Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Dataskydd inom företagsgruppen

  • Lesezeit: 4 Min

News  >  Datenschutz  >  Dataskydd inom företagsgruppen

Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Steuerrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Home-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Introduktion till dataskydd

Skyddet av personuppgifter är avgörande i dagens alltmer digitaliserade värld. Med EU:s dataskyddsförordning (GDPR) och den tyska federala dataskyddslagen (BDSG) finns det tydliga och bindande regler för hur företag och koncerner måste hantera data från kunder, anställda och affärspartners. Särskilt i en koncern som består av flera företag är det viktigt att de databehandlande processerna inom koncernen utformas rättsligt. GDPR och BDSG reglerar hur personuppgifter får samlas in, lagras och bearbetas för att skydda privatliv och rättigheter för de berörda personerna. Företag och koncerner är därför skyldiga att konsekvent följa dessa föreskrifter för att bevara förtroendet hos de berörda och undvika juridiska risker.

Koncern och dataskydd

En koncern är en sammanslutning av flera företag som står under en enhetlig ledning. Koncernledningen ansvarar för att dataskyddsförordningen (GDPR) och den federala dataskyddslagen (BDSG) följs inom hela koncernen. Detta gäller alla nivåer och företag inom koncernen – från moderföretaget till dotterbolagen. Insamling, lagring och bearbetning av personuppgifter måste ske koncernomfattande enligt lagstadgade krav. Koncernledningen måste säkerställa att alla företag i koncernen är medvetna om och implementerar dataskyddsbestämmelserna för att garantera säkerheten och skyddet av data. Endast på det sättet kan en enhetlig och rättssäker nivå av dataskydd uppnås i hela koncernen.

Ansvarig och dataskyddsombud

Inom en koncern är den ansvariga personen eller enheten den som bestämmer syftena och medlen för behandling av personuppgifter. Dataskyddsombudet är däremot ansvarigt för att övervaka att dataskyddsbestämmelserna efterlevs i alla företag inom koncernen. Han eller hon rådgör koncernledningen och de enskilda företag i alla dataskyddsfrågor, utbildar anställda och är kontaktperson för de berörda när det gäller deras rättigheter i samband med behandling av deras personuppgifter. Ett nära samarbete mellan den ansvariga och dataskyddsombudet är nödvändigt för att säkerställa efterlevnad av dataskyddsbestämmelserna i hela koncernen och effektivt skydda de berördas rättigheter.

BAG om vidarebefordran av personuppgifter inom en koncern – Az. 8 AZR 209/21

Dataskydd spelar också en central roll i arbetsrätten. Detta gäller inte bara hanteringen av anställdas personuppgifter gentemot tredje parter, utan även inom en koncern. Federala arbetsdomstolen fastslog i dom den 8 maj 2025 att GDPR:s bestämmelser också måste följas vid vidarebefordran av data inom koncernens bolag (Az. 8 AZR 209/21).

Myndigheter har en viktig uppgift vid tillämpningen av dataskyddsförordningen (GDPR): de måste säkerställa efterlevnad av dataskyddslagar, inklusive de delstatliga dataskyddslagarna, och genomföra åtgärder för datainsamling och skydd av personuppgifter på internet. I vissa fall regleras dessa uppgifter och åtgärder genom motsvarande artiklar i förordningen för att skydda rättigheterna för de berörda – som medborgare, användare och allmänheten – och säkerställa transparens.

Från anställningsansökan till uppsägning av anställningsförhållande samlas och bearbetas en mängd anställdas data på arbetsplatsen. Arbetsgivare måste i synnerhet beakta bestämmelserna i GDPR samt BDSG, konstaterar advokatbyrån MTR Legal Rechtsanwälte , som bland annat rådgör om dataskyddsfrågor.

GDPR måste beaktas vid intern överföring av data inom koncernen

GDPR:s bestämmelser måste även beaktas vid intern överföring av data, vilket domen från Bundesarbeitsgericht den 8 maj 2025 visar. Domstolen slog fast att en anställd kan ha rätt till skadestånd på grund av en överträdelse av GDPR.

I det aktuella fallet hade arbetsgivaren vidarebefordrat en anställds personuppgifter inom koncernen till ett moderföretag. Anledningen var att en ny molnbaserad programvara för personalhantering skulle testas. Programvaran skulle införas koncernövergripande med ett nytt personalhanteringssystem.

Försöksdriften av det nya personalhanteringssystemet hade tidigare reglerats i ett kollektivavtal. Enligt avtalet fick namn, anställningens startdatum, företag, arbetsplats samt tjänstetelefonnummer och e-postadress överföras. Arbetsgivaren hade dock även vidarebefordrat information om lön, födelsedatum, civilstånd, socialförsäkringsnummer, skatte-ID och hemadress till koncernledningen.

