§ 12 Grenzüberschreitender Verkehr von Beschäftigtendaten / b) Erforderlichkeit für Vertragsabschluss oder Vertragserfüllung, Art. 49 Abs. 1 lit. b und lit. c DSGVO

Rz. 71

Die grenzüberschreitende Übermittlung von Daten ist nach Art. 49 Abs. 1 lit. b und lit. c DSGVO auch dann zulässig, wenn sie zum Abschluss oder für die Erfüllung eines Vertrags mit dem Betroffenen oder einem Dritten tatsächlich erforderlich ist. Das Kriterium der "Erforderlichkeit" ist wegen des (in der Norm-Überschrift betonten) Ausnahmecharakters von Art. 49 DSGVO besonders streng zu prüfen und setzt richtigerweise einen engen und erheblichen Zusammenhang zwischen dem Betroffenen und dem Vertragszweck voraus.^[72]

Im Beschäftigtenkontext dürfte die Annahme einer erforderlichen Datenübermittlung meist aus zwei Gründen ausscheiden:

▪

Datenverarbeitung innerhalb der EU als milderes Mittel: Einerseits ist die Datenübermittlung schon aus technischen Gründen nicht erforderlich, wenn sie lediglich eine Datenverarbeitung vorbereiten soll, jene Datenverarbeitung aber genauso innerhalb der EU technisch möglich wäre. Daher kann etwa die globale Zentralisierung von Gehalts- und Personalverwaltungsfunktionen im Drittland für sich genommen keine Erforderlichkeit einer grenzüberschreitenden Übermittlung von Beschäftigtendaten begründen.[73] Gleiches gilt für Datenübermittlungen zur Erfüllung entsprechender Outsourcing-Verträge, mit denen Personalverwaltungsfunktionen auf in Drittländern ansässige Anbieter ausgelagert werden.[74]

▪

Überwiegen des Interesses am Schutz der Beschäftigtendaten: Andererseits wiegt das Interesse eines Unternehmens an der Übermittlung seiner Beschäftigtendaten auf Grundlage von Art. 49 Abs. 1 lit. b und c DSGVO sehr gering, wenn sich die Übermittlung theoretisch ebenso auf Art. 46 DSGVO stützen ließe. Dies gilt insbesondere bei längerfristigen oder sich wiederholenden Datenübermittlungen, wie beispielsweise konzerninterne Datenübermittlungen.[75] In diesen Fällen wird von dem übermittelnden Unternehmen erwartet, sich mit allen zur Verfügung stehenden Mitteln um geeignete Garantieinstrumente i.S.v. Art. 46 DSGVO zu bemühen[76] und damit die Beschäftigtendaten besser zu schützen. Denn andernfalls droht das hohe EU-Datenschutzniveau – entgegen Art. 44 S. 2 DSGVO – untergraben zu werden.

Rz. 72

Praxistipp

Beschäftigtendaten lassen sich auf Grundlage von Art. 49 Abs. 1 lit. b und lit. c DSGVO allenfalls dann übermitteln, wenn dies für punktuelle Anlässe erforderlich ist, die einen zwingenden körperlich-technischen Bezug zum Drittland aufweisen und eine geeignete Garantie i.S.v. Art. 46 DSGVO nicht in Betracht kommt. Denkbares Beispiel: Der Arbeitgeber bucht für eine grenzüberschreitende berufliche Reise des Arbeitnehmers einen Flug oder ein Hotelzimmer im Drittland.^[77]

[72] Paal/Pauly/Pauly, Art. 49 Rn 13.

[73] EDPB, Leitlinien 2/2018 Art 49 DSGVO, 25.5.2018, S. 10, 12.

[74] EDPB, Leitlinien 2/2018 Art. 49 DSGVO, 25.5.2018, S. 12; Golland, Datenschutzrechtliche Anforderungen an internationale Datentransfers, NJW 2020, 2593, 2594 oder Kühling/Buchner/Schröder, DSGVO Art. 49 Rn 22

[75] Ebenso Kühling/Buchner/Schröder, Art. 49 Rn 19, A.A. (für eine teilweise Anwendung von Art. 49 DSGVO im Konzernkontext) Gola/Klug, Art. 49 Rn 6.

[76] So auch die Wertung des Art. 49 Abs. 1 S. 2 DSGVO.

[77] Auernhammer/Hladjk, Art. 49 Rn 4.