Auftragsdatenverarbeitung innerhalb eines Konzerns

  • Hallo zusammen,

    der Fall wird gleich etwas komplizierter, daher muss ich etwas ausholen.

    Wir (Unternehmen A) sind ein eigenständiges Unternehmen als GmbH; 100%iger Anteilseigner ist Unternehmen B.

    B möchte bei uns für die Personalverwaltung SuccessFactors einführen.

    Zu diesem Zweck wurden zwischen A (Auftraggeber) und B (Auftragnehmer) der Vertrag über die Auftragsdatenverarbeitung geschlossen. Alles ohne Zustimmung von uns (dem BR von A) oder vorheriger Information. Wir haben schon mehrfach das Thema Datenschutz (wo liegen Personaldaten, fehlender Datenschutzbeauftragter...) angesprochen.

    Nun kommt noch dazu, dass der frisch gekürte Datenschutzbeauftragte von A bei B angestellt und auch dort Datenschutzbeauftragter ist.

    Wir sehen nun folgendes extrem kritisch und bitten um Eure Einschätzung:

    -Mitbestimmung bei der Einführung von SuccessFactors und der Auftragsdatenverarbeitung ist nicht erfolgt. Der BR ist vollkommen übergangen worden.

    -Grundsätzlich besteht bei der Auswahl des Datenschutzbeauftragten wohl keine Mitbestimmung, die Position muss nur bestehen. Aber wir vermuten hier einen Interessenskonflikt beim Datenschutzbedauftragten; er müsste im Auftrag von A regelmäßig die Datenverbeitung bei B überprüfen; bekommt aber von B das Gehalt. Ist dies überhaupt zulässig?

    Wir erwägen uns die Unterstützung durch einen externen Sachverständigen zu beschaffen möchten uns aber vorab gerne schlau machen. Gibt es hier Datenschutzexperten, welche die Situation abschätzen können?

    DANKE

    Gruß Nico

  • hallo,

    grundsätzlich sind alle diese Fragen mitbestimmungspflichtig - auch innerhalb eines Konzerns. Der Mutterbetrieb funktiniert hier grundsätzlich wie ein x-beliebiger externer Dienstleister.

    Bei Euch müßte allerdings geprüft werden, ob es auf Ebene des Konzerns hierzu übergreifende Regelungen gibt.

    Falls der Datenschutz aber auf Eurer Betriebsebene angesiedelt ist, dann solltet Ihr Eure MBRe ganz schnell geltend machen und ggfs. mit rechtlichem Beistand die "Auslagerung" stoppen, um die Schaffung vollendeter Tatsachen zu verhindern. Erst dann kommt der inhaltliche Teil, zu dem Ihr dann ggfs. einen Berater hinzuziehen könnt.

  • Hallo,

    nach Recherche am Wochenende habe ich die "Theorie der Wirksamkeitsvoraussetzung" gefunden.

    Danach führt eine Verletzung von Mitbestimmungsrechten des BRs zu einer einer Unwirksamkeit von Maßnahmen oder Rechtsgeschäften, die AN belasten.

    Somit wäre der Vertrag zwischen A und B erstmal unwirksam. Dies werden wir entsprechend schriftlich mitteilen.

    Danach werden wir dann vorschlagen eine GEMEINSAME Lösung für die Thematik zu erarbeiten, ggf. unter Einbeziehung eines externen Fachmannes.

    Danke erstmal für die Reaktion.

    Gruß Nico

  • Zitat von kowiseiner

    Somit wäre der Vertrag zwischen A und B erstmal unwirksam. Dies werden wir entsprechend schriftlich mitteilen.

    Wenn ihr euch nicht ganz furchtbar blamieren wollt, solltet ihr das lassen.

    Denn der Vertrag zwischen den Unternehmen A und B ist ganz sicher nicht vom Wohl oder Wehe irgendeines BRs abhängig.

