Wir gehen auf die Datenverarbeitung von Konzernunternehmen nach der DS-GVO und dem BDSG ein.
Einführung
Für international tätige Konzerne stellt es eine große Herausforderung des Datenschutzrechts dar, personenbezogene Daten den einzelnen, juristisch selbstständigen Konzernunternehmen zu übermitteln, die teilweise nicht nur im europäischen Ausland sitzen, sondern auch außerhalb des Europäischen Wirtschaftsraums. Dennoch haben Konzerne ein Interesse daran, personenbezogene Daten, beispielsweise für eine zentralisierte Personalverwaltung oder für ein konzernübergreifendes Kommunikationsverzeichnis, auch über die Grenzen eines Konzernunternehmens hinweg zu übermitteln und zu erheben.
Bisherige Lage nach BDSG, § 28 Abs. 1 BDSG
Im Lichte des BDSG kann sich für eine solche Datenübermittlung ein Erlaubnistatbestand aus § 28 Abs. 1 Nr. 2 BDSG ergeben. Dieser erlaubt eine Datenübermittlung, wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Es ist also eine Interessenabwägung zwischen Unternehmensinteressen und derjenigen des Betroffenen vorzunehmen. Kann der Betroffene eigene Interessen geltend machen, führt dies nicht automatisch dazu, dass die Rechte des Einzelnen regelmäßig überwiegen. Es ist vielmehr im Rahmen einer gerechten Interessenabwägung auszumachen, welche der geltend gemachten Interessen überwiegt. Dass dabei die Recht des Einzelnen im Einzelfall auch einmal zurücktreten müssen ist nicht ausgeschlossen. Das berechtigte Interesse muss aber ein rechtlich gebilligtes wirtschaftliches, tatsächliches oder ideelles Interesse darstellen. Ein „allgemeines Konzerninteresse“ reicht zur Begründung aber nicht aus, da sich der Gesetzgeber bewusst gegen ein Konzernprivileg entschieden hat, also gegen eine erleichterte Übermittlung personenbezogener Daten zwischen verschiedenen Gesellschaften eines Konzerns. Darüber hinaus darf es nicht bloß um irgendein Interesse gehen, sondern es muss sich aus der beabsichtigten Datenverarbeitung ergeben und auch erforderlich sein. Eine bloße Zweckförderung reicht dafür nicht aus.
Datenverarbeitung im Beschäftigtenverhältnis
Für die Datenverarbeitung eines Beschäftigten gilt neben § 28 Abs. 1 Nr. 2 BDSG, oder nach anderer Meinung auch verdrängend, die Spezialvorschrift des § 32 BDSG, der eine Datenverarbeitung von personenbezogenen Daten von Beschäftigten nur erlaubt, wenn dies zur Begründung oder Durchführung eines Beschäftigtenverhältnisses erforderlich ist. Die Rechtfertigung hierfür kann nicht über einen bloß nützlichen Zweck erreicht werden. Beispielsweise ist die Errichtung einer konzernübergreifenden Datenbank über Mitarbeiterdaten nicht erforderlich, obwohl sie für die Zwecke der Human Resources Abteilung eindeutig nützlich ist. Ein Erlaubnistatbestand über § 32 BDSG kann aber dadurch erreicht werden, dass das Arbeitsverhältnis bereits einen Konzernbezug aufweist, beispielsweise wenn der betreffende Mitarbeiter regelmäßig an unterschiedlichen Standorten des Unternehmens tätig wird oder von Anfang an dazu bereit ist, konzernweit eingesetzt zu werden.
Betriebsvereinbarungen
Die konzerninterne Datenverarbeitung kann auch durch Betriebsvereinbarungen ermöglicht werden, da diese gem. § 77 Betriebsverfassungsgesetz „andere Rechtsvorschriften“ im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen und damit einen datenschutzrechtlichen Erlaubnistatbestand begründen können. Wird die Datenverarbeitung von Mitarbeiterdaten also grundlegend in den Betriebsvereinbarungen geregelt, können solche Daten auch an andere Konzernunternehmen übermittelt werden. Dies gilt allerdings nur beim Transfer zwischen inländischen Konzernunternehmen.
Die Datenschutz-Grundverordnung und das „kleine Konzernprivileg“
Mit Einführung der europäischen Datenschutz-Grundverordnung (DS-GVO) war zunächst nicht klar, inwieweit die bestehende Rechtslage Veränderungen erfährt. Entgegen aller Veränderungsbefürchtungen wird der Erlaubnistatbestand der Interessenabwägung durch Art. 6 Abs. 1 lit. f DS-GVO weitgehend parallel zu § 28 Abs. 1 Nr. 2 BDSG beibehalten. Für die Konzerne stellt es allerdings eine Erleichterung dar, dass bei der Interessenabwägung sowohl eigene Zwecke als auch berechtigte Interessen Dritter berücksichtigt werden können. Alle Hoffnungen von Unternehmen auf die Einführung eines Konzernprivilegs durch die DS-GVO wurden wiederum enttäuscht. Allerdings beinhaltet der Erwägungsgrund 48 ein sog. „kleines Konzernprivileg“, welches klarstellt, dass Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Unternehmensgruppe zu übermitteln. Dabei wird Bezug genommen auf Daten von Kunden, sowie von Beschäftigten gleichermaßen. Damit ist aber nicht vielmehr gesagt, als dass Konzerninteressen in der Interessenabwägung des Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden müssen.
