Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer

Transkript

1 Regierungspräsidium Darmstadt Hillenbrand-Beck Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer 1. Allgemeines Die Anzahl großer, häufig multinationaler Konzerne wächst ständig. Konzernstrukturen unterliegen oftmals einem permanenten Wandel: Neue Unternehmen kommen hinzu, konzernangehörige Unternehmen werden in mehrere juristische Einheiten aufgeteilt, zusammengelegt oder veräußert. Zugleich verstärken sich die Tendenzen zum Outsourcing und zur Aufgabenteilung innerhalb des Konzerns. Die Kostensenkung und Produktivitätssteigerung sind Beweggründe für eine konzernweite und damit die einzelnen juristischen Personen (Unternehmen) übergreifende Optimierung der Geschäftstätigkeit, beispielsweise durch eine konzernweit und global ausgerichtete Personalverwaltung. Nicht zuletzt auf Grund der Verfügbarkeit geeigneter Datenverarbeitungssysteme zur konzernweiten Personalplanung nehmen konzernweite Personalwirtschaftslösungen zu. Während Konzerne sich also als wirtschaftliche Einheit verstehen und dementsprechend agieren, ist für das Datenschutzrecht das einzelne Unternehmen als juristische Person maßgeblich. Dieses ist Normadressat des BDSG ( 1 Abs. 2 Nr. 3, 2 Abs. 4 BDSG). Übermittlungen zwischen rechtlich selbständigen Unternehmen sind nur unter besonderen Voraussetzungen zulässig. Die gesellschaftsrechtlichen und wirtschaftlichen Zusammenhänge bleiben also durch die rein juristische Betrachtungsweise des BDSG grundsätzlich unberücksichtigt. Gesellschaftsrechtliche Beherrschungsverträge haben als solche keine unmittelbare Bedeutung für den Datenschutz. Das BDSG enthält demnach kein Konzernprivileg. (Bereits bei der Verabschiedung des ersten BDSG hat sich der Gesetzgeber trotz entsprechender Forderungen aus Wirtschaftskreisen bewusst gegen ein Konzernprivileg entschieden. Auch im Rahmen der letzten Novellierungen des BDSG wurden solche Forderungen vorgetragen, der Gesetzgeber hat diese jedoch nicht beachtet. Ebenso wenig enthält die EG-Datenschutzrichtlinie ein Konzernprivileg.) 1 Die Frage der Zulässigkeit von Datenweitergaben richtet sich nach den Vorschriften des Bundesdatenschutzgesetzes, insbesondere 11 BDSG und 4 und 28 BDSG. Auf Grund einer Initiative aus dem Düsseldorfer Kreis (Abstimmungsgremium aller obersten Datenschutzaufsichtsbehörden im Bundesgebiet) wurde eine Arbeitsgruppe aus Vertretern von Datenschutzaufsichtsbehörden, der Wirtschaft sowie der Anwaltschaft gebildet, um die sich ergebenden Auslegungsfragen zu erörtern (Teilnehmer s. Anlage). Die Erörterungen konzentrierten sich auf die Weitergabe von Personaldaten. Als Ergebnis dieser Erörterungen werden im Folgenden die einzelnen Zulässigkeitstatbestände zur Weitergabe von Daten im Konzern dargestellt, nach denen jede Wei- 1 Umgekehrt heißt dies, dass die nachfolgend dargestellten Ergebnisse mit der gebotenen Vorsicht auch auf die Zusammenarbeit zwischen nicht konzernangehörigen Unternehmen übertragbar sein müssten.

2 tergabe zu bewerten ist. Grundsätzlich sollte unter Berücksichtigung von 3 a BDSG vorab durch die verantwortliche Stelle geprüft werden, ob der mit der Weitergabe von personenbezogenen Daten an andere Konzernunternehmen verfolgte Zweck auch bei Pseudonymisierung oder Anonymisierung der Daten erreicht werden kann. Einige typische Einzelfälle sind vertiefend behandelt. Auf die spezielle Problematik des Drittstaatentransfers wird nur kurz am Ende (Nr. 7) eingegangen. 2. Auftragsdatenverarbeitung Wird ein rechtlich selbständiges Konzernunternehmen als Auftragsdatenverarbeiter nach 11 BDSG für ein oder mehrere andere Konzernunternehmen tätig, so sind Auftraggeber und nehmer im Verhältnis zueinander nicht Dritte, so bleibt der Auftraggeber verantwortliche Stelle und die Datenweitergabe zwischen beiden stellt keine Übermittlung dar, 3 Abs. 8 Satz 3 BDSG, 3 Abs. 4 Nr. 3 BDSG. Immer dann, wenn von der Übertragung einer Aufgabe auf ein anderes rechtlich selbständiges Unternehmen auch personenbezogene Daten betroffen sind, sprechen folgende Kriterien für eine Auftragsdatenverarbeitung: - Fehlende Entscheidungsbefugnis des Auftragnehmers über die Daten. - Auftragsschwerpunkt ist auf die Durchführung einer Verarbeitung gerichtet, die der Auftraggeber nach außen in eigener Verantwortung vertritt. - Das Fehlen einer eigenständigen rechtlichen Beziehung des Auftragnehmers zum Betroffenen. Wenn hingegen eine ganze Funktion zur eigenverantwortlichen Wahrnehmung übertragen wird, wird der Datenverarbeiter selbst zur verantwortlichen Stelle. Die personenbezogenen Daten werden an ihn übermittelt. Eine Funktionsübertragung liegt in der Regel bei folgenden Kriterien vor: - Überlassung von eigenständigen Nutzungsrechten an den vom Auftraggeber zur Verfügung gestellten Daten. - Fehlende Einflussnahmemöglichkeit des Auftraggebers auf Teilbereiche 2 der Datenverarbeitung. - Abwälzung der Verantwortlichkeit für die Zulässigkeit der Datenverarbeitung und Richtigkeit der Daten auf den Auftragnehmer. - Verarbeitung von Daten, die erst auf Grund einer eigenständigen Rechtsbeziehung des Auftragnehmers mit dem Betroffenen erhoben wurden. Das Auftragsverhältnis fordert nicht, dass ein Auftragnehmer nur Umgang mit solchen Daten haben darf, die der Auftraggeber zur Verfügung gestellt hat. Dies stellt das BDSG 2001 dadurch klar, dass es das Erheben im Auftrag in 11 Abs. 3 Satz 1 ausdrücklich zulässt Nach Auffassung jedenfalls eines Wirtschaftsvertreters liegt Funktionsübertragung nur vor, wenn der Auftraggeber auf wesentliche Teilbereiche der Datenverarbeitung keine Einflussmöglichkeit hat. 3 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 508