    Was ihr aber machen könnt, ist den AG darauf hinzuweisen, dass hier offensichtlich die Mitbestimmung des BRs grob umgangen wurde und ihr deshalb der Verwendung des Systems bis zur abschließenden Klärung widersprecht.

    Und sollte der AG nicht sofort einlenken könnt ihr euren RA "von der Kette lassen" und eine einstweilige Verfügung beantragen.

    Um das ganz klar zu machen: der AG kann soviele Verträge mit wem auch immer, worüber auch immer schließen. Ihr als BR werdet ihn nicht daran hindern! Ob er die Verträge auch umsetzen kann, in diesem Fall das System einsetzen, ist eine ganz andere Frage!

    (Analogie: Euer AG könnte sich auch vertraglich verpflichten rund um die Uhr Support zu geben. Ohne eine entsprechende Eingung mit dem BR wird er nur die notwendigen Arbeitszeiten nicht abbilden können. D.h. ohne den BR wird der AG den Vertrag nicht leben können, aber die Rechtswirksamkeit des Vertrages an sich ist dadurch nicht beeinflusst!

    Das hast du ja im Prinzip auch geschrieben, wenn du richtig schreibst:

    Zitat von kowiseiner

    Danach führt eine Verletzung von Mitbestimmungsrechten des BRs zu einer einer Unwirksamkeit von Maßnahmen oder Rechtsgeschäften, die AN belasten.

    Heißt: der AN wäre durch einen solchen Vertrag nicht gezwungen jetzt 24/7 Schichtdienst zu machen, nur weil der AG sich dazu verpflichtet hat. Dazu (und eben nur dazu!) braucht es die Zustimmung des BRs. )

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Danke Moritz.

    Also gegen den Vertrag an sich können wir nichts ausrichten.

    Aber gegen dessen Umsetzung mit den Auswirkungen auf die AN da dies komplett am BR vorbei ohne Absprache, Zustimmung oder BV vom AG abgehandelt wurde.

    Wie beurteilt Ihr den Interessenkonflikt des Datenschutzbeauftragten?

    Angestellt bei B (Auftragnehmer) und als Datenschutzbeauftrater bei A (Auftraggeber) und B (Auftragnehmer) eingesetzt.

    Er muss also unter Wahrnehmung seiner Aufgabe als Datenschutzbeauftragter von A die Arbeiten von B kontrollieren, erhält von dort aber auch sein Gehalt. Für uns ein Fall von Selbstkontrolle und damit ein Interessenkonflikt.

    "Auch andere Personen außerhalb des Betriebes können ausscheiden, wie beispielsweise ... ein externer Datenschutzbeauftragter, welcher selbst einem Interessenkonflikt unterliegen könnte, wenn dieser beispielsweise bei der Firma beschäftigt ist, die auch die IT-Lösung oder andere Lösungen für das Unternehmen realisiert hat, und somit hier Interessenkonflikte und die Gefahr der Selbstkontrolle gegeben sind. Die Aufsichtsbehörden können die Fachkunde des Datenschutzbeauftragten prüfen und sich nachweisen lassen und in berechtigten Fällen auch die unwirksame Bestellung feststellen oder den Datenschutzbeauftragten von seiner Bestellung entheben."

  • Hallo Kowiseiner,

    im Privatrecht ist eben eine Zustimmung des BR zu einem Vertrag, den der AG abschließt, eben idR ausdrücklich keine Wirksamkeitsvoraussetzung.

    Dies gilt sogar für einen Arbeitsvertrag, den der AG ohne Zustimmung des BR abschließt, auch dieser wird wirksam und der AG muß den AN bezahlen, auch wenn dieser AN gar nicht eingesetzt werden kann.

    Auch die Gestaltung des Datenschutzes ist weitgehend alleinige AG-Angelegenheit - auch da sollte der BR die Finger davon lassen.

