Datenübermittlung im Konzernverbund

Großraumbüro: Datenübermittlung im Konzernverbund

Wir gehen auf die Datenverarbeitung von Konzernunternehmen nach der DS-GVO und dem BDSG ein.

Großraumbüro: Datenübermittlung im Konzernverbund
Datenübermittlung im Konzernverbund

Einführung

Für international tätige Konzerne stellt es eine große Herausforderung des Datenschutzrechts dar, personenbezogene Daten den einzelnen, juristisch selbstständigen Konzernunternehmen zu übermitteln, die teilweise nicht nur im europäischen Ausland sitzen, sondern auch außerhalb des Europäischen Wirtschaftsraums. Dennoch haben Konzerne ein Interesse daran, personenbezogene Daten, beispielsweise für eine zentralisierte Personalverwaltung oder für ein konzernübergreifendes Kommunikationsverzeichnis, auch über die Grenzen eines Konzernunternehmens hinweg zu übermitteln und zu erheben.

Bisherige Lage nach BDSG, § 28 Abs. 1 BDSG

Im Lichte des BDSG kann sich für eine solche Datenübermittlung ein Erlaubnistatbestand aus § 28 Abs. 1 Nr. 2 BDSG ergeben. Dieser erlaubt eine Datenübermittlung, wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Es ist also eine Interessenabwägung zwischen Unternehmensinteressen und derjenigen des Betroffenen vorzunehmen. Kann der Betroffene eigene Interessen geltend machen, führt dies nicht automatisch dazu, dass die Rechte des Einzelnen regelmäßig überwiegen. Es ist vielmehr im Rahmen einer gerechten Interessenabwägung auszumachen, welche der geltend gemachten Interessen überwiegt. Dass dabei die Recht des Einzelnen im Einzelfall auch einmal zurücktreten müssen ist nicht ausgeschlossen. Das berechtigte Interesse muss aber ein rechtlich gebilligtes wirtschaftliches, tatsächliches oder ideelles Interesse darstellen. Ein „allgemeines Konzerninteresse“ reicht zur Begründung aber nicht aus, da sich der Gesetzgeber bewusst gegen ein Konzernprivileg entschieden hat, also gegen eine erleichterte Übermittlung personenbezogener Daten zwischen verschiedenen Gesellschaften eines Konzerns. Darüber hinaus darf es nicht bloß um irgendein Interesse gehen, sondern es muss sich aus der beabsichtigten Datenverarbeitung ergeben und auch erforderlich sein. Eine bloße Zweckförderung reicht dafür nicht aus.

Datenverarbeitung im Beschäftigtenverhältnis

Für die Datenverarbeitung eines Beschäftigten gilt neben § 28 Abs. 1 Nr. 2 BDSG, oder nach anderer Meinung auch verdrängend, die Spezialvorschrift des § 32 BDSG, der eine Datenverarbeitung von personenbezogenen Daten von Beschäftigten nur erlaubt, wenn dies zur Begründung oder Durchführung eines Beschäftigtenverhältnisses erforderlich ist. Die Rechtfertigung hierfür kann nicht über einen bloß nützlichen Zweck erreicht werden. Beispielsweise ist die Errichtung einer konzernübergreifenden Datenbank über Mitarbeiterdaten nicht erforderlich, obwohl sie für die Zwecke der Human Resources Abteilung eindeutig nützlich ist. Ein Erlaubnistatbestand über § 32 BDSG kann aber dadurch erreicht werden, dass das Arbeitsverhältnis bereits einen Konzernbezug aufweist, beispielsweise wenn der betreffende Mitarbeiter regelmäßig an unterschiedlichen Standorten des Unternehmens tätig wird oder von Anfang an dazu bereit ist, konzernweit eingesetzt zu werden.

Betriebsvereinbarungen

Die konzerninterne Datenverarbeitung kann auch durch Betriebsvereinbarungen ermöglicht werden, da diese gem. § 77 Betriebsverfassungsgesetz „andere Rechtsvorschriften“ im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen und damit einen datenschutzrechtlichen Erlaubnistatbestand begründen können. Wird die Datenverarbeitung von Mitarbeiterdaten also grundlegend in den Betriebsvereinbarungen geregelt, können solche Daten auch an andere Konzernunternehmen übermittelt werden. Dies gilt allerdings nur beim Transfer zwischen inländischen Konzernunternehmen.

