Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) zeigt: Die Datenweitergabe im Konzern unterliegt denselben datenschutzrechtlichen Anforderungen wie gegenüber externen Dritten. Die DSGVO kennt kein Konzernprivileg – wer innerhalb einer Unternehmensgruppe personenbezogene Daten weitergibt, muss die Vorgaben der Datenschutz-Grundverordnung einhalten.
200 € Schadenersatz für unzulässige Datenübermittlung
In einem jüngst entschiedenen Fall (Pressemitteilung des BAG vom 08.05.2025) hatte ein Unternehmen sensible Mitarbeiterdaten – darunter Gehalt, Adresse und Steuer-ID – im Rahmen eines Softwaretests an die Konzernzentrale übermittelt. Eine bestehende Betriebsvereinbarung erlaubte jedoch nur die Weitergabe bestimmter, ausgewählter Informationen.
Das BAG stellte einen Verstoß gegen Art. 6 Abs. 1 DSGVO fest und sprach dem betroffenen Mitarbeiter immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 € zu.
Konzernstrukturen schützen nicht vor DSGVO-Pflichten
Ein häufiger Irrtum: Innerhalb einer Unternehmensgruppe gelte die Weitergabe personenbezogener Daten nicht als Übermittlung. Tatsächlich gilt:
Jede juristische Person im Konzern ist eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
Das bedeutet: Datenweitergaben im Konzern müssen immer datenschutzrechtlich geprüft und rechtlich abgesichert sein – entweder durch eine passende Rechtsgrundlage oder durch eine vertragliche Regelung wie bei der Auftragsverarbeitung.
Vertragliche Absicherung ist Pflicht
Die Konstellationen innerhalb einer Unternehmensgruppe sind vielfältig: Es kann sich um eine bloße Datenübermittlung, eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit handeln. Je nach Einordnung fordert die DSGVO den Abschluss spezifischer Verträge:
Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO (z. B. bei zentraler IT oder Personalservice)
Vertrag über gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO (z. B. bei konzernweiter Nutzung eines gemeinsamen CRM-Systems)
Eine fehlende oder fehlerhafte vertragliche Regelung kann nicht nur zu Bußgeldern führen – sie entzieht auch jeder Datenweitergabe die rechtliche Grundlage.
Datensparsamkeit & Transparenz – auch im Alltag
Die DSGVO verpflichtet Verantwortliche zur Datenminimierung: Es dürfen nur solche personenbezogenen Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind. Dieser Grundsatz gilt nicht nurfür Softwaretests oder konzerninterne Datenflüsse – sondern auch im täglichen Umgang mit Beschäftigtendaten.
Ein besonders drastischer Fall: Das Arbeitsgericht Duisburg (Urteil vom 26.09.2024, Az. 3 Ca 77/24) verurteilte eine Vereinspräsidentin zu 10.000 € Schadenersatz, nachdem sie in einer Rundmail an 10.000 Mitglieder den Krankheitsstand eines Mitarbeiters öffentlich gemacht und dessen Erkrankung infrage gestellt hatte. Hier wurde Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) verletzt.
Was daraus folgt? Selbst gut gemeinte oder beiläufige Mitteilungen überKrankmeldungen können datenschutzrechtlich heikel sein.
Arbeitgeber sollten sichdaher bei Abwesenheitsinformationen auf neutrale Formulierungen wie „nicht im Haus“oder „aktuell abwesend“ beschränken. Eine explizite Nennung des Gesundheitszustandsist nur in absoluten Ausnahmefällen zulässig – etwa, wenn eine konkrete Einwilligungvorliegt oder zwingende gesetzliche Gründe dies erfordern.
Praxistipps für Arbeitgeber und Datenschutzverantwortliche
Echte Daten sind keine Testdaten: Wenn Software getestet wird, sollten möglichst anonymisierte oder pseudonymisierte Datensätze verwendet werden.
Transparenz schaffen: Beschäftigte müssen wissen, was mit ihren Daten passiert – auch innerhalb der Unternehmensgruppe.
Betriebsvereinbarungen einhalten: Bestehende Regelungen dürfen nicht überschritten werden.
Gesundheitsdaten schützen: Informationen über Krankmeldungen sind besonders sensibel – neutrale Formulierungen wie „aktuell nicht im Dienst“ sind in der Regel ausreichend.
Vertragliche Regelungen prüfen: Ist die Datenweitergabe eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Dann braucht es vertragliche Regelungen.