    Ihr habt mE genug Munition, um allein wegen formaler Verstösse gegen Euer MBR die Umsetzung der Vereinbarung stoppen zu können - und dann beginnen erst die inhaltlichen Verhandlungen

  • 1. Es gibt im BDSG kein Konzernprevileg

    2. Entscheidend ist der Datenfluss, fließen Daten von A nach B ist der BR bei A in der Mitbestimmung.

    3. Ergeben sich durch die Einführung bzw die Veränderung der Datenverarbeitung Änderungen in den Arbeitsabläufen Arbeitsaufgaben Eurer Kollegen? Ist eventl. eine personelle Veränderung gar der Abbau von Stellen der jetzigen Kollegen geplant?

    4. Jetzt wird es gehässig: Theoretisch haben alle Mitarbeiter von Unternehmen A haben das Recht nach § 34 BDSG "Auskunft an den Betroffenen" das Recht auf Auskunft über die gespeicherten personenbezogenen Daten, ihre Herkunft, den Zweck ihrer Speicherung und mögliche weitere Empfänger zu verlangen. (Da hat Dein AG erstmal zu tun )

    Iksor

  • Hallo Kowiseiner,

    ich wirkte als Anwalt vor einem Monat bei einer Konzernbetriebsvereinbarung über die Einführung von SAP SuccessFactor mit. Auffallend ist bei deinem Fall, dass zwischen der Mutter- und der Tochtergesellschaft ein Auftragsverarbeitungsverhältnis bestehen soll, SAP SF sieht hier für manche Module eher eine gemeinsame Datenverarbeitung (also zwei gemeinsame Verantwortliche und nicht ein Verantwortlicher, ein Auftragsverarbeiter) vor.


    Zu deinen Fragen:


    1. Auftragsdatenverarbeitung und Mitbestimmung

    Werden Beschäftigtendaten mit einem System verarbeitet, welches bei einem Dritten steht und nicht bei dem Arbeitgeber, so besteht dennoch ein Mitbestimmungsrecht des BR nach 87 Abs. 1 Nr. 6 BetrVG. Der Arbeitgeber wendet das System des Dritten i.S.d. § 87 Abs. 1 Nr. 6 BetrVG an. Arbeitgeber und Betriebsrat müssen also zunächst über die Anwendung des Systems verhandeln und sich einigen. Der Arbeitgeber muss anschließend sicherstellen, dass auch der Auftragverarbeiter die Regelungen der BV beachtet. Der BR kann also den Auftragsverarbeitungsvertrag nicht unmittelbar, aber mittelbar mitbestimmen. Der Auftragsverarbeitungsvertrag ist aber ohne die Wahrung der Mitbestimmungsrechte wirksam, der BR kann lediglich die Unterlassung der Anwendung des Systems gerichtlich durchsetzen.

    Nachdem die DSGVO ab Mai 2018 gilt, wird es noch etwas komplizierter. Ich würde euch raten, eine Rahmen-BV mit dem Arbeitgeber abzuschließen (die Rahmen-BV regelt u.a. den Prozess, den die Betriebsparteien bei jedem IT-System einhalten müssen).

    2. Konzerndatenschutzbeauftrager

    Es ist zulässig, dass eine Person für mehrere Unternehmen eines Konzerns als Datenschutzbeauftragter bestellt wird. Den Begriff "Konzerndatenschutzbeauftragter" gibt es gesetzlich nicht, er wird genutzt, wenn eine Person für sämtliche Konzernunternehmen als DSB bestellt ist.

    Die Rspr. sieht auch keinen Interessenskonflikt. Deine Argumentation ist zwar sehr gut, würde hingegen vor den Gerichten keinen Bestand haben. Ein Interessenkonflikt liegt nach der Rspr. nur dann vor, sofern die Möglichkeit besteht, dass die beteiligten Parteien entgegengesetzte Interessen vertreten. Bei der Auftragsverarbeitung vertreten aber die Vertragsparteien ein gemeinsames Interesse, nämlich die gemeinsame Durchführung der Auftragsverarbeitung.

    Wenn du nach Fragen hast, beanworte ich diese gerne, ein kleiner Denksport für mich.

    Gruß

    Hasso

  • Team-ifb

    Hat das Thema geschlossen.