Die Datenschutz-Grundverordnung und das „kleine Konzernprivileg“

Mit Einführung der europäischen Datenschutz-Grundverordnung (DS-GVO) war zunächst nicht klar, inwieweit die bestehende Rechtslage Veränderungen erfährt. Entgegen aller Veränderungsbefürchtungen wird der Erlaubnistatbestand der Interessenabwägung durch Art. 6 Abs. 1 lit. f DS-GVO weitgehend parallel zu § 28 Abs. 1 Nr. 2 BDSG beibehalten. Für die Konzerne stellt es allerdings eine Erleichterung dar, dass bei der Interessenabwägung sowohl eigene Zwecke als auch berechtigte Interessen Dritter berücksichtigt werden können. Alle Hoffnungen von Unternehmen auf die Einführung eines Konzernprivilegs durch die DS-GVO wurden wiederum enttäuscht. Allerdings beinhaltet der Erwägungsgrund 48 ein sog. „kleines Konzernprivileg“, welches klarstellt, dass Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Unternehmensgruppe zu übermitteln. Dabei wird Bezug genommen auf Daten von Kunden, sowie von Beschäftigten gleichermaßen. Damit ist aber nicht vielmehr gesagt, als dass Konzerninteressen in der Interessenabwägung des Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden müssen.

Der Begriff der berechtigten Interessen sollte unter Bezugnahme auf den Erwägungsgrund 47 S.2, 6, 7 weit ausgelegt werden. Beispielsweise reicht für die Begründung eines berechtigten Interesses bereits das Bestehen eines Rechtsverhältnisses zwischen dem Verantwortlichen und dem Betroffenen. Ausreichend ist laut Erwägungsgrund dabei schon, wenn die betroffene Person Kunde des Verantwortlichen ist oder in seinen Diensten steht. Aber auch die Direktwerbung wird als mögliches berechtigtes Interesse genannt. Erschwerend kommt allerdings hinzu, dass die Datenverarbeitung aufgrund einer Interessenabwägung ein größeres Risiko mit sich bringt als zuvor, da dem Betroffenen das Recht zum Widerspruch gegen die Datenverarbeitung gem. Art. 21 Abs. 1 DS-GVO zukommt und er hierüber auch informiert und aufgeklärt werden muss.

Company-to-Company Agreement

Durch einen internen Vertrag zur konzernweiten Datenübertragung, der auch als konzerninterne Datenschutzvereinbarung oder Company-to-Company-Agreement bezeichnet wird, kann die Datenübermittlung zwischen den Konzernunternehmen ermöglicht werden. Dieser Vertrag soll dazu dienen, dass das Datenschutzniveau höher angesetzt wird, als gesetzlich vorgesehen, um damit zu garantieren, dass die Interessen des Betroffenen nicht beeinträchtigt werden. Eine Interessenabwägung wird damit nicht obsolet, sondern unter Einbeziehung der Schutzfunktion des Company-to-Company Agreement für die Interessen des Berechtigten, wird diese regelmäßig zugunsten der Konzerninteressen ausfallen. Dementsprechend niedriger sind auch die inhaltlichen Anforderungen an die Interessen des Unternehmens. Um eine solche Wirkung zu entfalten, muss das Company-to-Company Agreement aber bestimmte inhaltliche Anforderungen erfüllen und tatsächlich das gesetzliche Schutzniveau des BDSG bzw. der DSGVO übersteigen.

Betriebsvereinbarungen

Im Vergleich zur bisherigen Rechtslage nach dem BDSG stellt sich die Frage, ob auch Betriebsvereinbarungen einen Erlaubnistatbestand im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen können. Diese Frage beantwortet die Öffnungsklausel des Art. 82 DS-GVO in Verbindung mit dem dazugehörigen Erwägungsgrund positiv: Auch unter der Geltung der DS-GVO besteht die Möglichkeit, durch Gesetz oder Kollektivvereinbarung spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten der Betroffenen hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu schaffen. Damit ist ein weitgehender Gleichlauf mit der Vorschrift des § 28 Abs. 1 Nr. 2 BDSG gegeben.

