05.04.2017 von

Warum Datenschutz im Konzern eine scheinbar unlösbare Aufgabe wird

Internationale Konzerne sind am stärksten von der Datenschutz-Grundverordnung betroffen. Unser sechster (und letzter) Videblog zeigt, wie Sie zigtausenden Unterschriften entkommen und warum die Grundverordnung vielleicht sogar zum Standortvorteil werden könnte.

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler (Leiter des Wiener Teams für IT-Recht und Autor des ersten österreichischen Kommentars zur Datenschutz-Grundverordnung)

 

Ungekürzte Langfassung des Interviews

Komplexe Konzernstrukturen stellen vermutlich eine besondere Herausforderung im Datenschutz dar: Unter einer Holding hängt eine große Zahl von Tochterunternehmen, die teilweise noch dazu externe Miteigentümer hat. Was bedeutet das für die gemeinsame Nutzung von Daten?

Lukas Feiler: Tatsächlich ist das eine große Herausforderung für internationale Konzerne, weil man genau trennen muss: Wer ist eigentlich wofür verantwortlich? Wo findet eine Übermittlung von Daten von einem verantwortlichen Unternehmen an ein anderes verantwortliches Unternehmen statt? Oder wo ist der Übermittlungsempfänger gar nicht selbst ein Verantwortlicher, sondern vielmehr nur Auftragsverarbeiter für das andere Konzernunternehmen?

Derartige Beziehungen müssen durch entsprechende Verträge klar geregelt werden. Für jede Auftragsdatenverarbeitung ist ein eigener Auftragsdatenverarbeitungsvertrag erforderlich, für internationale Datenübermittlungen in vielen Fällen auch spezielle Verträge. In einem internationalen Konzern kommt es so rasch zu einem förmlichen Netz von Datenübermittlungen, das man auch durch ein entsprechendes vertragliches Netz abbilden muss, um die datenschutzrechtlichen Anforderungen zu erfüllen.

Wenn man versucht, wirklich jeden Geschäftsführer jeden Vertrag unterschreiben zu lassen, hat man bei einem großen Konzern von mehr als hundert Gesellschaften Zigtausende von Verträgen. Diese können sich noch dazu nahezu wöchentlich ändern, wann immer eine neue Konzerngesellschaft oder eine neue Verarbeitungstätigkeit hinzukommt.

Mit einer Unterschrift Datenschutz im Konzern regeln

Weil dann alle im Konglomerat wieder einen Vertrag mit der neuen Gesellschaft abschließen müssten?

Lukas Feiler: So ist es. Wir empfehlen unseren Mandanten zur Lösung dieser komplexen Herausforderung die Implementierung einer Vollmachtslösung. Das heißt, dass alle Konzerngesellschaften der Konzernmutter eine Vollmacht einräumen, um alle erforderlichen datenschutzrechtlichen Verträge im Namen der jeweiligen Konzerngesellschaften zu schließen. im Endergebnis muss dann die Konzernmuttergesellschaft als einzige unterschreiben, wenn sich an diesen konzerninternen Datenübermittlungsverträgen etwas ändert.

Idealerweise konzipiert man diese „Intergroup-Data-Transfer-Agreements“ gleich als ein einziges Dokument. So kann mit einer einzigen Unterschrift eine Vielzahl von Vertragsbeziehungen zwischen allen Konzerngesellschaften erzeugt und im Bedarfsfall auch jederzeit wieder geändert werden. Das ist die einzige Möglichkeit, um in der Praxis eines internationalen Konzerns alle datenschutzrechtlichen Anforderungen zu erfüllen.

Auch Konzerntöchter müssen Datenschutzpflichten erfüllen

Kann ich über solche Vertragskonstruktionen auch Verpflichtungen, wie zum Beispiel ein Privacy-Impact-Assessment durchzuführen, an eine fremde Gesellschaft delegieren?

