Введение в защиту данных
Защита персональных данных имеет центральное значение в современном, всё более цифровом мире. С Общим регламентом по защите данных (GDPR) ЕС и Федеральным законом о защите данных (BDSG) существуют четкие и обязательные правила, как компании и корпорации должны обращаться с данными клиентов, сотрудников и деловых партнеров. Особенно в концерне, состоящем из нескольких компаний, решающее значение имеет обеспечение правомерности процессов обработки данных внутри концерна. GDPR и BDSG регулируют, как можно собирать, хранить и обрабатывать персональные данные, чтобы защитить частную жизнь и права затронутых лиц. Компании и корпорации обязаны строго соблюдать эти правила, чтобы поддерживать доверие затронутых лиц и избегать юридических рисков.
Концерн и защита данных
Концерн — это объединение нескольких компаний, которые находятся под единым руководством. Руководство концерна несет ответственность за то, чтобы в рамках всего концерна соблюдались требования Общего регламента по защите данных (GDPR) и Федерального закона о защите данных (BDSG). Это касается всех уровней и компаний концерна — от материнской компании до дочерних предприятий. Сбор, хранение и обработка персональных данных должны осуществляться по всему концерну в соответствии с законодательными требованиями. Руководство концерна должно обеспечить, чтобы все компании в концерне знали и исполняли требования законодательства о защите данных, чтобы гарантировать безопасность и защиту данных. Только таким образом можно достичь единого и правового уровня защиты данных в рамках всего концерна.
Ответственный и уполномоченный по защите данных
В рамках концерна ответственное лицо — это лицо или орган, который определяет цели и средства обработки персональных данных. В отличие от этого, уполномоченный по защите данных отвечает за мониторинг соблюдения правил защиты данных во всех компаниях концерна. Он консультирует руководство концерна и отдельные компании по всем вопросам защиты данных, обучает сотрудников и является контактным лицом для субъектов данных по вопросам их прав в связи с обработкой их персональных данных. Тесное сотрудничество между ответственным лицом и уполномоченным по защите данных является необходимым, чтобы обеспечить соблюдение правил защиты данных в рамках всего концерна и эффективно защищать права субъектов данных.
BAG о передаче персональных данных внутри концерна — Az. 8 AZR 209/21
Защита данных также играет центральную роль в трудовом праве. Это касается не только обращения с персональными данными сотрудников по отношению к третьим лицам, но и внутри концерна. Федеральный трудовой суд своим решением от 8 мая 2025 г. ясно дал понять, что также при передаче данных внутри корпоративной группы должны соблюдаться требования Общего регламента по защите данных (GDPR) (Az. 8 AZR 209/21).
Власти играют важную роль в применении регламента защите данных (GDPR): они должны обеспечивать соблюдение законов о защите данных, включая законы о защите данных на уровне земель, и принимать меры по сбору данных и защите персональных данных в Интернете. В определенных случаях эти задачи и меры регулируются соответствующими статьями регламента для соблюдения прав затронутых лиц — таких как граждане, пользователи и общество — и для обеспечения прозрачности.
От подачи заявления о приеме на работу до окончания трудовых отношений на рабочем месте собираются и обрабатываются многочисленные данные сотрудников. При этом работодатели в особенности должны соблюдать положения Общего регламента по защите данных (GDPR), а также Федерального закона о защите данных (BDSG), как это отмечает юридическая фирма MTR Legal Rechtsanwälte , оказывающая консультации в области права защиты данных.
GDPR должен соблюдаться при передаче данных внутри концерна
Требования DSGVO должны также соблюдаться при внутренней передаче данных в концерне, как показывает решение Федерального трудового суда от 8 мая 2025 года. BAG ясно дал понять, что работник может иметь право на возмещение ущерба за нарушение DSGVO.
В рассматриваемом случае работодатель передал персональные данные сотрудника внутри концерна материнской компании. Причиной было то, что должно было быть протестировано новое облачное программное обеспечение для управления персоналом. С помощью программного обеспечения по всему концерну должна была быть внедрена новая система управления персоналом.
