Und was sagt der Datenschutzbeauftragte zur Entsendung von Mitarbeitern ins Ausland ?

Ob innerhalb eines Konzerns oder an Kunden: Mitarbeiter werden an andere Unternehmen „ausgeliehen“. Im Rahmen einer solchen Mitarbeiterentsendung werden an das entleihende Unternehmen entsprechende personenbezogene Daten übermittelt. Wenn der Einsatzort außerhalb der EU liegt, sind oftmals auch Einreise-Modalitäten – wie Visum, Arbeitserlaubnis etc. – zu erledigen.
Auch hierzu werden wiederum Informationen an Unternehmen oder Behörden weitergeleitet. Eine solche Datenübermittlung ist datenschutzrechtlich durch den Datenschutzbeauftragten zu begleiten. Andernfalls drohen Bußgelder oder Beschwerden durch die Mitarbeiter.
„Als Datenschutzbeauftragte erhalten wir zunehmend Fragen aus dem Bereich der Mitarbeiterentsendung“ weiß Dr. Heiko Haaz, mehrfach bestellter Datenschutzbeauftragter und Partner der UIMC, zu berichten. Im Rahmen dieser Entsendungen werden diverse, z. T. auch sehr sensible Daten an Unternehmen bzw. Behörden übermittelt. „Um eine gesetzeskonforme Weitergabe von Daten der Mitarbeiter zu gewährleisten, ist es wichtig, dass der Datenschutzbeauftragte rechtzeitig eingebunden wird. Erfahrungsgemäß erhöht dies auch die Akzeptanz bei Mitarbeitern und Betriebsrat“, so Dr. Haaz weiter.
Neben zahlreichen bereichsspezifischen Vorschriften rechtfertigt vor allem der datenschutzrechtliche Grundtatbestand des § 32 BDSG die Übermittlung von Mitarbeiterdaten. Hiernach ist die Zulässigkeit der Übermittlung an die Zweckbestimmung des Arbeitsverhältnisses geknüpft. Soweit die Datenübermittlung für die Durchführung des Arbeitsverhältnisses erforderlich ist, kann dies zur Rechtfertigung der Datenweitergabe herangezogen werden.
Dies dürfte insbesondere dann der Fall sein, wenn im Arbeitsvertrag die Entsendemöglichkeit bereits ausdrücklich vorgesehen ist oder bei sehr kurzen Entsendungen (Dienstreisecharakter). In beiden Fällen kann angenommen werden, dass die Entsendung zum Gegenstand des Arbeitsverhältnisses gemacht wurde. Der für die entsprechende Personalentscheidung erforderliche Datenfluss dient dann der Zweckbestimmung des Arbeitsverhältnisses. Nichtsdestotrotz sollten die Mitarbeiter hierüber informiert werden.
Zu beachten ist jedoch, dass die Datenübermittlung auf die für die Zweckerreichung zwingend erforderlichen Daten beschränkt wird (Erforderlichkeit oder Need-to-Know-Prinzip). Insofern dürfen nur diejenigen Angaben übermittelt werden, die für die Ermöglichung der Entsendung unerlässlich sind. Der Umfang der Datenübermittlung kann durchaus variieren, so dass unter Umständen eine Einzelfallprüfung geboten ist.
Ferner ist ein angemessenes Datenschutzniveau beim Datenempfänger sicherzustellen, was bei Datenempfängern mit einem Sitz in einem Mitgliedstaat der Europäischen Union (EU) automatisch vorliegt.
Aber auch bei einem Firmensitz außerhalb der EU gestattet das Bundesdatenschutzgesetz eine Datenübermittlung auch ohne die ansonsten erforderlichen Maßnahmen wie Safe-Harbor-Zertifikat, Abschluss von sog. EU-Standardvertragsklauseln oder Einführung konzernweit gültiger Regelungen (Binding Corporate Rules): Sofern eine rechtsgültige Einwilligung des Betroffenen vorliegt oder die Übermittlungen im Rahmen eines Vertrages erforderlich sind, der durch den Betroffenen selbst oder durch einen Dritten in seinem Interesse geschlossen wurde, ist die Datenübermittlung im Zusammenhang mit Auslandseinsätzen von Mitarbeitern zulässig.
Demnach ist eine Datenübermittlung zur Vorbereitung und Durchführung einer Mitarbeiterentsendung datenschutzrechtlich möglich. Hierzu dürfen entsprechend dem Grundsatz der Erforderlichkeit aber nur diejenigen Daten weitergegeben werden, die hierzu zwingend erforderlich sind. Voraussetzung ist zudem, dass die Entsendung vertraglich vorgesehen ist. Für die Beurteilung im Einzelfall sollte auf jeden Fall der Datenschutzbeauftragte frühzeitig involviert werden.
Quelle: UIMC Dr. Voßbein GmbH & Co KG