Datenübermittlung außerhalb der EU

Die bisherigen Ausführungen beziehen sich zwar größtenteils auf grenzüberschreitende Sachverhalte, jedoch begrenzt auf die Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraumes. Bei einer Datenübermittlung zwischen einem Konzernunternehmen mit Sitz in Deutschland zu einem Unternehmen mit Sitz außerhalb der EU, muss eine sog. 2-Stufenprüfung vorgenommen werden. Zu den grundsätzlichen Voraussetzungen, nämlich das Vorliegen eines Erlaubnistatbestandes bzw. einer Einwilligung, muss zusätzlich in dem adressierten Drittstaat ein „angemessenes Datenschutzniveau“ vorliegen. Ob ein solches Datenschutzniveau vorliegt, muss in Drittstaaten, im Unterschied zu EU-Mitgliedstaaten, gesondert geprüft werden. Dabei kann eine solche Feststellung unter Bezug der Art der Daten, der Zweckbestimmung, der Dauer der geplanten Verarbeitung sowie das Herkunfts- und Endbestimmungsland vorgenommen werden.

Gesondert kann die EU-Kommission auf Grundlage von Art. 25 Abs. 4, 6 EG-DSRL eine solche Feststellung in verbindlicher Weise treffen. Für die Länder Argentinien, Australien, Schweiz und Kanada hat die Kommission verbindlich ein angemessenes Schutzniveau festgestellt, nicht jedoch etwa für China, Indien, Brasilien, Japan oder Russland.

Mangels angemessenen Schutzniveaus kann auch auf die Tatbestände des § 4c Abs. 1 BDSG oder auf § 4 Abs. 2 S. 1 BDSG zurückgegriffen werden. Letzterer bietet die Alternative, dass die zuständige Datenschutzbehörde die Datenübermittlung in den Drittstaat genehmigen kann, wenn das datenübermittelnde Konzernunternehmen ausreichende Garantien zum Schutz der personenbezogenen Daten aufweist. Solche Garantien können in Form von Vertragsklauseln oder „Binding Corporate Rules“, also verbindlichen Unternehmensregelungen, abgegeben werden.

Fazit und Handlungsempfehlung

Obwohl durch Inkrafttreten der DS-GVO die zentralen Regelungsregime des BDSG zur konzerninternen Datenverarbeitung gleichbleiben werden, so bringt sie doch auch einige Neuerungen mit sich. Daher ist es zu empfehlen, soweit Betriebsvereinbarungen oder Company-to-Company-Agreements als Erlaubnistatbestände gebraucht werden, diese inhaltlich mit den Anforderungen der DS-GVO zu überprüfen. Insbesondere ist in Zukunft darauf zu achten, dass klare und leicht verständliche Informationen zur Datenverarbeitung vorhanden sind (Art. 12 DS-GVO), die Aufklärungs- und Informationspflichten erfüllt wurden (Art. 14, 14a DS-GVO) und der Betroffene hinreichend über seine Rechte und deren Ausübung informiert wurde (Art. 15 ff. DS- GVO).

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Informationspflichten für außergerichtliche Streitbeilegungsmechanismen

Mann tippt an PC: Informationspflichten außergerichtliche Streitbeilegung

Wir erläutern die EU-Verordnung zur Online-Streitbeilegung.

Mann tippt an PC: Informationspflichten außergerichtliche Streitbeilegung

Die Online-Streitbeilegung für Verbraucher und Unternehmer

Die zugrundeliegende Verordnung über die Online-Streitbeilegung verbraucherrechtlicher Streitigkeiten

Seit dem 09.01.2016 ist die Verordnung 524/2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten (sog. ODR-VO) in Kraft und wirkt aufgrund ihrer Qualität als EU-Verordnung unmittelbar. Verpflichtete der Verordnung sind dabei sowohl Unternehmer, als auch die Mitgliedstaaten und die EU-Kommission. Die Kommission wird dazu verpflichtet eine Plattform zur Online-Streitbeilegung (OS-Plattform) zu errichten und zu unterhalten. Die OS-Plattform soll die erste Anlaufstelle für Verbraucher und Unternehmer bei einem möglichen außergerichtlichen Beilegungsverfahren bilden und einen einfachen Zugang zu allgemeinen Informationen und Beschwerdeformularen in allen Amtssprachen zur Verfügung stellen.