3 3 Ebenfalls ist die teilweise geforderte Abschottung zwischen Auftragnehmer und Betroffenen nicht zwingend, d.h. Auftragsdatenverarbeitung schließt den unmittelbaren Kontakt zwischen Auftragnehmer und Betroffenen nicht aus. 4 Die nach 11 Abs. 2 Satz 1 BDSG gebotene sorgfältige Auswahl des Auftragnehmers schließt die Vereinbarung einer Auftragsdatenverarbeitung zwischen Unternehmen, die demselben Konzern angehören, nicht aus. Denn die Vorschrift gebietet nicht, dass eine Auswahl unter Wettbewerbsbedingungen oder gar eine Ausschreibung erfolgt. Maßgeblich ist lediglich, dass ein Auftragnehmer ausgewählt wird, der Gewähr dafür bietet, die Anforderungen des 9 BDSG nebst Anlage einzuhalten und den vorgegebenen Verarbeitungsauftrag zu erfüllen 5. Es ist auch nicht generell abzulehnen, dass eine Konzernober-/muttergesellschaft als Auftragnehmer fungiert. Die konzernrechtliche Position als beherrschendes Unternehmen schließt es nicht schlechthin aus, dass die Konzernobergesellschaft partiell eine dienende Funktion im Konzern einnimmt und sich insoweit den Weisungen der konzernangehörigen Gesellschaften unterwirft. Maßgeblich ist, dass entsprechende rechtliche Vereinbarungen getroffen wurden (die dann dem Weisungsrecht gemäß Konzernrecht vorgehen) und keine Anhaltspunkte für eine Missachtung vorliegen. Schwieriger ist die Frage, was an sich als Auftragsdatenverarbeitung eingestuft werden kann. Die Auslagerung der reinen Lohn- und Gehaltsabrechnung wurde bereits bisher allgemein als Auftragsdatenverarbeitung akzeptiert 6. Wenn zusätzlich die Errechnung der Löhne und Gehälter entsprechend der Tarifverträge, die Erstellung der erforderlichen Steuererklärungen und die Auszahlung der Löhne und Gehälter ausgelagert wird, so kann dies ebenfalls als Auftragsdatenverarbeitung ausgestaltet und anerkannt werden 7. In der Arbeitsgruppe bestand Einigkeit, dass generell in den Fällen, in denen dem Dienstleister ein ausdifferenzierter Entscheidungsbaum zur Aufgabenerfüllung vorgegeben wird, der dem Dienstleister keinerlei inhaltlichen Bewertungs- und Ermessensspielraum belässt, eine Auftragsdatenverarbeitung angenommen werden kann. (Dies wurde in der Vergangenheit von den Aufsichtsbehörden beispielsweise bereits bei der Kundenbetreuung im Call-Center-Bereich anerkannt.) In der Arbeitsgruppe blieb jedoch streitig, ob auch andere Auslagerungsfälle als Auftragsdatenverarbeitung in Betracht kämen. Streitig blieb insbesondere, inwieweit das 4 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr Sutschet, RDV 2004, 97, 103, Fu Gola/Schomerus, BDSG 11, Rdz. 11; Schaffland/Wiltfang, BDSG 11, Rdz. 8; Wronka, RDV 2003, So bereits Fasbender, Innenministerium Baden-Württemberg, RDV 1994, 12 ff; wohl auch Breinlinger, RDV 1995, 211 (213)

4 4 o.g. Kriterium der fehlenden Entscheidungsbefugnis des Dienstleisters relevant ist bzw. welche konkrete Bedeutung es hat. Die Aufsichtsbehörden vertreten zum Teil die Auffassung, dass stets dann, wenn der Dienstleister auch nur den kleinsten inhaltlichen Bewertungs- oder Ermessensspielraum bei der Aufgabenerfüllung hat, keine Auftragsdatenverarbeitung mehr vorliegen könne; denn es gehe dann im Kern nicht mehr um reine Datenverarbeitung, sondern um andere übergeordnete Aufgaben. Dem gegenüber vertreten die Vertreter der Wirtschaft einheitlich die Auffassung, dass diese Auslegung zu eng und durch das BDSG nicht gedeckt bzw. geboten sei. Maßgeblich sei, dass der Auftraggeber die volle Verantwortung für die gesamte Datenverarbeitung beim Dienstleister übernehme. Mit 3 Abs. 7 BDSG sei klargestellt, dass eine Funktionsübertragung dann nicht anzunehmen sei, wenn der Ausführende die Datenverarbeitung (bspw. für die Personalverwaltung) nicht für sich selbst durchführt. Noch deutlicher werde dies durch die Definition in Art. 2d der EG-Datenschutzrichtlinie, wonach der durch die Verarbeitung Verantwortliche dadurch gekennzeichnet ist, dass er über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Weitere Anforderungen könnten nicht gestellt werden. Hiervon ausgehend sei es beispielsweise möglich, Unterstützungsdienstleistungen als Auftragsdatenverarbeitung auszugestalten. Dies käme etwa in Betracht, wenn sich ein Arbeitgeber externer Fachkompetenz zur Erarbeitung von Entscheidungsvorschlägen bediene, um dann Personalentscheidungen auf informierter Grundlage treffen zu können. Von daher sei es denkbar, die mit der Erfüllung der verschiedensten Aufgaben, bis zur kompletten Zentralisierung der Personalverwaltung, verbundene Datenverarbeitung, als Auftragsdatenverarbeitung zu gestalten. Maßgeblich sei, dass der Arbeitgeber die eigentlichen Personalentscheidungen trifft. Wo er diese lediglich exekutiere, könne freilich von einer Auftragsdatenverarbeitung keine Rede mehr sein. Unschädlich sei es hingegen, wenn der Arbeitgeber dem Auftragnehmer grundsätzlich einen Spielraum in Details belässt (Bsp.: Traineeprogramm; Dienstleister darf grundsätzlich entscheiden, in welcher Reihenfolge die verschiedenen Abteilungen zu durchlaufen sind). Die Vertreter der Wirtschaft betonen, dass die Ausgestaltung als Auftragsdatenverarbeitung für die Betroffenen günstiger sei als die Annahme einer Funktionsübertragung, weil der Arbeitgeber umfassend verantwortlich bleibt. Ein Teil der Aufsichtsbehörde erkennt an, dass tatsächlich eine gewisse Gestaltungsfreiheit angenommen werden kann 8. Im Vertrag muss eine klare Entscheidung für die Auftragsdatenverarbeitung getroffen werden mit einer entsprechenden Verteilung der 8 vgl. auch Gola, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 505 und 509; Gola, RDV 2003, 177 (179), wonach er wohl davon ausgeht, dass die Auslagerung eines Bewerberauswahlprogramms als Auftragsdatenverarbeitung ausgestaltet werden kann; strenger insoweit in Handbuch zum Arbeitnehmerdatenschutzrecht, Rdnr. 506; Sutschet, RDV 2004, 97ff.