Предварительная тестовая эксплуатация новой системы управления персоналом была ранее урегулирована в корпоративном соглашении. В соответствии с соглашением, могли быть переданы имя, начало трудовых отношений, компания, место работы, а также рабочий телефон и электронный адрес. Однако работодатель также передал информацию о зарплате, дате рождения, семейном статусе, номере социального страхования, налоговом идентификаторе и личном адресе сотрудника корпорации.
Применение регламента по защите данных и соответствующих статей касается не только компаний, но и властей, чтобы защитить права пользователей, затронутых лиц и граждан. Меры для сбора данных и защиты персональных данных в Интернете, а также соблюдение законов о защите данных на уровне земель являются важной задачей и относятся к центральным задачам, чтобы обеспечить прозрачность по отношению к общественности.
Передача данных без достаточной правовой основы
Истец возражал против этого. Он утверждал, что его данные были обработаны без достаточной правовой основы, так как использование реальных данных на этапе тестирования не было необходимо и, следовательно, нарушало принципы минимизации данных и целевой обработки в соответствии со статьей 5 DSGVO. Кроме того, обработка не была покрыта существующим корпоративным соглашением. Он предъявил требование о взыскании нематериального ущерба согласно статье 82, параграфу 1 DSGVO из-за нарушения DSGVO.
После того, как нижестоящие инстанции отклонили его иск, он в конечном итоге попал в Федеральный трудовой суд. BAG сначала обратился в Европейский Суд. Европейский Суд в своем решении от 19 декабря 2024 г. ясно указал, что положения о обработке данных в корпоративном соглашении должны соответствовать требованиям GDPR. BAG поддержал это суждение и постановил, что истец имеет право на возмещение вреда.
Применение соответствующих статей регламента по защите данных и законов о защите данных на уровне земель имеет центральное значение для задач и выполнения задач властей, а также для защиты затронутых граждан и пользователей во всех случаях. Меры для сбора данных и защиты персональных данных в Интернете должны также реализовываться с точки зрения прозрачности в отношении общественности.
Право на нематериальное возмещение ущерба
Работодатель передал материнской компании больше данных, чем это было предусмотрено корпоративным соглашением. Это было не необходимо и представляло собой нарушение DSGVO, указал BAG. Передача персональных данных материнской компании лишила истца контроля над его данными и тем самым принесла нематериальный ущерб, заявил далее BAG.
Решение показывает, что даже передача данных внутри концерна всегда должна проверяться с точки зрения законодательства о защите данных. Требования законодательства о защите данных GDPR должны быть соблюдены в полной мере. Это включает в себя, в частности, принципы минимизации данных, целевой обработки и прозрачности.
Реализация соответствующих мер и последовательное применение регламента по защите данных, а также соответствующих статей необходимы для защиты затронутых лиц, таких как граждане и пользователи, а также для выполнения задач органов во всех случаях. Это включает в себя сбор данных в Интернете, соблюдение законов о защите данных на уровне земель и прозрачность в отношении общественности.
Требования к обработке персональных данных в трудовых отношениях
В принципе, обработка персональных данных в трудовых отношениях допустима только в том случае, если существует соответствующая правовая основа для этого. Это касается, например, если обработка данных необходима для выполнения трудового договора. Кроме того, обработка данных допустима, если сотрудник дал свое согласие. Важно, чтобы согласие было дано добровольно, носило специфический характер и могло быть отозвано. Обработка данных также может быть допустима, если работодатель может обосновать законный интерес в обеспечении безопасности компании, и не существуют значимые интересы или основные права работника, которые этому противоречили бы.
Решение BAG подчеркивает важность ответственного обращения с данными сотрудников и необходимость раннего и всестороннего интегрирования аспектов защиты данных в производственные процессы.
MTR Legal Rechtsanwälte консультирует по трудовому праву и право на защиту данных.
Пожалуйста, свяжитесь с нами!
Применение регламента по защите данных и соответствующих статей, а также реализация соответствующих мер по сбору данных в Интернете и соблюдение законов о защите данных на уровне земель имеют центральное значение для защиты затронутых лиц, граждан и пользователей, а также для выполнения задач органов во всех случаях и в отношении общественности.
