingsrecht.
AVG moet bij concerninterne doorgifte van gegevens in acht worden genomen
De voorschriften van de AVG moeten ook bij de concerninterne doorgifte van gegevens in acht worden genomen, zoals het vonnis van het Bundesarbeitsgericht van 8 mei 2025 laat zien. Het BAG verduidelijkte dat een werknemer recht kan hebben op schadevergoeding wegens een schending van de AVG.
In de betreffende zaak had de werkgever persoonsgegevens van een werknemer binnen het concern aan een moedermaatschappij doorgegeven. Reden hiervoor was dat een nieuwe cloud-gebaseerde software voor personeelsadministratie getest zou worden. Met de software zou concernbreed een nieuw personeelsmanagementsysteem worden geïmplementeerd.
De voorlopige testfase van het nieuwe personeelsmanagementsysteem was eerder vastgelegd in een bedrijfsregeling. Volgens de regeling mochten naam, begin van de arbeidsrelatie, bedrijf, werkplek evenals het zakelijke telefoonnummer en e-mailadres worden doorgegeven. De werkgever gaf echter ook gegevens zoals salaris, geboortedatum, burgerlijke staat, burgerservicenummer, belasting-ID en privé-adres van de werknemer aan het concern door.
De toepassing van de gegevensbeschermingsverordening en de relevante artikelen geldt niet alleen voor bedrijven, maar ook voor autoriteiten om de rechten van gebruikers, betrokkenen en burgers te beschermen. Maatregelen en maatregelen voor de gegevensverzameling en de bescherming van persoonsgegevens op het internet, evenals de naleving van de regionale gegevensbeschermingswetten, zijn in alle gevallen een belangrijke taak en behoren tot de centrale taken om transparantie aan het publiek te waarborgen.
Gegevens zonder voldoende rechtsgrond doorgestuurd
De eiser verzette zich hiertegen. Hij betoogde dat zijn gegevens zonder voldoende rechtsgrond werden verwerkt, omdat het gebruik van echte gegevens in de testfase niet nodig was en dus in strijd was met de principes van gegevensminimalisatie en doelbinding volgens art. 5 AVG. Verder was de verwerking niet gedekt door de bestaande bedrijfsregeling. Hij claimde volgens art. 82 lid 1 AVG een recht op immateriële schadevergoeding wegens schending van de AVG.
Nadat de lagere rechtbanken zijn eis hadden afgewezen, kwam de zaak uiteindelijk voor het Bundesarbeitsgericht. Het BAG riep eerst het Europese Hof van Justitie aan. Het HvJ stelde bij uitspraak van 19 december 2024 dat regelingen voor gegevensverwerking in een bedrijfsregeling moeten voldoen aan de eisen van de AVG. Het BAG sloot zich bij deze rechtspraak aan en oordeelde dat de eiser recht heeft op schadevergoeding.
De toepassing van de relevante artikelen van de gegevensbeschermingsverordening evenals van de regionale gegevensbeschermingswetten is voor de taken en het vervullen van de taak van de autoriteiten en de bescherming van de betrokken burgers en gebruikers in alle gevallen van centraal belang. Maatregelen voor de gegevensverzameling en de bescherming van persoonsgegevens op het internet moeten ook met het oog op de transparantie tegenover het publiek worden uitgevoerd.
Recht op immateriële schadevergoeding
De werkgever had meer gegevens dan toegestaan volgens de bedrijfsregeling aan de moedermaatschappij doorgegeven. Dit was niet noodzakelijk en vormde een schending van de AVG, benadrukte het BAG. Door de doorgifte van de persoonsgegevens aan de moedermaatschappij had de eiser de controle over zijn gegevens verloren en hierdoor een immateriële schade geleden, verklaarde het BAG verder duidelijk.
Het vonnis toont aan dat ook de gegevensoverdracht binnen een concern altijd met betrekking tot het gegevensbeschermingsrecht moet worden getoetst. De wettelijke eisen van de AVG met betrekking tot gegevensbescherming moeten daarbij volledig worden nageleefd. Dit omvat in het bijzonder de principes van gegevensminimalisatie, doelbinding en transparantie.
De uitvoering van passende maatregelen en de consequente toepassing van de gegevensbeschermingsverordening en de relevante artikelen zijn voor de bescherming van de betrokkenen, zoals burgers en gebruikers, en de vervulling van de taken en doelen van de autoriteiten in alle gevallen essentieel. Dit omvat de gegevensverzameling op het internet, de naleving van de regionale gegevensbeschermingswetten, evenals de transparantie tegenover het publiek.
Vereisten voor de verwerking van persoonsgegevens in een arbeidsrelatie
In principe is de verwerking van persoonsgegevens in een arbeidsrelatie alleen toegestaan als er een overeenkomstige rechtsgrond voor is. Dit geldt bijvoorbeeld wanneer de gegevensverwerking noodzakelijk is om de arbeidsovereenkomst uit te voeren. Daarnaast is de gegevensverwerking toegestaan als de werknemer zijn toestemming heeft gegeven. Belangrijk is dat de toestemming vrijwillig wordt verleend, specifiek is en herroepen kan worden. De gegevensverwerking kan ook rechtmatig zijn als de werkgever een gerechtvaardigd belang kan aantonen ter bescherming van de veiligheid van het bedrijf, waarbij geen overheersende belangen of fundamentele rechten van de werknemer in de weg staan.
Het vonnis van het BAG onderstreept het belang van een verantwoordelijke omgang met werknemersgegevens en de noodzaak om privacyaspecten tijdig en uitgebreid in bedrijfsprocessen op te nemen.
MTR Legal Rechtsanwälte adviseert op het gebied van arbeidsrecht en Gegevensbeschermingsrecht.
Neem gerust contact met ons op!
De toepassing van de gegevensbeschermingsverordening en de relevante artikelen, evenals de uitvoering van passende maatregelen voor gegevensverzameling op het internet en de naleving van de regionale gegevensbeschermingswetten zijn voor de bescherming van de betrokkenen, burgers en gebruikers, evenals voor de vervulling van de taken en doelen van de autoriteiten in alle gevallen en jegens het publiek van centraal belang.