5 5 Verantwortlichkeit. Der Auftraggeber muss derartige Vorgaben machen, dass er seiner Verantwortung gemäß BDSG tatsächlich gerecht werden kann und die Aufgabe muss hierfür geeignet sein 9. Dies müsste genauer untersucht werden, auch im Hinblick darauf, dass die bisherigen Musterverträge für die Auftragsdatenverarbeitung kaum geeignet erscheinen. Die Vertreter der Wirtschaft sollten deshalb in nächster Zeit den einen oder anderen Mustervertrag für die von ihnen ins Auge gefassten Outsourcingfälle insbesondere im Bereich der Personalverwaltung vorlegen. Auf dieser Basis könnten dann Überlegungen und Diskussionen über die Frage, welche Fälle noch über die Auftragsdatenverarbeitung gelöst werden können, weiter geführt werden. Wie sich aus der Darstellung der diskutierten Einzelfälle (s.u. Nr. 6) ergibt, bestand in der Arbeitsgruppe Einigkeit, dass für Ausgliederungsmaßnahmen, die nach der o.g. strengen Auffassung einiger Aufsichtsbehörden als Auftragsdatenverarbeitung ausscheiden, alternativ eine Realisierung nach den gesetzlichen Erlaubnistatbeständen in Betracht kommt, insbesondere indem die Zulässigkeitsvoraussetzungen durch besondere Maßnahmen geschaffen werden (s. Nr. 3.2 und 3.3). Die Datenweitergabe an einen Auftragsdatenverarbeiter in einem Drittstaat wird vom BDSG immer als Übermittlung bewertet (vgl. 3 Abs. 8 Satz 2 i.v.m. 3 Abs. 4 Nr. 3 BDSG). Damit gelten neben den gesetzlichen Erlaubnistatbeständen die Voraussetzungen der 4b, 4c BDSG. 3. Gesetzliche Erlaubnistatbestände des BDSG Liegt keine Auftragsdatenverarbeitung vor, sondern eine Übermittlung, ist zu prüfen, ob diese durch die gesetzlichen Erlaubnistatbestände des BDSG gedeckt ist Abs. 1 Satz 1 Nr. 1 BDSG Nach dieser Vorschrift ist eine Übermittlung zulässig, wenn sie der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Maßgeblich ist der individuelle Arbeitsvertrag des betroffenen Arbeitnehmers mit dem einzelnen Konzernunternehmen. Dessen Zweckbestimmung rechtfertigt grundsätzlich keine Übermittlung der Personaldaten an andere Konzernunternehmen, denn die Personaldaten sind grundsätzlich nur zur Information des eigenen Arbeitgebers und zur Wahrnehmung dessen Rechte und Pflichten gegenüber dem Arbeitnehmer bestimmt. Vertragliche Rechtsbeziehungen zwischen den einzelnen konzernangehörigen Unternehmen untereinander, insbesondere zwischen den Unternehmen und der Konzernspitze (z.b. Beherrschungsverträge [ 308 AktG]), vermögen kein vertragsähnliches Vertrauensverhältnis des betroffenen Arbeitnehmers mit einer der Schwestergesellschaften seines Arbeitgebers oder der Konzernmutter zu begründen vgl. Kramer/Herrmann, CR 2003, 938, der u.a. auf das Kriterium der Überwachbarkeit abstellt 10 Ruppmann, S. 59

6 6 28 Abs. 1 Satz 1 Nr. 1 BDSG kann daher den konzerninternen Austausch von Personaldaten grundsätzlich nicht legitimieren. Das Erfordernis der Zweckbestimmung des Arbeitsvertrages i.s.d. 28 Abs. 1 Satz 1 Nr. 1 BDSG ist jedoch erfüllt, sofern der Arbeitsvertrag einen bei Vertragsschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht 11. Hat beispielsweise ein Mitarbeiter in seinem Arbeitsvertrag die Bereitschaft erklärt, auch in anderen Konzernunternehmen eingesetzt zu werden, so liegt es in der Zweckbestimmung des Arbeitsvertrages, dass seine Daten z.b. in einem zentralen human-resource-system der konzerninternen Personalplanung bzw. dem Personaleinsatz zur Verfügung stehen Abs. 1 Satz 1 Nr. 1 BDSG rechtfertigt den konzerninternen Personaldatentransfer, soweit es sich um Beschäftigte handelt, die mit Rücksicht auf die Art und Besonderheiten ihrer Aufgabe einer eindeutig an den je spezifischen Konzerninteressen ausgerichteten Tätigkeit nachgehen 13 und dies auch wissen. Zu dieser Personengruppe gehören neben denjenigen, die sich vertraglich zur Tätigkeit in anderen Unternehmen bereit erklärt haben, insbesondere auch die Führungskräfte, da diese Unternehmensstruktur und vor allem Konzernverflechtung kennen und sich über die Notwendigkeit konzerninterner Mobilität bewusst sind 14. Dies gilt jedenfalls, soweit für diese Führungskräfte bei Aufnahme ihrer Tätigkeit der Konzernbezug ersichtlich war. Unter dieser Voraussetzung ist es auch bei Personen, die als Nachwuchskräfte an Führungsaufgaben herangeführt werden sollen, durch den Arbeitsvertrag gerechtfertigt, dass ihre Personaldaten in konzerneinheitliche Personalfortentwicklungssysteme eingespeist und damit innerhalb des Konzerns übermittelt werden. Außer bei diesen besonderen Personengruppen ist die konzerninterne Datenübermittlung bei allen Arbeitnehmern gemäß 28 Abs. 1 Nr. 1 BDSG gerechtfertigt, wenn das Arbeitsverhältnis einen deutlich erkennbaren und vom Betroffenen auch in Kauf genommenen Konzernbezug aufweist, insbesondere wenn bei der Einstellung deutlich erkennbar war, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist 15. Ob dies der Fall ist, muss letztlich im Einzelfall entschieden werden. Grundsätzlich kann nur durch eine ausdrückliche arbeitsvertragliche Regelung Klarheit geschaffen, d.h. der Konzernbezug hergestellt werden. Fraglich ist, ob der Konzernbezug auch nach Abschluss des Arbeitsvertrages noch begründet werden kann und damit zur Zulässigkeit einer Datenverarbeitung nach Ruppmann, S. 60, explizit für den Fall des Auslandseinsatzes; Weichert, D-N 4/5 1996, S. 9 (11) 12 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Aufl., Rdnr Simitis u.a., BDSG/Simitis, 2, Rdnr Ruppmann, S Ruppmann, S. 60f und 75 ff.; Wolfgang Däubler, Die Übermittlung von Arbeitnehmerdaten ins Ausland, CR 1999, 49 (53) beide explizit für den Fall der Personaldatenverarbeitung bei einem anderen Konzernunternehmen im Ausland; Weichert, D-N 4/5 1996, S. 9 (11)