Tillämpningen av dataskyddsförordningen och motsvarande artiklar gäller inte bara för företag, utan även för myndigheter, för att skydda användares, de berördas och medborgares rättigheter. Åtgärder och åtgärder för datainsamling och skydd av personuppgifter på internet samt efterlevnad av delstatliga dataskyddslagar är viktiga uppgifter och hör till de centrala uppgifterna för att säkerställa transparens gentemot allmänheten.

Data överförda utan tillräcklig rättslig grund

Mot detta invände käranden. Han argumenterade att hans data hade bearbetats utan tillräcklig rättslig grund eftersom användningen av verkliga data under testfasen inte varit nödvändig och därmed stred mot principerna om dataminimering och ändamålsbegränsning enligt artikel 5 GDPR. Dessutom täckte den befintliga företagsöverenskommelsen inte behandlingen. Han gjorde gällande ett anspråk på immateriellt skadestånd enligt artikel 82.1 GDPR på grund av överträdelse av GDPR.

Efter att de lägre domstolarna hade avslagit hans talan hamnade den slutligen hos Bundesarbeitsgericht. Bundesarbeitsgericht anropade först Europeiska unionens domstol. EuGH fastslog i dom den 19 december 2024 att databehandlingsregler i ett företagsavtal måste överensstämma med GDPR:s bestämmelser. Domstolen anslöt sig till denna rättspraxis och beslutade att käranden hade rätt till skadestånd.

Tillämpningen av relevanta artiklar i dataskyddsförordningen samt delstatliga dataskyddslagar är av central betydelse för myndigheternas uppgifter och för att skydda de berörda medborgarna och användarna i alla fall. Åtgärder för datainsamling och skydd av personuppgifter på internet måste också genomföras med hänsyn till transparens gentemot allmänheten.

Anspråk på immateriellt skadestånd

Arbetsgivaren hade vidarebefordrat mer data än vad som var tillåtet enligt företagsöverenskommelsen till koncernens moderföretag. Detta var inte nödvändigt och utgjorde ett brott mot GDPR, påpekade Bundesarbeitsgericht. Genom att vidarebefordra de personuppgifter till moderföretaget hade käranden förlorat kontrollen över sina data och därmed lidit immateriell skada, förtydligade Bundesarbeitsgericht.

Domen visar att även dataöverföring inom en koncern alltid bör granskas avseende dataskyddslagarna. De dataskyddsregler som fastställs i GDPR måste följas fullt ut. Detta inkluderar särskilt principerna om dataminimering, ändamålsbegränsning och transparens.

Genomförandet av lämpliga åtgärder och den konsekventa tillämpningen av dataskyddsförordningen samt relevanta artiklar är nödvändiga för att skydda de berörda, såsom medborgare och användare, och för myndigheternas plikter och uppgifter i alla situationer. Detta inkluderar datainsamling på internet, efterlevnad av delstatliga dataskyddslagar samt transparens gentemot allmänheten.

Krav på behandling av personuppgifter i anställningsförhållanden

I princip är behandling av personuppgifter i anställningsförhållanden endast tillåten om det finns en rättslig grund för det. Detta gäller exempelvis om databehandlingen är nödvändig för att uppfylla anställningsavtalet. Dessutom är databehandling tillåten om den anställde gett sitt samtycke. Det är viktigt att samtycket är frivilligt, specificerat och kan återkallas. Databehandling kan också vara tillåten om arbetsgivaren kan påvisa ett berättigat intresse för att skydda företagets säkerhet och inga övervägande intressen eller grundläggande rättigheter hos den anställde motverkar detta.

Domen från Bundesarbeitsgericht betonar vikten av en ansvarsfull hantering av anställdas data och nödvändigheten av att integrera dataskyddsaspekter tidigt och omfattande i företagsprocesser.

MTR Legal Rechtsanwälte rådgör inom arbetsrätt och dataskyddsrätt.

Ta gärna kontakt med oss!

Tillämpningen av dataskyddsförordningen och relevanta artiklar samt genomförandet av lämpliga åtgärder för datainsamling på internet och efterlevnad av delstatliga dataskyddslagar är av central betydelse för skyddet av de berörda, medborgare och användare samt för uppfyllandet av myndigheternas plikter och uppgifter i alla situationer och gentemot allmänheten.

Sie haben ein rechtliches Anliegen?

Reservieren Sie Ihre Beratung – Wählen Sie Ihren Wunschtermin online oder rufen Sie uns an.
Bundesweite Hotline
Jetzt erreichbar

Jetzt Rückruf buchen

oder schreiben Sie uns!

Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Oft gesucht

Karriere
Offices
Rechtsanwälte
News

Weitere Infos

News
Datenschutz
Impressum

Social Media

Footer--MTR Legal Rechtsanwälte Footer-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte Footer--MTR Legal Rechtsanwälte Footer--MTR Legal Rechtsanwälte

Offices

Berlin
Düsseldorf
Frankfurt
Hamburg
Köln
München
Stuttgart
Bonn

© 2024 MTR Rechtsanwaltsgesellschaft mbH