Die ODR-VO wurde gleichzeitig mit der Richtlinie über die alternative Streitbelegung für Verbrauchersachen erlassen, womit das Ziel verfolgt wird, das Verbraucherschutzniveau europaweit anzuheben, indem ein effizienter und einfacher Weg zu außergerichtlichen Streitbeilegungsinstrumenten angeboten wird. Darüber hinaus sollen Verbraucher in ihrem Vertrauen in grenzüberschreitende Geschäfte und damit in den „digitalen Binnenmarkt“ gestärkt werden.

Informationspflichten:

Diese Maßnahmen zur Stärkung des digitalen Binnenmarktes bringen für alle „in der Union niedergelassenen Unternehmen, die Online- Kaufverträge oder Online-Dienstleistungsverträge eingehen, und in der Union niedergelassene Online-Marktplätze“ Informationspflichten über die OS-Plattform nach Art. 14 Abs.1 S.1 VO Nr. 524/2013 mit sich. Betroffen von dieser Pflicht sind alle Onlinehändler, die ihren Sitz in der EU haben, ihre Waren oder Dienstleistungen EU-Verbrauchern anbieten und die Bestellung durch den Verbraucher auf elektronischem Weg erfolgt. Nach dem 30. Erwägungsgrund der Verordnung sind auch Online-Marktplätze verpflichtet, also Plattformen, die es Unternehmern gebündelt ermöglicht, ihre Angebote Verbrauchern zur Verfügung zu stellen. Amazon Marketplace oder auch eBay stellt beispielsweise einen solchen Online-Marktplatz dar. Ausgeschlossen sind allerdings Webseiten, die ausschließlich über ein Unternehmen und dessen Angebot informieren, sowie auf Adresse und Öffnungszeiten des Betriebes hinweisen, aber keine Online-Bestellmöglichkeiten eröffnen.

Pflichten von Online-Händlern bei eBay, Amazon und Co.:

Seit vergangenem Jahr war in der Rechtsprechung schon häufiger die Frage umstritten gewesen, ob auch der Unternehmer, der seine Waren auf einem Online-Marktplatz anbietet, selbst auf die OS-Plattform hinweisen muss, also zusätzlich zur grundsätzlichen Informationspflicht des Marktplatzbetreibers.

Das OLG Dresden legte in seiner jüngsten Entscheidung vom 17.01.2017 dazu die Verordnung nach Wortsinn aus und argumentierte, dass Art. 14 Abs. 1 S.1 ORD-VO nur eine Pflicht für die einstellenden Unternehmer und Online-Marktplätze den Link zur OS-Plattform auf „ihren Websites“ aufzuführen, begründe. Diese Formulierung mache deutlich, dass ein Hinweis auf einer anderen Seite als der eigenen nicht genüge, aber der Online-Händler, der die Website eines Online-Marktplatzes nutzt, nicht zur Verlinkung verpflichtet sei. Begründet wird dies auch damit, dass die Angebotsseite des Online-Händlers nicht seine eigene ist, da in der URL regelmäßig nur der Marktplatzbetreiber erkennbar ist und die Internetadresse nicht dem Online-Händler zugeordnet werden kann.

Mit dieser Ansicht steht das OLG Dresden aber allein auf weiter Flur, denn der Rest der Rechtsprechung und Literatur zieht vielmehr den Zweck der Verordnung heran, der darin liegt, „das Vertrauen der Verbraucher in den digitalen Binnenmarkt zu stärken, damit der freie Verkehr von Waren und Dienstleistungen auch im Online-Bereich gewährleistet wird“ (OLG Koblenz, Urt. v. 25.1.2017 – 9 W 426/16). Dies erfordere eine weite Auslegung des Begriffs „Website“, der dann auch Angebotsseiten von Online-Unternehmern auf Online-Marktplätzen umfasst. Das Vertrauen soll dadurch gesichert werden, dass möglichst vielen Verbrauchern eine einfach zugängliche Kenntnisnahmemöglichkeit der OS-Plattform zur Verfügung steht. Darüber hinaus formuliert die ODR-VO die Pflicht, dass die Onlinemarktplätze „gleichermaßen“ zur Bereitstellung des Links auf die OS-Plattform verpflichtet sein sollen, wobei diese Formulierung darauf hinweist, dass eine zusätzliche Pflicht gemeint ist.