7 7 Abs. 1 Nr. 1 BDSG führt. Dies ist möglich, hierzu ist jedoch eine ergänzende Bestimmung zum Arbeitsvertrag erforderlich, die den Arbeitsvertrag präzisiert und von den Arbeitnehmern gebilligt worden ist, wobei Freiwilligkeit gewährleistet sein muss (z.b. wenn sich ein Arbeitnehmer während des bereits bestehenden Arbeitsverhältnisses freiwillig zum Einsatz in anderen Konzernunternehmen bereit erklärt). Sowohl beim anfänglich schon bestehenden als auch beim nachträglich erst hergestellten Konzernbezug des Arbeitsverhältnisses ist zu beachten, dass die personenbezogenen Daten der betroffenen Arbeitnehmer damit nicht frei übermittelbar sind. Vielmehr ist ausgehend von den konkreten arbeitsrechtlichen Regelungen zu prüfen, inwieweit die Übermittlung personenbezogener Daten tatsächlich erforderlich ist. Wenn Funktionsübertragungen erst erfolgen, nachdem der Arbeitsvertrag geschlossen ist, wird damit gewissermaßen gestaltend auf das Arbeitsverhältnis eingewirkt. Obwohl die Datenverarbeitungen des die Funktion übernehmenden Konzernunternehmens nicht von dem abweichen dürfen, was auch dem Arbeitgeber selbst erlaubt wäre, und sich die Datenverarbeitung des funktionsübernehmenden Unternehmens insoweit innerhalb der Zweckbestimmung des Arbeitsverhältnisses zu bewegen hat, sind die Übermittlungen nicht durch 28 Abs. 1 Satz 1 Nr. 1 BDSG gedeckt 16. Denn der Vorgang der Funktionsübertragung als solcher, durch den das Arbeitsverhältnis umgestaltet wird, und die damit verbundenen Datenübermittlungen vom Arbeitgeber an den Funktionsübernehmer sind dessen Datenverarbeitung vorgelagert. Diese Übermittlungen können nicht durch 28 Abs. 1 Nr. 1 BDSG erlaubt sein, sondern allenfalls durch 28 Abs. 1 Nr. 2 oder Abs. 3 Nr.1 BDSG, denn andernfalls würde doch letztlich ein Konzernprivileg anerkannt (s. bereits die Ausführungen zu Beginn von Nr. 3.1) Abs. 1 Satz 1 Nr. 2 BDSG, 28 Abs. 3 Nr. 1 BDSG Scheidet 28 Abs. 1 Satz 1 Nr. 1 BDSG als Erlaubnistatbestand aus, so stellt sich die Frage, ob die mit der Personalübermittlung verfolgten Interessen des Arbeitgebers (übermittelnde Stelle) oder des anderen Konzernunternehmens (empfangende Stelle, Dritter) die Übermittlung nach 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. 28 Abs. 3 Nr. 1 BDSG rechtfertigen können. Bei der Auslegung dieser Vorschriften sind zum einen die Grundentscheidungen und Beschränkungen des einzelnen Arbeitsvertrages bzw. die Kernpflichten des Arbeitgebers zu berücksichtigen, denn die genannten Erlaubnistatbestände rechtfertigen keine beliebige Erweiterung des durch 28 Abs. 1 Satz 1 Nr. 1 BDSG abgesteckten Verarbeitungsrahmens. Unzulässig wären daher Übermittlungen, die dazu führen, dass andere Konzernunternehmen die Daten in einer Weise nutzen, die dem Arbeitgeber selbst verwehrt wären. Die Übermittlung bzw. Bereitstellung von Personaldaten für einen im Konzern frei verfügbaren Datenpool wäre inakzeptabel. Legitim können lediglich streng zweckgebundene Personaldatensammlungen sein 17. Ob und welche Daten bei einer Funktionsübertragung weitergegeben werden dürfen, 16 So aber wohl Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr Er differenziert jedenfalls nicht explizit danach, ob die Funktionsübertragung bereits vor Eingehung des Arbeitsverhältnisses stattgefunden hat oder erst danach erfolgt ist. 17 Ruppmann, S. 115

