Hallo in die Runde,
folgende Situation:
Unternehmen U benutzt zur internen Kommunikation mit seinen MA (Nachrichten, Ankündigungen Betriebsversammlungen, Telefonbuch, etc) das Intranet.
Die Tochtergesellschaft T des U, die ein rechtlich eigenständiges Unternehmen ist, möchte auf das Intranet des U Zugriff haben. Die Mitarbeitende der Tochtergesellschaft sind aber keine MA des U und unterliegen auch nicht den Dienstanweisungen oder Dienstvereinbarungen des U. Sie sind auch nicht befugt an Betriebsversammlungen des U teilzunehmen.
Was spricht datenschutzrechtlich dagegen (oder dafür), dass man der T keinen (oder einen) Zugriff auf das Intranet des U gewährt?
Vielen Dank schon mal für den Austausch!
Beim Intranet sollte es ja möglich sein, den Zugriff zu steuern. Sprich: Das Tochteruntenehmen T sollte nur Zugriff auf die Intranetseiten erhalten, die es benötigt. Dann spricht m.E. nichts dagegen.
Welche Inhalte sind für Beschäftigte der T erforderlich zu wissen? Auch für nicht personenbezogene Daten sollte das “need-to-know” Prinzip gelten. Flankierend sollten auch Schulungen für die Beschäftigten der U erfolgen, die deutlich machen, dass im Intranet nur Informationen der passenden Vertraulichkeitsstufe veröffentlicht werden dürfen. Sollten Im Intranet Daten von Beschäftigten veröffentlicht werden, sollte die “Übermittlung” auch an die Informationsangaben nach Art. 13 I lit. e DSGVO gedacht werden.