Der Austausch von Beschäftigtendaten ist für international aufgestellte Unternehmensgruppen auf vielen Ebenen von großer Bedeutung. In diesen Themenbereich fallen nicht nur personenbezogene Daten von Arbeitnehmenden, sondern es sollte auch die Verarbeitung von Bewerberdaten eingeschlossen werden. Die denkbaren Anwendungsszenarien sind daher mannigfaltig und umfassen insbesondere den Einsatz von HR Tools unterschiedlichster Couleur. Diese ermöglichen das effiziente Management der Belegschaft bspw. durch den gemeinsamen Betrieb von Bewerberdatenbanken, zentrale Adressbücher, die Verwaltung von Stammdaten, Performance Reporting und dem Vorhalten von sog. „Skill-Databases“.
Datenübermittlungen zwischen Unternehmen einer Unternehmensgruppe (zur Definition siehe Art. 4 Nr. 19 DSGVO) bedürfen wie alle übrigen Datenübermittlungen einer Rechtsgrundlage. Die DSGVO privilegiert Datenübermittlungen in Unternehmensgruppen nicht pauschal, sondern sieht als sog. „kleines Konzernprivileg“ in Erwägungsgrund 48 S. 1 DSGVO vor, dass die Datenübermittlung innerhalb der Unternehmensgruppe zu internen Verwaltungszwecken ein berechtigtes Interesse (im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO) darstellen kann. Erwägungsgrund 48 S. 2 DSGVO weist zudem darauf hin, dass die Regeln für die Übermittlung in ein Drittland (siehe Art. 44 ff. DSGVO) unberührt bleiben.
Zudem sind alle weiteren datenschutzrechtlichen Verpflichtungen einzuhalten. Dazu gehören insbesondere die Vorschriften zur Auftragsdatenverarbeitung (Art. 28 DSGVO) und zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO).
Bei einem Austausch von Beschäftigtendaten müssen die beteiligten Unternehmen somit zunächst ihre jeweiligen Rollen definieren. Hierbei kommt es darauf an, welche Unternehmen alleine oder gemeinsam mit anderen Unternehmen die Zwecke und Mittel der Datenverarbeitung bestimmen. Diese Unternehmen stellen datenschutzrechtlich (gemeinsam) Verantwortliche dar. Unternehmen, die Daten lediglich weisungsgebunden verarbeiten, sind Auftragsverarbeitende.
Die beteiligten Unternehmen können sich somit in einem Verhältnis als voneinander unabhängige Datenverantwortliche gegenüberstehen, wenn jedes Unternehmen seine eigenen Zwecke verfolgt. Bei der Verfolgung gruppenweiter Zwecke (z.B. bei Auswertungen oder Surveys) können sie gemeinsam Verantwortliche sein. Zudem können Dienstleistungsunternehmen eingerichtet werden, die als Lizenznehmende gegenüber dem Zulieferer und als Auftragsverarbeitende für andere Gruppenunternehmen tätig werden. Auch eine Kombination dieser Konstellationen ist denkbar. Zu bedenken ist dabei, dass die Rollenverteilung nicht vertraglich vereinbart werden kann, sondern dass die Einstufung anhand einer Betrachtung der tatsächlichen Umstände geschehen muss.
Für den internationalen Datenaustausch bieten sich für weltweite Unternehmensgruppen insbesondere zwei Möglichkeiten zur Einhaltung der Anforderungen in Art. 44 ff. DSGVO. Dabei handelt es sich zum einen um Binding Corporate Rules (Art. 46 Abs. 2 lit. b), 47 DSGVO), bei denen es sich um verbindlichen internen Datenschutzvorschriften handelt, die individuell von der lokalen Datenschutzaufsicht genehmigt werden müssen. Zum anderen ist der Einsatz von Standardvertragsklauseln möglich (Art. 46 Abs. 2 lit. c) DSGVO).
Umfangreiche Datenaustauschprogramme unter Beteiligung vieler Gruppenunternehmen in verschiedenen Ländern können somit sehr komplexe Strukturen entstehen lassen. Dies kann umfangreiche Intragroup Verträge notwendig machen. Zur Erfüllung der datenschutzrechtlichen Rechenschaftspflicht müssen die jeweiligen Rollen und Beziehungen unter den Unternehmen klar dokumentiert werden. Pauschale Umschreibungen, die keine Identifikation der Rollen zulassen, reichen nicht aus. Ferner sind die Datenverarbeitungsvorgänge detailliert zu beschreiben und ggf. sollten Regelungen zum Verhältnis gemeinsam Verantwortlicher aufgenommen werden.