Lukas Feiler: Grundsätzlich ist das nicht so leicht möglich, weil die Datenschutz-Grundverordnung dem Verantwortlichen, der über Zweck und Mittel der Datenverarbeitung entscheidet, tatsächlich die Pflicht auferlegt, das selbst zu tun. Wenn er einen Dritten bittet, das für ihn zu tun, dann mag das im Verhältnis zu dem Dritten eine wirksame Vereinbarung sein, aber von seinen regulatorischen Pflichten befreit ihn das überhaupt nicht. Insbesondere das Risiko, mit entsprechenden Geldbußen belegt zu werden, lässt sich nicht auf den Dritten übertragen.

Strafen: 4 Prozent des weltweiten Konzernumsatzes

Das heißt, wenn die Datenschutzbehörde anklopft, muss auch das Tochterunternehmen Rede und Antwort stehen und die entsprechenden Dokumente vorweisen können?

Lukas Feiler: In der Tat – und das ist tatsächlich nicht nur im Interesse der Tochtergesellschaft, sondern auch im Interesse der Konzernmutter. Denn die Datenschutz-Grundverordnung sieht bei der Verhängung von Geldstrafen eigene Regelungen für Konzerne vor. Sehr wahrscheinlich wird man die Bestimmungen so interpretieren müssen, dass bei Verstößen in Konzernstrukturen als Bemessungsgrundlage für die vierprozentige Strafe nicht der Umsatz der betreffenden Gesellschaft, sondern des gesamten Konzerns heranzuziehen ist.

Konzernmutter muss für alles geradestehen

Das heißt, selbst wenn die Enkeltochter in der Hierarchie eine Übertretung der Datenschutz-Grundverordnung zu verantworten hat, ist die Strafe vom gesamten globalen Konzernumsatz zu bemessen?

Lukas Feiler: So ist es. In der Praxis wird aber die kleine Konzerntochter selten so viel Kapital haben. Deshalb wird die Grundverordnung von den Datenschutzbehörden so gelesen werden, dass man die Strafe nicht nur gegen das Tochterunternehmen verhängen kann, sondern auch gegen die Konzernmutter, wenn diese einen kontrollierenden Einfluss hat. Bei einer hundertprozentigen Beteiligung wird das automatisch vermutet. Das heißt, die Konzernmutter wird für all das geradestehen müssen, was ihre Konzerntöchter anstellen.

Wer Verpflichtungen nicht überbindet, haftet selbst

Sehr oft werden Datenverarbeitungen von externen Dienstleistern durchgeführt, wo auch immer auf der Welt sie sitzen mögen. Wie funktioniert es in der Praxis, die datenschutzrechtlichen Verpflichtungen an diesen Verarbeiter zu überbinden?

Lukas Feiler: Die Datenschutz-Grundverordnung sieht hier sehr spezifische Pflichten vor, was den Einsatz eines Dritten als Auftragsverarbeiter anlangt. Zuerst einmal muss ich diesen hinsichtlich der Datensicherheit, die er bietet, sorgsam auswählen. Weiters muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden, der ganz konkrete Punkte enthalten muss: Der Auftragsdatenverarbeiter darf nur auf Weisung des Verantwortlichen agieren, er darf auch Subauftragsverarbeiter grundsätzlich nur mit Genehmigung des Verantwortlichen einsetzen – das ist gerade in Cloud-Computing-Szenarien häufig ein Problem. Darüber hinaus muss im Vertrag geregelt sein, dass der Auftragnehmer die Daten nach Beendigung des Verarbeitungsverhältnisses retournieren oder löschen muss. Stehen diese Pflichten nicht im Vertrag, kann auch der Verantwortliche wegen Verletzung seiner Pflichten bestraft werden.

EU-Kommission beschließt, welche Länder sicher sind

Die Datenschutz-Grundverordnung schafft jetzt erstmals für den gesamten EU-Raum ein weitgehend einheitliches Regelwerk. Aber was habe ich als europäisches Unternehmen zu beachten, wenn ich einen Auftragsverarbeiter in Amerika, in China oder in Australien sitzen habe?

Lukas Feiler: Der Gesetzgeber der Datenschutz-Grundverordnung ist sich sehr bewusst, dass in anderen Ländern der Datenschutz bei weitem nicht so stark ausgestaltet ist wie bei uns. In dem Moment, wo die Daten die Europäische Union bzw. den Europäischen Wirtschaftsraum verlassen, sagt die Verordnung: So schnell nicht!

Zunächst einmal gilt: Wenn im Empfängerland ein vergleichbares Datenschutzniveau besteht, dann darf ich ohne weitere Probleme die Daten übermitteln. Ob das der Fall ist, stellt die Europäische Kommission durch einen Beschluss fest. Beispielsweise hat die Europäische Kommission festgestellt, dass Daten in die Vereinigten Staaten transferiert werden dürfen, wenn sich der Übermittlungsempfänger nach dem Privacy-Shield selbstzertifiziert hat.

Diese Selbstzertifizierung bedeutet im Wesentlichen, dass das amerikanische Unternehmen öffentlich versprochen hat, sich an die Grundsätze des europäischen Datenschutzrechts zu halten. Dieses Versprechen zu verletzen, wäre eine irreführende Geschäftspraktik nach dem amerikanischen Lauterkeitsrecht und würde die Federal-Trade-Commission berechtigen, entsprechende Strafen zu verhängen.

US-Privacy-Shield wird nicht halten

Aber nichtsdestotrotz ist das Versprechen amerikanischer Unternehmen natürlich nur so gut, wie die amerikanische Staatsgewalt dieses Versprechen auch respektiert – und hier steht der Privacy-Shield durchaus auf relativ wackeligen Beinen. Denn die Europäische Kommission hat sich bei ihrer Entscheidung, dass ein Privacy-Shield-zertifiziertes Unternehmen ein angemessenes Datenschutzniveau garantiert, auf informelle Zusagen der damaligen amerikanischen Administration unter Präsident Obama verlassen.

Wesentliche Grundlage dieser Zusagen sind sogenannte Presidential-Policy-Directives – Weisungen des US-Präsidenten, die freilich jederzeit geändert werden können. Dass diese auch im Geheimen geändert werden können, weiß man daher, weil die Presidential-Policy-Directives fortlaufende Nummern haben – und irgendwo zwischen fünf und zwölf fehlen ein paar. Insofern könnte der neue Präsident der Vereinigten Staaten jederzeit den Teppich unter dieser Datenschutzlösung wegziehen, ohne dass wir es auch nur merken.

Das wird der Grund sein, weswegen der Europäische Gerichtshof die Gültigkeit des Privacy-Shields sehr genau prüfen wird. Deshalb empfehlen wir Unternehmen, sich nicht auf die Rechtsbeständigkeit des Privacy-Shields zu verlassen. Denn man wird davon ausgehen müssen, dass der Europäische Gerichtshof – wie bereits die Vorgängerregelung Safe Harbor – auch den Privacy-Shield für nichtig erklären wird.

Standardvertragsklauseln verlässlicher als Einwilligung

Wenn ich jetzt dem Privacy-Shield nicht vertraue oder wenn ich meine Daten in ein anderes Land übermitteln will, wo kein ausreichendes Schutzniveau herrscht: Was habe ich dann für Möglichkeiten?

Lukas Feiler: Hier drängen sich zwei praktische Möglichkeiten auf. Die eine ist die ausdrückliche Einwilligung der Betroffenen. Weil diese aber jederzeit widerrufen werden kann, ist dieser Zugang wenig praxistauglich.

Die andere Möglichkeit, die in der Praxis präferiert wird, sind sogenannte Standardvertragsklauseln. Dabei handelt es sich um Vertragsmuster, die die Europäische Kommission veröffentlicht hat und die im Wesentlichen die Grundsätze des Europäischen Datenschutzrechts in Vertragsform gießen. Wenn man diese mit einem Übermittlungsempfänger abschließt, wird im Ergebnis ein adäquates Datenschutzniveau hergestellt.

Die geltenden Standardvertragsklauseln wurden noch erlassen, als die Datenschutzrichtlinie gegolten hat. Sie enthalten daher in einigen Punkten durchaus Unzulänglichkeiten, die an die Datenschutz-Grundverordnung angepasst werden müssen. Aber mit diesen Anpassungen sind die Standardvertragsklauseln das rechtssicherste Instrument, das wir für Datenübermittlungen in nicht sichere Drittländer haben.

Auch ausländische Anbieter unterliegen Datenschutz-Grundverordnung

Was ist denn eigentlich der Fall, wenn eine Privatperson ins EU-Ausland die Daten übermittelt? Genießt sie dann auch die Schutzstandards der Datenschutz-Grundverordnung – oder ist sie dem nigerianischen Datenschutzrecht ausgeliefert, weil sie auf einer nigerianischen Webseite unterwegs ist?

Lukas Feiler: Auch Anbieter, die nicht in der Europäischen Union niedergelassen sind, können der Datenschutz-Grundverordnung unterliegen. Das gilt dann, wenn sie ihre Dienstleistungen auf den europäischen Markt ausrichten und die Daten von Personen verarbeiten, die in der Europäischen Union ihren Wohnsitz haben.

Sinn und Zweck der Regelung ist es, dass alle Wettbewerber auf dem europäischen Markt tatsächlich nach denselben Spielregeln konkurrieren müssen. Das heißt, auch ein nigerianischer Anbieter eines Online-Service kann der Datenschutz-Grundverordnung unterliegen, wenn er sein Angebot beispielsweise auf Österreich ausrichtet.

Inwiefern ich dann meinen Schadenersatz tatsächlich exekutieren kann, sei noch einmal dahingestellt.

Lukas Feiler: Auch die Strafe zu vollstrecken, wird schon allein deswegen schwierig werden, weil es in Verwaltungsstrafsachen keine internationalen Vollstreckungsübereinkommen gibt. Aber zumindest von ihrem Rechtsanspruch her hat die Grundverordnung auch hier Geltung.

Datenschutz-Grundverordnung als Wettbewerbsvorteil für europäische Unternehmen?

Das bringt mich eigentlich schon zur letzten Frage, die ich Ihnen heute stellen will: Sehen Sie die Datenschutz-Grundverordnung eigentlich als Standortvorteil für Europäische Unternehmen? Einerseits können diese sagen: „Seht, wir haben dieses Qualitätssiegel, bei uns sind eure Daten sicher!“ Andererseits werden ihnen einmal mehr sehr große bürokratische Lasten aufgebürdet.

Lukas Feiler: Es ist sicher richtig, dass man insbesondere jetzt in der Umstellungszeit als europäisches Unternehmen erhebliche Aufwände hat. Aber es sind zwei Dinge, die mich doch ein bisschen optimistisch stimmen.

Erstens entscheiden schlussendlich die Konsumenten, wem sie ihre Daten anvertrauen – und hier hat man als europäischer Dienstleister mit der Grundverordnung schon ein anderes Standing, als es ein amerikanischer Dienstleister hat. Denn der Konsument kann sich wirklich darauf verlassen, dass es in der Europäischen Union ganz klare, harte Regeln gibt. Im internationalen Wettbewerb wird das aus Kundensicht schon eine Rolle spielen.

Darüber hinaus darf man nicht vernachlässigen, dass die Europäische Union im Zuge von Handelsverträgen das europäische Recht gleichsam exportiert. In alle neuen Handelsvereinbarungen nimmt die Europäische Union auch Datenschutz mit hinein. In dem Maße, in dem wir in Europa bei der Erfüllung dieser Anforderungen schon viel weiter sind, werden wir auch einen Wettbewerbsvorteil gegenüber anderen Ländern haben.

Einführung in die Datenschutz-Grundverordnung

Weitere Videoblogs zur Datenschutz-Grundverordnung

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.