8 richtet sich ausschließlich nach der jeweils übernommenen Funktion und der für diese erforderlichen Daten 18. Zum anderen ist bei der Auslegung die gesetzgeberische Grundentscheidung gegen ein Konzernprivileg zu berücksichtigen. Daraus ergibt sich, dass das allgemeine Interesse an einer arbeitsteiligen Zusammenarbeit der Konzernunternehmen nicht per se höher zu bewerten ist, als die Belange der betroffenen Arbeitnehmer, dass ihre Daten beim Arbeitgeber verbleiben. Vielmehr ist nach Ansicht der Aufsichtsbehörden im Grundsatz davon auszugehen, dass die schutzwürdigen Belange der Arbeitnehmer einer Übermittlung entgegenstehen. 8 Vertreter der Wirtschaft halten dies für mit 28 Abs. 1, Satz 1 Nr. 2 BDSG nicht vereinbar, weil diese Norm voraussetzt, dass kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Arbeitnehmers die Interessen des Arbeitgebers überwiegen. Besteht kein Grund zu solch einer Annahme, so sei die Übermittlung zulässig; das Gesetz verlange vom Arbeitgeber gerade nicht, im Einzelfall stets vermutete schutzwürdige Interessen des Arbeitnehmers zu entkräften. Bei der gebotenen sorgfältigen Abwägung unter Berücksichtigung der Umstände können besondere Verträge und Konzernregelungen eine Rolle spielen. Jedenfalls dann, wenn das datenempfangende Konzernunternehmen Befugnisse und Funktionen erhält, die an sich dem Arbeitgeber zustehen, kann - nach Ansicht der Aufsichtsbehörden - 28 Abs. 1 Satz 1 Nr. 2 bzw. 28 Abs. 3 Nr. 1 BDSG die Übermittlung daher grundsätzlich nur rechtfertigen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der Arbeitnehmer treffen, so dass das Ergebnis der Abwägung doch noch zugunsten der berechtigten Interessen der Konzernunternehmen ausfällt 19. Welche Maßnahmen die Konzernunternehmen in die Waagschale der Abwägung zugunsten der Betroffenen einbringen müssen, kann nur im Einzelfall entschieden werden. In Betracht kommt die Schaffung eines konzernweiten Datenschutzkonzepts, das einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen und koordinierte Sicherheitsmaßnahmen festschreibt. Der Verarbeitungsverlauf muss für die Betroffenen transparent sein. Nach Auffassung der Aufsichtsbehörden muss vor allem die durch die Übermittlung herbeigeführte Diversifizierung der Verantwortlichkeiten dadurch kompensiert werden, dass der Arbeitgeber umfassend Ansprechpartner für den Arbeitnehmer bleibt, d.h. auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einsteht zusätzlich zu denjenigen Unternehmen, an welche die Daten übermittelt wurden. 18 Simitis, 28, Rdnr vgl. Niedermeier/Schröcker, RDV 2001, S. 90, deren Bewertung kann aber insoweit nicht gefolgt werden, als eine erhebliche Zweckänderung nicht gerechtfertigt werden kann. Die als sog. Verbundklausel geforderte Einwilligung für die Übermittlung von Kundendaten im Allfinanzkonzern ist daher auf jeden Fall erforderlich.

9 Entsprechende Regelungen müssten zwischen den beteiligten Konzernunternehmen verbindlich getroffen werden, sei es durch Verträge oder in Form von Unternehmensregelungen 20. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden, z.b. als Vertrag zugunsten Dritter oder als Garantievertrag mit den Betroffenen (zugangsbedürftige, aber nicht annahmebedürftige Garantieerklärung, z.b. durch Veröffentlichung im Intranet) oder als Betriebsvereinbarung (s. u. Nr. 5.). Derartige Regelungen können dann bei der Abwägung im Rahmen des 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. 28 Abs. 3 Nr. 1 BDSG berücksichtigt werden. Die Vertreter der Wirtschaft halten jedenfalls die Forderung nach einer ausdrücklichen vertraglichen Verantwortungsübernahme des Arbeitgebers für nicht gerechtfertigt. Sach- und interessengerechter sei es, von vornherein einen großen Gestaltungsspielraum für die Auftragsdatenverarbeitung anzuerkennen (s.o. zu Nr. 2). Bei einer Funktionsübertragung sei nämlich zu berücksichtigen, dass der Funktionsübernehmer als verantwortliche Stelle einen umfassenderen Spielraum bei der Nutzung der Daten erhalte (z.b. sie im Rahmen von 28 Abs. 2, 3 BDSG für andere Zwecke nutzen könne), so dass die Rechte der Betroffenen bei Annahme einer Auftragsdatenverarbeitung ggf. umfassender geschützt seien als bei Annahme einer Funktionsübertragung (bzw. es bedürfe nicht besonderer vertraglicher Regelungen, um die Zweckänderung auszuschließen). Eine vertragliche Verdoppelung der Verantwortlichkeiten (zum einen der Arbeitgeber, zum anderen das die Aufgabe übernehmende Unternehmen, das bei Annahme einer Funktionsübernahme wegen 6 BDSG nicht aus der Verantwortung entlassen werden kann) sei den Unternehmen nicht vermittelbar. Vor dem Hintergrund, dass beispielsweise bei einer Auslagerung der Personalverwaltung der Arbeitnehmer bereits aus dem Arbeitsvertrag einen Anspruch auf Durchsetzung der Berichtigung falscher Daten etc. bei dem personalverwaltenden Unternehmen haben dürfte (arbeitsvertragliche Nebenpflicht), erscheine eine explizite zusätzliche Regelung zumindest überzogen. 3.3 Sonderproblem: Besondere Arten personenbezogener Daten nach 3 Abs. 9 BDSG Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten ist durch die Erlaubnistatbestände der 28 Abs. 1-3 BDSG nicht gedeckt. Art. 8 Abs. 2b EG-Datenschutzrichtlinie gestattet zwar Ausnahmen vom Verbot der Verarbeitung besonderer Arten personenbezogener Daten, wenn die Verarbeitung erforderlich ist, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies auf Grund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist. Das BDSG enthält jedoch einen solchen speziellen Erlaubnistatbestand nicht vgl. Ruppmann, S. 116, wonach Vertragslösungen und Verhaltensregeln praktikable Alternativen darstellen, um eine Grundlage für konzerninterne Datenflüsse zu schaffen; allerdings werden in ihrer Darstellung die Aspekte des Drittstaatentransfers vermengt mit der grundsätzlichen Frage des konzerninternen Datenaustauschs

10 10 Laut Gesetzesbegründung sollen die Absätze 6-9 von 28 BDSG die Regelung des Art. 8 EG-Datenschutzrichtlinie umsetzen. Im Übrigen heißt es, dass auf dem Gebiet des Arbeitsrechts bereichspezifische Regelungen geschaffen werden können 21, solche wurden aber nicht eigens geschaffen. Der Arbeitgeber kann daher besondere Arten personenbezogener Daten nur auf der Grundlage bereits bestehender bereichsspezifischer Regelungen, beispielsweise der Abgabenordnung, oder nach 28 Abs. 6 Nr. 3 BDSG verarbeiten. Nach 28 Abs. 6 Nr. 3 BDSG ist die Erhebung, Verarbeitung und Nutzung der besonderen Arten personenbezogener Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt. Wenn nun der Arbeitgeber zulässigerweise (d.h. unter den oben 3.2 genannten Voraussetzungen) Funktionen auf andere Konzernunternehmen überträgt, stellt sich die Frage, ob dies die Befugnis zur Übermittlung von besonderen Arten personenbezogener Daten und deren Verarbeitung und Nutzung durch den Funktionsübernehmer umfassen kann. Die Rechtslage ist unklar, da der für die Funktionsübertragung in Betracht kommende Erlaubnistatbestand des 28 Abs. 1 Satz 1 Nr. 2 bzw. Abs. 3 Nr. 1a BDSG (s.o. Nr. 3.2) an sich gerade nicht die Übermittlung besonderer Arten personenbezogener Daten rechtfertigen kann. Der Gesetzgeber wollte jedoch nach der Gesetzesbegründung nicht verhindern, dass die in 3 Abs. 9 BDSG genannten Daten weiterhin im Rahmen der Grundsätze des allgemeinen arbeitsrechtlichen Informations- und Datenschutzes erhoben, verarbeitet und genutzt werden 22. Wenn der Funktionsübernehmer selbst besondere Arten personenbezogener Daten erhebt, kann er sich wie der Arbeitgeber selbst auf 28 Abs. 6 Nr. 3 BDSG oder bereichsspezifische Regelungen, soweit einschlägig, berufen. Für die Übermittlung dieser Daten vom Arbeitgeber an den Funktionsübernehmer passen diese Regelungen nicht unmittelbar. Ausgehend von dem o.g. Willen des Gesetzgebers lassen sich jedoch folgende Argumente für die Zulässigkeit der Übermittlung von besonderen Arten personenbezogener Daten im Rahmen der nach Maßgabe der Ausführungen unter Nr. 3.2 zulässigen Funktionsübertragung anführen: Bereits bisher wurden im Falle einer Betriebsübernahme nach 613a BGB die erforderlichen Datenübermittlungen an den Betriebsübernehmer nach 28 BDSG grundsätzlich als zulässig bewertet 23. (Der Arbeitnehmer kann diese Übermittlungen nur durch einen Widerspruch verhindern, der zugleich dazu führt, dass sein Arbeitsverhältnis nicht auf den Übernehmer übergeht, sondern mit dem veräußernden Unter- 21 Gesetzesbegründung zu 28 Abs. 6-9, BT-Drucks. 14/4329 vom 13. Okt Gesetzesbegründung zu 28 Abs. 6-9, BT-Drucks. 14/4329 vom 13. Okt. 2000; Gola, RDV 2001, 125 (127) 23 vgl. Gola, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 628

11 nehmen bestehen bleibt; in diesem Fall wird aber das veräußernde Unternehmen das Arbeitsverhältnis regelmäßig betriebsbedingt kündigen). Wenn damit zwangsläufig auch die Übermittlung besonderer Arten personenbezogener Daten zulässig sein muss, so gilt dieser Rechtsgedanke analog, wenn nicht die gesamte Arbeitgeberposition, sondern nur eine einzelne Funktion übertragen wird. Man könnte auch sagen, dass die besonderen Arten personenbezogener Daten und zugleich die Erlaubnistatbestände zu deren Verarbeitung und Nutzung als Annex mit übergehen und der Arbeitgeber diese Daten daher übermitteln darf. In der Arbeitsgruppe bestand Einigkeit, dass jedenfalls bei den unter Nr. 6 dargestellten und als zulässig bewerteten Funktionsübertragungen auch besondere Arten personenbezogener Daten im erforderlichen Umfang übermittelt und vom Funktionsübernehmer verarbeitet und genutzt werden dürfen. Allerdings sollte der Gesetzgeber klare Regelungen schaffen, um Auslegungsstreitigkeiten bei 28 Abs. 6 Nr. 3 BDSG zu vermeiden. 4. Einwilligung Zu dieser Problematik hat die Europäische Artikel 29-Datenschutzgruppe in ihrer Stellungnahme 8/2001 die Auffassung geäußert, dass es in den Fällen, in denen ein Arbeitgeber zwangsläufig auf Grund des Beschäftigungsverhältnisses personenbezogene Daten verarbeiten muss, irreführend ist, wenn er versucht, diese Verarbeitung auf die Einwilligung der betroffenen Person zu stützen. Die Einwilligung der betroffenen Person sollte nur in den Fällen in Anspruch genommen werden, in denen der Beschäftigte eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.r. als Rechtsgrundlage aus. Sie kommt aber insbesondere bzgl. der Teilnahme an Aktienoptionsprogrammen oder Bonussystemen in Betracht, bzgl. letzteren allerdings nur dann, wenn die Teilnahme an den Bonussystemen nicht die einzige Chance ist, um überhaupt eine berufliche Aufstiegsmöglichkeit zu haben. 5. Betriebsvereinbarungen Auf Grund ihres normativen Charakters stellen Konzern-, Gesamt- oder Betriebsvereinbarungen zwischen Arbeitgebern und Betriebsräten oder die diesen gleichstehende Einigungsstellensprüche formal gesehenen Rechtsvorschriften i.s.d. 4 Abs. 1 BDSG und damit Erlaubnisnormen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten dar. Nach der Rechtsprechung des Bundesarbeitsgerichtes (BAG) können Betriebsvereinbarungen und der Spruch der Einigungsstelle auch zu Ungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen. Sie müssen sich aber im Rahmen der Regelungskompetenz der Betriebspartner halten und den Grundsätzen über den Persönlichkeitsschutz des Arbeitnehmers Rechnung tragen 24. Demgegenüber vertreten die Aufsichtsbehörden die Auffassung, dass Betriebsvereinbarungen vom BDSG solange abweichen dürfen, wie sie die dort getroffenen Rege BAG, BB 1986, S betr. Telefondatenerfassung

