Datentransfer – normal, aber oft illegal

15. Juni 2010, 17:15
posten

Der Transfer personenbezogener Mitarbeiterdaten von einer Konzerngesellschaft zur anderen ist gängige Praxis. Meist wird das Datenschutzgesetz verletzt

Am Anfang steht der Wunsch nach einer effizienteren Verwaltung, nach größerer Datensicherheit, gelegentlich auch nach mehr Kontrolle der Tochtergesellschaften durch die Konzernmutter. Die Daten der Mitarbeiter aller Konzerngesellschaften werden in Hochsicherheits-Rechenzentren, die bei der Konzernmutter - z.B. in Deutschland, den USA oder Japan - angesiedelt sind, gesammelt und gemeinsam verarbeitet.

Schulungen, Personalentwicklung oder Aktien-Options-Programme werden über diese Systeme geplant und administriert, das "Global Data Warehouse" ist in vielen Konzernen längst Realität. Die Weitergabe der Mitarbeiterdaten von der österreichischen Gesellschaft zu diesem Zweck geschieht völlig selbstverständlich, meist ohne jegliches Problem - oder gar Unrechtsbewusstsein. Und doch wird dadurch in vielen Fällen das österreichische Datenschutzgesetz gravierend verletzt.

Anders als viele vergleichbare Rechtsordnungen kennt das österreichische Recht - zumindest nach der Auslegung durch die Datenschutzkommission - kein diesbezügliches "Konzernprivileg" . Jede Datenverarbeitung, und dazu gehört auch jede Weitergabe von Daten an eine andere Konzerngesellschaft, darf nur aufgrund eines gesetzlich anerkannten legitimen Zwecks erfolgen. Obwohl zumindest bei Gesellschaften mit beschränkter Haftung der Gesellschafter - in letzter Konsequenz also die Konzernmutter - nach dem GmbH-Gesetz das Recht hat, in alle Unterlagen der Tochtergesellschaft Einblick zu nehmen, vertritt die Datenschutzkommission regelmäßig die Rechtsansicht, dies beziehe sich nicht auf die persönlichen Daten (etwa das Gehalt) der Mitarbeiter.

Relativ einfach ist die Sache noch, wenn das Konzernrechenzentrum nur Serviceleistungen für die österreichische Gesellschaft, etwa die Lohnverrechnung, erbringt. In diesem Fall genügt eine schriftliche Vereinbarung zwischen den Gesellschaften, die die Datensicherheit und gesetzeskonforme Verarbeitung regelt. Nur im Falle, dass die Daten die Grenzen des Europäischen Wirtschaftsraumes verlassen und sich der Empfänger, falls er in den USA angesiedelt ist, nicht freiwillig der dortigen "Safe-Harbor-Zertifizierung" unterworfen hat, ist vor Inangriffnahme des Transfers die Zustimmung der Datenschutzkommission einzuholen.

Will der Empfänger der Daten, meist die Konzernmutter, diese aber auch für eigene Zwecke verwenden - etwa zur konzernweiten Personalplanung, für Effizienzvergleiche etc. - ist in jedem Fall eine Meldung an das Datenverarbeitungsregister vorzunehmen. Es muss dabei für jede einzelne Datenart, die an den Konzern übermittelt werden soll, im Detail überprüft werden, ob ein gesetzlich anerkannter Zweck dafür vorliegt. Oft wird dies nicht für alle Mitarbeiter in gleicher Weise der Fall sein. Während die Übermittlung der Daten des obersten Managements meist von der Datenschutzkommission akzeptiert wird, muss es bei den Daten der übrigen Beschäftigten schon sehr gute Gründe geben, damit die Kommission dies akzeptiert und eine Registrierung erfolgt.

Wer diese "Formalitäten" vergisst, setzt sich der Gefahr beträchtlicher (Verwaltungs-)Strafen aus. Hält man sich aber an das Gesetz und stellt die nötigen Anträge bzw. erstattet die vorgesehenen Meldungen, braucht man vor allem viel Geduld. Entscheidungsfristen von einem Jahr oder noch länger sind derzeit bei der Datenschutzkommission an der Tagesordnung - ein Umstand, der bei internationalen Konzernen auf völliges Unverständnis stößt. Dies umso mehr, als in den meisten anderen EU-Ländern die vergleichbaren Verfahren wesentlich weniger streng und vor allem wesentlich rascher ablaufen.

Leider hat der Gesetzgeber bei der soeben verabschiedeten Novelle des Datenschutzgesetzes die Chance, hier eine praxisgerechte Klarstellung bzw. Neuregelung für den Wirtschaftsstandort Österreich zu treffen, ungenützt verstreichen lassen.

Das österreichische Management, das ja im Ernstfall bei Gesetzesverstößen den Kopf hinhalten muss, sollte daher, sobald die Einführung entsprechender Systeme im Konzern angekündigt wird, rechtzeitig auf diese Problematik hinweisen, Detailinformationen von der Konzernleitung anfordern und frühzeitig die erforderlichen Schritte setzen.

Hinzuweisen ist in diesem Zusammenhang auch auf die meist bestehenden Informationspflichten gegenüber dem Betriebsrat bzw. darauf, dass vielfach der Abschluss entsprechender Betriebsvereinbarungen erforderlich sein wird. Aber das ist eine andere Geschichte. (Georg Röhsner, DER STANDARD; Print-Ausgabe, 16.5.2010)

RA Dr. GEORG RÖHSNER ist Partner bei Lambert Eversheds.

Share if you care.