Im Jahr 2025 haben mehrere gerichtliche Entscheidungen und aufsichtsbehördliche Hinweise den Umgang mit Mitarbeiterdaten in konzernweiten IT- und Cloud-Systemen weiter geschärft. Dabei stand insbesondere die Frage im Fokus, welche personenbezogenen Daten intern weitergegeben werden dürfen und wo klare Grenzen verlaufen.
Ausgangspunkt vieler Verfahren waren zentrale HR- oder IT-Systeme, die konzernweit genutzt werden und in denen Beschäftigtendaten gebündelt verarbeitet werden. Gerichte machten deutlich, dass auch innerhalb eines Konzerns jede Datenübermittlung eine eigenständige datenschutzrechtliche Rechtfertigung erfordert.
Besonders kritisch bewertet wurde die Übertragung von zusätzlichen Informationen, die für den konkreten Zweck des Systems nicht erforderlich sind, etwa Vergütungsdetails, private Kontaktdaten oder interne Bewertungen. Eine pauschale Berufung auf konzerninterne Abläufe oder bestehende Vereinbarungen reichte dabei nicht aus.
Für Unternehmen ergibt sich daraus die Notwendigkeit, den Umfang der in zentralen Systemen verarbeiteten Mitarbeiterdaten regelmäßig zu überprüfen. Entscheidend ist, ob die jeweiligen Daten für den vorgesehenen Zweck tatsächlich benötigt werden.
Eine klare Zweckdefinition, eine bewusste Auswahl der Datenkategorien sowie eine nachvollziehbare Dokumentation der internen Datenflüsse können dazu beitragen, Risiken zu reduzieren und die Transparenz gegenüber Beschäftigten und Aufsichtsbehörden zu erhöhen.