Der Begriff der berechtigten Interessen sollte unter Bezugnahme auf den Erwägungsgrund 47 S.2, 6, 7 weit ausgelegt werden. Beispielsweise reicht für die Begründung eines berechtigten Interesses bereits das Bestehen eines Rechtsverhältnisses zwischen dem Verantwortlichen und dem Betroffenen. Ausreichend ist laut Erwägungsgrund dabei schon, wenn die betroffene Person Kunde des Verantwortlichen ist oder in seinen Diensten steht. Aber auch die Direktwerbung wird als mögliches berechtigtes Interesse genannt. Erschwerend kommt allerdings hinzu, dass die Datenverarbeitung aufgrund einer Interessenabwägung ein größeres Risiko mit sich bringt als zuvor, da dem Betroffenen das Recht zum Widerspruch gegen die Datenverarbeitung gem. Art. 21 Abs. 1 DS-GVO zukommt und er hierüber auch informiert und aufgeklärt werden muss.
Company-to-Company Agreement
Durch einen internen Vertrag zur konzernweiten Datenübertragung, der auch als konzerninterne Datenschutzvereinbarung oder Company-to-Company-Agreement bezeichnet wird, kann die Datenübermittlung zwischen den Konzernunternehmen ermöglicht werden. Dieser Vertrag soll dazu dienen, dass das Datenschutzniveau höher angesetzt wird, als gesetzlich vorgesehen, um damit zu garantieren, dass die Interessen des Betroffenen nicht beeinträchtigt werden. Eine Interessenabwägung wird damit nicht obsolet, sondern unter Einbeziehung der Schutzfunktion des Company-to-Company Agreement für die Interessen des Berechtigten, wird diese regelmäßig zugunsten der Konzerninteressen ausfallen. Dementsprechend niedriger sind auch die inhaltlichen Anforderungen an die Interessen des Unternehmens. Um eine solche Wirkung zu entfalten, muss das Company-to-Company Agreement aber bestimmte inhaltliche Anforderungen erfüllen und tatsächlich das gesetzliche Schutzniveau des BDSG bzw. der DSGVO übersteigen.
Betriebsvereinbarungen
Im Vergleich zur bisherigen Rechtslage nach dem BDSG stellt sich die Frage, ob auch Betriebsvereinbarungen einen Erlaubnistatbestand im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen können. Diese Frage beantwortet die Öffnungsklausel des Art. 82 DS-GVO in Verbindung mit dem dazugehörigen Erwägungsgrund positiv: Auch unter der Geltung der DS-GVO besteht die Möglichkeit, durch Gesetz oder Kollektivvereinbarung spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten der Betroffenen hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu schaffen. Damit ist ein weitgehender Gleichlauf mit der Vorschrift des § 28 Abs. 1 Nr. 2 BDSG gegeben.
Datenübermittlung außerhalb der EU
Die bisherigen Ausführungen beziehen sich zwar größtenteils auf grenzüberschreitende Sachverhalte, jedoch begrenzt auf die Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraumes. Bei einer Datenübermittlung zwischen einem Konzernunternehmen mit Sitz in Deutschland zu einem Unternehmen mit Sitz außerhalb der EU, muss eine sog. 2-Stufenprüfung vorgenommen werden. Zu den grundsätzlichen Voraussetzungen, nämlich das Vorliegen eines Erlaubnistatbestandes bzw. einer Einwilligung, muss zusätzlich in dem adressierten Drittstaat ein „angemessenes Datenschutzniveau“ vorliegen. Ob ein solches Datenschutzniveau vorliegt, muss in Drittstaaten, im Unterschied zu EU-Mitgliedstaaten, gesondert geprüft werden. Dabei kann eine solche Feststellung unter Bezug der Art der Daten, der Zweckbestimmung, der Dauer der geplanten Verarbeitung sowie das Herkunfts- und Endbestimmungsland vorgenommen werden.
Gesondert kann die EU-Kommission auf Grundlage von Art. 25 Abs. 4, 6 EG-DSRL eine solche Feststellung in verbindlicher Weise treffen. Für die Länder Argentinien, Australien, Schweiz und Kanada hat die Kommission verbindlich ein angemessenes Schutzniveau festgestellt, nicht jedoch etwa für China, Indien, Brasilien, Japan oder Russland.
Mangels angemessenen Schutzniveaus kann auch auf die Tatbestände des § 4c Abs. 1 BDSG oder auf § 4 Abs. 2 S. 1 BDSG zurückgegriffen werden. Letzterer bietet die Alternative, dass die zuständige Datenschutzbehörde die Datenübermittlung in den Drittstaat genehmigen kann, wenn das datenübermittelnde Konzernunternehmen ausreichende Garantien zum Schutz der personenbezogenen Daten aufweist. Solche Garantien können in Form von Vertragsklauseln oder „Binding Corporate Rules“, also verbindlichen Unternehmensregelungen, abgegeben werden.
Fazit und Handlungsempfehlung
Obwohl durch Inkrafttreten der DS-GVO die zentralen Regelungsregime des BDSG zur konzerninternen Datenverarbeitung gleichbleiben werden, so bringt sie doch auch einige Neuerungen mit sich. Daher ist es zu empfehlen, soweit Betriebsvereinbarungen oder Company-to-Company-Agreements als Erlaubnistatbestände gebraucht werden, diese inhaltlich mit den Anforderungen der DS-GVO zu überprüfen. Insbesondere ist in Zukunft darauf zu achten, dass klare und leicht verständliche Informationen zur Datenverarbeitung vorhanden sind (Art. 12 DS-GVO), die Aufklärungs- und Informationspflichten erfüllt wurden (Art. 14, 14a DS-GVO) und der Betroffene hinreichend über seine Rechte und deren Ausübung informiert wurde (Art. 15 ff. DS- GVO).