12 lungen durch Schutzverordnungen ersetzen, die den je spezifischen Beschäftigungsbedingungen besser angepasst, allerdings mindestens ebenso weit reichend sind. Der Schutz der informationellen Selbstbestimmung könne präzisiert und ausgebaut, nicht jedoch verdrängt werden 25. Wenn mit Hilfe von Betriebsvereinbarungen der oben unter Nr. 3, insbesondere unter Nr. 3.2, dargestellte Gestaltungsspielraum genutzt wird, (und die dortigen Anforderungen erfüllt sind) bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung. Es kann dann im Grunde sogar dahingestellt bleiben, ob die Betriebsvereinbarung als vorrangige Rechtsnorm anzusehen ist oder ob 28 Abs. 1 Satz 1 Nr. 2 bzw. 28 Abs. 3 Nr. 1 BDSG die Übermittlung rechtfertigt. Die unter Nr. 3.2 geforderten besonderen Regelungen können somit in Form von Betriebsvereinbarungen geschaffen werden. 6. Einzelfälle 6.1 Konzernweites Namens-, Telefon- und -verzeichnis In vielen Konzernen insbesondere internationalen werden Namens-, Telefon- und -verzeichnisse genutzt, häufig enthalten diese Verzeichnisse personenbezogene Daten sämtlicher Mitarbeiter. Sofern es für die Erbringung der Arbeitsleistung jedes Mitarbeiters aktuell erforderlich ist, dass er auf die dienstlichen Kommunikationsdaten (Name, Abteilung, dienstliche Telefon- und Telefax-Nummer, -adresse) aller anderen im Verzeichnis aufgeführten Mitarbeiter zugreifen kann und diese auf seine Daten zugreifen können, weil es erforderlich ist, dass jeder mit jedem kommunizieren kann, wäre die Erstellung und Übermittlung des Verzeichnisses im Intranet gemäß 28 Abs. 1 Nr. 1 BDSG zulässig. Ansonsten kommt 28 Abs. 1 Satz 1 Nr. 2 oder 28 Abs. 3 Nr. 1 BDSG in Betracht. Ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen kann jedoch nur anerkannt werden, wenn zumindest ein vernünftiger Grund für ein konzernweites Verzeichnis besteht (z.b. zentrale Versendung von s zur zeitgleichen Information aller Mitarbeiter; grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen). Differenzierungen entsprechend den aktuellen und konkreten Aufgabenzusammenhängen (z.b. Abteilung 1 des Konzernunternehmens X muss grundsätzlich nur mit Abteilung 2 des Unternehmens Y und Z, nicht aber mit deren Abteilung 1 kommunizieren können) sind dann nicht erforderlich, denn sie würden dazu führen, dass mehrere, unter Umständen eine Vielzahl verschiedener Verzeichnisse erstellt werden müssten. Angesichts der geringen Sensitivität der Daten wäre dies ein unverhältnismäßiger Aufwand. Um jedoch den schutzwürdigen Belangen der betroffenen Mitarbeiter, insbesondere Nicht-Funktionsträger (z.b. Schreibkraft, LKW-Fahrer) Rechnung zu tragen, ist die beabsichtigte Erstellung des Verzeichnisses vorher bekannt zu machen, damit Betroffene besondere Gründe vortragen können, die einer Aufnahme in das Verzeichnis Simitis, 28 Rn. 47

13 entgegenstehen (Abwägung im Rahmen des 28 Abs. 1 Nr. 2 BDSG bzw. des 35 Abs. 5 BDSG). Soll das Verzeichnis im Internet veröffentlicht werden, müssen Nicht-Funktionsträger generell ein Widerspruchsrecht haben Auslagerung/Zentralisierung der Personalverwaltung In der Arbeitsgruppe bestand Einigkeit, dass dies entweder als Auftragsdatenverarbeitung oder nach 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. 28 Abs. 3 Nr. 1 BDSG, sofern besondere Datenschutzregelungen geschaffen werden, realisiert werden kann (s.o. Nr. 2 und 3.2). Im erforderlichen Umfang können auch besondere Arten personenbezogener Daten übermittelt werden (s.o. Nr. 3.3). 6.3 Datenübermittlung im Rahmen von Matrix-Strukturen Ein Phänomen, das in der Praxis vielfach zu beobachten ist, stellt die zunehmende Organisation der Unternehmen in Matrix-Strukturen dar. Dies spiegelt sich u. a. auch in der Vorgesetztenstruktur wider. Ein Arbeitnehmer hat innerhalb einer solchen Matrix-Struktur unter Umständen eine Vielzahl von Vorgesetzten, zugleich steigt die Anzahl der zur Gewährleistung der Matrix-Struktur zu übermittelnden Daten des Arbeitnehmers bei den verschiedenen Stellen. Dies bedeutet, dass durch die einzelnen Unternehmen hindurch über horizontale Gliederung Leitungsstränge und Verantwortungsbereiche geschaffen werden, indem die Fachvorgesetztenfunktion, teilweise auch die Personalvorgesetztenfunktion auf ein oder mehrere Personen in anderen Konzernunternehmen übertragen werden. Ist diese Struktur bei Eingehung des Arbeitsvertrages bereits vorhanden und erkennbar sowie vom Betroffenen gebilligt, hat das Arbeitsverhältnis Konzernbezug und 28 Abs. 1 Satz 1 Nr. 1 BDSG ist Rechtsgrundlage. Wird eine solche Struktur jedoch erst nach Eingehung des Arbeitsverhältnisses geschaffen, erfolgt grundsätzlich eine Umgestaltung des Arbeitsverhältnisses als Rechtsbeziehung zwischen Arbeitnehmer und Arbeitgeber in eine Beziehung des Arbeitnehmers zu verschiedenen Unternehmen. Als Rechtsgrundlage für Übermittlungen an dasjenige Unternehmen, dem der Matrix-Vorgesetzte angehört, kommt 28 Abs. 1 Satz 1 Nr. 2 BDSG oder 28 Abs. 3 Nr. 1a BDSG in Betracht. Wenn jedoch der Matrix-Vorgesetzte als rechtsgeschäftlicher Vertreter des jeweiligen Arbeitgebers der betroffenen Mitarbeiter tätig wird, ist 28 Abs. 1 Satz 1 Nr. 1 BDSG Rechtsgrundlage für die Datenweitergabe. In anderen Fällen liegt eine Funktionsübertragung vor, so dass die unter Nr. 3.2 und Nr. 3.3 aufgezeigten Grundsätze gelten vgl. Tätigkeitsbericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für 1998, Nr. 5.4, S. 170 f.

14 Auf die dort geforderten speziellen Konzernregelungen kann jedoch trotz Übertragung nicht unerheblicher Entscheidungsbefugnisse verzichtet werden, sofern ein enger Arbeitszusammenhang zwischen den an der Matrixstruktur beteiligten Konzernbereichen besteht, insbesondere bei Projektarbeit zwischen den betroffenen Mitarbeitern. Denn wenn sich eine Matrixstruktur auf Grund des Arbeitsinhaltes geradezu aufdrängt, sind auch die Interessen der betroffenen Mitarbeiter an einem Ausschluss der Übermittlung geringer zu bewerten. 6.4 Skill-Datenbanken Konzernübergreifende Datenbanken, in denen besondere Fähigkeiten eines Mitarbeiters gespeichert sind, werden zu verschiedenen Zwecken erstellt. Teilweise dienen sie zur optimalen Rekrutierung von Führungskräften oder generell der Vergabe von Beförderungsstellen im Konzern. Oftmals soll eine solche Datenbank aus Gründen der Chancengleichheit nicht von vornherein auf die Gruppe der Führungskräfte beschränkt werden. Skill-Datenbanken können auch den gegenwärtigen operativen Bereich betreffen, um die richtigen Mitarbeiter mit wenig zeitlichem und finanziellem Aufwand an für den Konzern optimaler Stelle zu platzieren. Vielfach ist es den Mitarbeitern freigestellt, ihre Daten in die Skill-Datenbank einzugeben. Sofern Freiwilligkeit gewährleistet ist, kann die Verarbeitung der Personaldaten in der Skill-Datenbank durch eine Einwilligung der Beschäftigten im Sinne von 4a BDSG (ggf. durch aktives Tun) gerechtfertigt werden. Nicht immer ist die Aufnahme in die Skill-Datenbank jedoch freiwillig, dies gilt insbesondere für solche, die der Teambildung dienen oder dem gesetzlich geforderten Nachweis einer bestimmten Qualifikation. Je nach Zweck der Datenbank und dem Kreis der Zugriffsberechtigten kommt 28 Abs. 1 Satz 1 Nr. 1 BDSG oder 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. 28 Abs. 3 Nr. 1a BDSG als Rechtsgrundlage in Betracht. Sollen Skill-Datenbanken verwendet werden, um potentiellen Kunden die Qualifikation der Mitarbeiter nachzuweisen, kommt soweit ein solcher Qualitätsnachweis überhaupt erforderlich ist grundsätzlich nur die Übermittlung solcher Daten in Betracht, aus denen der Kunde keine Rückschlüsse auf die Identität des Mitarbeiters ziehen kann. 6.5 Übertragung wichtiger Personalentscheidungen Werden wichtige Personalentscheidungen isoliert auf andere Unternehmen übertragen, d.h. nicht im Rahmen von Matrixstrukturen und auch nicht im Rahmen einer Zentralisierung der Personalverwaltung, so ist die Zulässigkeit der hierfür erfolgenden Übermittlungen von Personaldaten besonders kritisch zu prüfen. Dies gilt insbesondere, wenn eine Konzernmutter die Übermittlung personenbezogener Personaldaten fordert, um über betriebsbedingte Kündigungen in der Tochtergesellschaft zu entscheiden, vor allem um die Sozialauswahl zu treffen. In einem solchen Fall dürfte sich keine Fürsorgebeziehung zwischen der Konzernmutter und dem 14

15 einzelnen Arbeitnehmer wie bei einer langjährigen umfassenden persönlichen Personalbetreuung entwickelt haben. Da die Daten aus dem üblichen Kontext gerissen werden und somit eine gewisse Gefahr besteht, dass sie in sachlich nicht gerechtfertigter Weise genutzt werden, stehen die schutzwürdigen Belange der Betroffenen einer personenbezogenen Übermittlung entgegen. Auch die Übermittlung nur pseudonymisierter Daten ist aus diesen Erwägungen problematisch, so dass grundsätzlich nur die Übermittlung statistischer Daten in Betracht kommt. Wenn die Konzernmutter die konkrete Entscheidung über die Einstellung eines neuen Mitarbeiters trifft, so ist die hierfür ggfs. erfolgende Datenübermittlung zulässig, wenn dies transparent gemacht und die Konzernmutter auch als insoweit verantwortliche Stelle gemäß 4 Abs. 3 Nr. 1 BDSG von vornherein genannt wird oder der Arbeitgeber jedenfalls die Bewerber zumindest gemäß 4 Abs. 3 BDSG informiert und die Konzernmutter dann gemäß 33 BDSG benachrichtigt. Sofern eine konzerninterne oder externe Stelle nur als Berater fungiert und die Vorauswahl trifft, d.h. Entscheidungsvorschläge unterbreitet, gehen die Vertreter der Wirtschaft teilweise davon aus, dass dies als Auftragsdatenverarbeitung gestaltbar sei (vgl. die oben unter Nr. 2 dargestellte Diskussion). 7. Drittstaatentransfer 15 Für die Übermittlung von personenbezogenen Daten an ein Konzernunternehmen in Staaten außerhalb der Europäischen Union und außerhalb der Vertragsstaaten des Europäischen Wirtschaftsraumes gelten die besonderen Anforderungen der 4b, 4c BDSG. Diese sind zusätzlich zu den o.g. Anforderungen für Datenübermittlungen nach 28 und 4 BDSG zu beachten. Die Prüfung ist in zwei Stufen durchzuführen. Bei der in der 2. Stufe zu bewertenden Frage, ob ein angemessenes Datenschutzniveau im Sinne des 4b BDSG bzw. ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechtes und der Ausübung der damit verbundenen Rechte im Sinne des 4 c Abs. 2 BDSG vorliegen, sind verbindliche Unternehmensregelungen und Verträge zwischen den Konzernunternehmen zu beachten. Diese Regelungen können je nach Lage des Einzelfalls auch dazu dienen, die Voraussetzungen des 28 BDSG, die in der 1. Stufe zu prüfen sind, zu erfüllen.