Daher gilt auch für alle Online-Händler auf Plattformen wie eBay, Amazon und weiteren die Informationspflicht nach Art. 14 Abs. 1 S.1 ODR-VO.

Inhaltliche und formale Anforderungen:

Der Link zur OS-Plattform muss sich im Impressum befinden und nicht nur in den AGB eingearbeitet sein, da der Link für den Verbraucher „leicht zugänglich“ sein muss, so die Verordnung. Bei der Pflicht aus Art. 14 Abs. 1 S.1 ODR-VO handelt es sich nicht bloß um eine Informationspflicht, sondern um die Pflicht zur Bereitstellung des Links. In diesem Sinne lässt sich auch die in der Rechtsprechung noch nicht abschließend geklärte Streitfrage beantworten, ob der Link „anklickbar“ sein muss, also ob der Verbraucher mit bloßem Anklicken des Links auf die Seite der OS-Plattform weitergeleitet wird. Zum einen erfordert dies die leichte Zugänglichkeit, zum anderen würde die bloße Anführung des nicht anklickbaren Links nicht die Bereitstellungspflicht erfüllen, der Unternehmer hätte in diesem Fall nur auf die Internetseite der Plattform hingewiesen, was hier nicht ausreicht.

Dementsprechend kann die Information im Impressum, das auch die E-Mail Adresse des Unternehmens enthalten soll, wie folgt aussehen: Die Plattform der EU-Kommission zur außergerichtlichen Online-Streitbeilegung finden Sie hier: www.ec.europa.eu/consumers/odr.

Sonderfall Rechtsanwälte:

In diesem Zusammenhang ist auch die Frage relevant geworden, ob Rechtsanwaltskanzleien in ihrem Onlineauftritt einer solchen Bereitstellungspflicht nachkommen müssen. Dies ist zumindest dann der Fall, wenn Rechtsanwälte online eine Dienstleistung iSd ORD-VO anbieten. Die Verordnung fasst den Dienstleistungsbegriff in Art. 4 Abs. 1 lit. d weit und definiert den Dienstleistungsvertrag mit Hinweis auf die Richtlinie 2013/11/EU: „Dienstleistungsvertrag ist jeder Vertrag, der kein Kaufvertrag ist und nach dem der Unternehmer eine Dienstleistung für den Verbraucher erbringt oder deren Erbringung zusagt und der Verbraucher hierfür den Preis zahlt oder dessen Zahlung zusagt“. Nach dieser Definition fallen Rechtsanwaltsverträge in jedem Fall unter den Begriff der Dienstleistung, zusätzlich müssen diese aber Dienstleistungsverträge sein, die online zwischen dem Rechtsanwalt und Verbraucher geschlossen werden. Dazu müssen nach Art. 4 Abs. 1 lit. e ODR-VO die „Dienstleistungen über eine Webseite oder auf anderem elektronischen Weg angeboten“ und vom Verbraucher „auf dieser Webseite oder auf anderem elektronischen Wege bestellt“ haben. Damit fallen nicht nur Vertragsschlüsse, die über die Webseite geschlossen werden, unter den Begriff des Online-Dienstvertrages, sondern auch Vertragsschlüsse per Mail, da diese auf „anderem elektronischen Wege“ erfolgen.

Nehmen Rechtsanwälte Vertragsschlüsse in der dargestellten Form vor, so fallen auch sie unter den Anwendungsbereich der ODR-Richtlinie und müssen den Link zur OS-Plattform unter Angabe der E-Mail Adresse im Impressum bereitstellen.

Konsequenzen beim Verstoß gegen Art. 14 Abs.1 ODR-VO

Die Richtlinie, die die Informationspflicht anordnet, sieht selbst keine Konsequenzen in Form von Bußgeldern oder Ähnlichem vor. Bei fehlendem oder falschen Hinweis kann aber ein wettbewerbsrechtlicher Unterlassungs- und Beseitigungsanspruch gem. § 8 Abs. 1 Satz 1, § 3a UWG i. V. m. Art. 14 Abs. 1 Satz 1 der Verordnung (EU) Nr. 524/2013 geltend gemacht werden. Hiermit verbunden wäre die Kostenübernahme der Abmahnkosten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN