Der 34. Tätigkeitsbericht Datenschutz 2025 des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zeigt ein wichtiges Praxisproblem: Beschäftigtendaten dürfen im Konzern nicht einfach weitergereicht werden, nur weil eine Matrixstruktur oder ein konzernweites Vergütungssystem geplant ist. Im Bericht ging es um Gehaltslisten mit Namen, Gehalt, Tarifstatus, Eintritts- und Austrittsdaten, Abteilung und Position. Die Aufsichtsbehörde bewertete die konzerninterne Weitergabe als rechtswidrig (HmbBfDI, 34. Tätigkeitsbericht Datenschutz 2025, Abschnitt III.11).

Worum geht es rechtlich

Rechtlich geht es um die Frage, wann Beschäftigtendaten innerhalb eines Konzerns übermittelt werden dürfen. Auch innerhalb einer Unternehmensgruppe bleibt die Weitergabe personenbezogener Daten eine Datenverarbeitung. Sie braucht eine Rechtsgrundlage und muss die Grundsätze der Datenverarbeitung einhalten. Dazu gehören nach Art. 5 DSGVO Rechtmäßigkeit, Transparenz und Datenminimierung.

Die Aufsichtsbehörde stellte fest, dass für die Übermittlung der Daten keine Rechtsgrundlage vorlag. Die Weitergabe der Gehaltslisten war für die Durchführung der einzelnen Beschäftigungsverhältnisse nicht erforderlich. Auch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO lag nicht vor. Zwar kann ein konzernweites Interesse an einheitlichen Vergütungsstrukturen grundsätzlich berechtigt sein. Es fehlte aber an der Erforderlichkeit, weil mildere Mittel möglich waren.

Der entscheidende Punkt ist die Pseudonymisierung. Nach Ansicht der Aufsichtsbehörde hätte der Zweck auch erreicht werden können, wenn die Daten ohne direkte Identifizierbarkeit einzelner Beschäftigter übermittelt worden wären. Das hätte die Risiken für die Beschäftigten reduziert und zugleich dem Grundsatz der Datenminimierung entsprochen.

Pseudonymisierung bedeutet, dass Namen oder andere direkte Kennzeichen ersetzt werden, sodass die betroffene Person ohne Zusatzinformationen nicht mehr unmittelbar erkennbar ist.

Typische Fehler

Ein häufiger Fehler besteht darin, den Konzern wie eine einzige datenschutzrechtliche Einheit zu behandeln. Das ist riskant. Werden Beschäftigtendaten an eine andere Konzerngesellschaft weitergegeben, muss der Arbeitgeber Zweck, Rechtsgrundlage, Datenumfang, Empfänger, Zugriffskreis und Schutzmaßnahmen konkret prüfen und dokumentieren.

Ein weiterer Fehler ist die ungeprüfte Weitergabe vollständiger Gehaltslisten. Gerade Entgeltdaten sind besonders aussagekräftig. Sie ermöglichen Rückschlüsse auf Stellung, Entwicklung, Leistungserwartungen und betriebliche Bewertung einzelner Beschäftigter. Deshalb muss der Arbeitgeber besonders sorgfältig prüfen, ob Namen und weitere Identifikationsmerkmale wirklich benötigt werden.

Problematisch ist auch, wenn Beschäftigte nicht oder nur allgemein informiert werden. Die Aufsichtsbehörde verlangt ausdrücklich, dass Beschäftigte über die Weitergabe an andere Konzerngesellschaften umfassend informiert werden. Eine versteckte Datenweitergabe unter dem Etikett Konzernprojekt genügt nicht.

Was heißt das für die Praxis

Der Betriebsrat hat nach § 80 BetrVG darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Dazu gehören auch Datenschutzvorschriften. Er kann vom Arbeitgeber die Unterlagen verlangen, die er zur Durchführung seiner Aufgaben benötigt.

Betriebsräte sollten nicht akzeptieren, wenn der Arbeitgeber pauschal auf Konzernsteuerung, Harmonisierung oder Matrixorganisation verweist. Maßgeblich ist immer, ob die konkrete Datenübermittlung erforderlich ist. Wenn ein Ziel mit anonymisierten oder pseudonymisierten Daten erreicht werden kann, spricht viel gegen die Weitergabe vollständiger Namenslisten.

Betriebsräte sollten bei konzerninternen Datenflüssen frühzeitig nachfragen. Wichtig sind insbesondere diese Punkte: Welche Daten sollen übertragen werden? An welche Gesellschaft gehen sie? Wer erhält Zugriff? Zu welchem Zweck erfolgt die Übermittlung? Auf welche Rechtsgrundlage stützt sich der Arbeitgeber? Warum reichen anonymisierte oder pseudonymisierte Daten nicht aus?

Kommt ein zentrales HR-System, ein Dashboard oder ein konzernweites Auswertungstool zum Einsatz, kann zusätzlich Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG berührt sein. Das gilt, wenn die technische Einrichtung dazu bestimmt ist, Verhalten oder Leistung der Beschäftigten zu überwachen. Dann darf der Arbeitgeber die Einführung und Anwendung nicht einseitig regeln.

Über den Autor

Klaus-Dieter Franzen

Fachanwalt für Arbeitsrecht

Schwerpunkte: Kollektives Arbeitsrecht, Datenschutz und KI
Qualifikation: zertifizierter Datenschutzbeauftragter (DSB)

Ich kümmere mich seit 1996 um Ihr gutes Recht, regional, national und international. Das kollektive Arbeitsrecht, künstliche Intelligenz und der Datenschutz bilden die zentralen Schwerpunkte meiner Tätigkeit, auch als Referent für Betriebsräte und in fachanwaltlichen Fortbildungen.

Sie haben Fragen?

Wir beraten Sie gerne persönlich zu diesem Thema.

Adresse

Altenwall 6, 28195 Bremen

Telefon

+49 421 3378-413

Telefax

+49 421 3378-416

E-Mail

kanzlei@franzen-legal.de