Wie Sie Datenübermittlungen im Konzern DSGVO-konform gestalten

Konzerninterne Datenübermittlungen haben drastisch zugenommen. Die Datenschutz-Grundverordnung setzt ihnen jedoch bald enge Grenzen.

Mit 25. Mai 2018 beginnt im Datenschutz eine neue Zeitrechnung. Wenn die Datenschutz-Grundverordnung (DSGVO) in Geltung tritt, benötigt jede Datenübermittlung einen konkreten Erlaubnistatbestand. Dass davon nicht nur Datentransfers an Dritte, sondern auch Datenübermittlungen innerhalb des Konzerns betroffen sind, haben nur wenige Verantwortliche vor Augen. Doch auch hier drohen bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes.

Gerade konzerninterne Datenflüsse haben aufgrund von konzernweiten Cloud-Computing-Lösungen in letzter Zeit drastisch zugenommen. Deshalb ist eine eingehende Analyse der verschiedenen Datenübermittlungen notwendig. Konzernintern sind zwei Arten von Datenübermittlungen zu unterscheiden: Datenübermittlungen an andere Konzerngesellschaften und Datenübermittlungen innerhalb einer Gesellschaft, also an die Organe der Gesellschaft oder Belegschaft (z. B. Vorstand, Aufsichtsrat, Hauptversammlung oder Betriebsrat).

DSGVO regelt Übermittlung von Daten natürlicher Personen

Bei allen diesen Datenübermittlungen ist zu berücksichtigen, dass die DSGVO grundsätzlich nur auf Daten anzuwenden ist, die sich auf natürliche Personen beziehen (Art 4 Nr 1 DSGVO). Daten juristischer Personen (z. B. Umsatzdaten) sind daher nicht von der DSGVO geschützt und stellen allenfalls Geschäftsgeheimnisse dar.

Für die Datenverarbeitung ist grundsätzlich jene Konzerngesellschaft rechtlich verantwortlich, die über die Zwecke und Mittel der Verarbeitung entscheidet. Diese Gesellschaft wird als „Verantwortlicher“ bezeichnet (Art 4 Nr 7 DSGVO). Bedient sich der Verantwortliche eines Dienstleisters (z. B. einer konzerninternen IT-Dienstleistungsgesellschaft), der in seinem Auftrag personenbezogene Daten verarbeitet, wird der Dienstleister als „Auftragsverarbeiter“ bezeichnet (Art 4 Nr 8 DSGVO).

Jede Datenübermittlung im Konzern ist auch eine Verarbeitung

Die DSGVO folgt, wie schon das Datenschutzgesetz 2000, dem Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist verboten, außer die DSGVO sieht einen Erlaubnistatbestand dafür vor. Jede Datenverarbeitung bedarf also einer Rechtsgrundlage in der DSGVO. Da auch jede Übermittlung eine Verarbeitung darstellt (Art 4 Nr 2 DSGVO), dürfen auch Übermittlungen grundsätzlich nur durchgeführt werden, wenn die DSGVO dies ausdrücklich gestattet.

Die einzige Ausnahme hiervon ist nach herrschender Ansicht eine Übermittlung von einem Verantwortlichen an seinen Auftragsverarbeiter. Denn richtigerweise regelt die DSGVO die Anforderungen an den Einsatz von Auftragsverarbeitern abschließend in einem anderen Abschnitt (Art 28 DSGVO), sodass insbesondere keine Einwilligung des Betroffenen zum Einsatz eines Auftragsverarbeiters erforderlich ist. Allerdings muss mit jedem Auftragsverarbeiter eine eigene Auftragsdatenverarbeitungsvereinbarung abgeschlossen werden (Art 28 Abs 3 DSGVO).

Datenübermittlung zwischen Konzerngesellschaften

Abhängig davon, ob es sich um Kunden- oder Arbeitnehmerdaten handelt, kommen unterschiedliche Erlaubnistatbestände nach der DSGVO in Betracht. An internationale Datenübermittlungen stellt die DSGVO noch einmal besondere Anforderungen.

Übermittlung von Kundendaten nur mit Einwilligung

Um Kundendaten von einer Konzerngesellschaft an eine andere DSGVO-konform zu übermitteln, ist in den meisten Fällen eine Einwilligung der Kunden erforderlich. Diese ist nur dann wirksam, wenn sie freiwillig und für den bestimmten Fall in informierter Weise erfolgt, d. h. insbesondere sämtliche Übermittlungsempfänger enthält. Die Identität der Übermittlungsempfänger kann sich bei konzernweiten Übermittlungen jedoch rasch ändern, da regelmäßig neue Konzerngesellschaften gegründet bzw. gekauft oder verkauft werden.

Um in der Praxis dennoch eine wirksame Einwilligung zu erhalten, sollte die Einwilligungserklärung auf eine Internetseite verweisen, auf der eine aktuelle Liste aller Übermittlungsempfänger im Konzern mit vollständigem Firmenwortlaut und Anschrift genannt werden. Die Einholung einer neuen Einwilligung bei Hinzutreten einer neuen Konzerngesellschaft ist damit nicht erforderlich.

Übermittlung von Arbeitnehmerdaten nur bei berechtigtem Interesse

Im Gegensatz zur Übermittlung von Kundendaten ist eine Einwilligung in die Übermittlung von Arbeitnehmerdaten in relativ seltenen Fällen wirksam möglich, weil eine Einwilligung eine freie Entscheidung voraussetzt und Arbeitnehmer typischerweise berufliche Nachteile befürchten müssen, wenn sie ihre Einwilligung verweigern oder widerrufen.

Die in der Praxis bedeutendste Rechtsgrundlage für die Übermittlung von Arbeitnehmerdaten ist das überwiegende berechtigte Interesse des Verantwortlichen oder eines Dritten (Art 6 Abs 1 lit f DSGVO). Wenn Mitarbeiterdaten in Matrix-Organisationsstrukturen an einen funktionalen Vorgesetzten übermittelt werden sollen, der bei einer anderen Konzerngesellschaft beschäftigt ist, ist ein überwiegendes Interesse grundsätzlich gegeben.

Unabhängig davon setzt die arbeitsrechtliche Zulässigkeit einer Übermittlung von Arbeitnehmerdaten den Abschluss einer Betriebsvereinbarung voraus. Da die DSGVO verlangt, dass Datenverarbeitungen im Einklang mit arbeitsrechtlichen Verpflichtungen stehen, wird der Arbeitgeber dem Risiko einer Geldbuße nach der DSGVO ausgesetzt, wenn er eine datenschutzrechtlich relevante Betriebsvereinbarung nicht abschließt.

Internationale Datenübermittlungen effizient gestalten

Die DSGVO sieht keine zusätzlichen Beschränkungen für Datenübermittlungen in EU-Staaten vor. Dasselbe wird für den EWR-Raum gelten, sobald die DSGVO auch für Island, Liechtenstein und Norwegen in Geltung gesetzt wurde. Sollen Daten jedoch in einen Drittstaat übermittelt werden, ist dies zunächst nur dann zulässig, wenn in diesem ein angemessenes Datenschutzniveau besteht und dies durch die Europäische Kommission durch einen Beschluss festgestellt wurde.

Liegt kein solcher Beschluss vor, so kann dies durch Verwendung von Vertragsmustern (sog. Standardvertragsklauseln), die die Kommission verabschiedet hat, kompensiert werden. In diesem Fall ist keine weitere behördliche Genehmigung nach der DSGVO erforderlich.

Damit in einem internationalen Konzern nicht jede einzelne Konzerngesellschaft mit allen anderen Konzerngesellschaften Standardvertragsklauseln abschließen muss, ist eine Vollmachtslösung zu empfehlen: Jede Konzerngesellschaft weltweit räumt der Konzernmutter die Vollmacht ein, Standardvertragsklauseln mit allen anderen Konzerngesellschaften abzuschließen. So kann die Konzernmutter jederzeit und mit minimalem administrativen Aufwand das konzernweite Netz der Standardvertragsklauseln erweitern (z. B. bei Erwerb einer neuen Gesellschaft oder der Implementierung einer neuen konzernweiten IT-Lösung).

Datenübermittlung an Gesellschafts- und Belegschaftsorgane

Um ihre jeweiligen Aufgaben erfüllen zu können, ist es für Organe der Gesellschaft oder Belegschaft notwendig, über alle relevanten Informationen zu verfügen. Dazu zählen regelmäßig auch personenbezogene Daten. Aus datenschutzrechtlicher Sicht stellt sich daher die Frage, ob die Offenlegung von Daten gegenüber diesen Organen einen Erlaubnistatbestand nach der DSGVO erfordert. Dies hängt davon ab, ob das jeweilige Organ der Gesellschaft direkt zugerechnet werden kann.

Nach herrschender Ansicht sind alle Organe der Gesellschaft (Vorstand, Aufsichtsrat und Hauptversammlung) direkt der Gesellschaft zuzurechnen, zumal sie stets im Interesse der Gesellschaft zu handeln haben und daher personenbezogene Daten grundsätzlich nur für die Zwecke der Gesellschaft verarbeiten dürfen (zum Aufsichtsrat vgl § 99 iVm § 84 AktG; zum Vorstand vgl § 84 AktG). Werden gegenüber diesen Organen personenbezogene Daten offengelegt, ist daher kein gesonderter Erlaubnistatbestand nach der DSGVO erforderlich.

Datenübermittlung an Aktionäre benötigt Erlaubnistatbestand

Bei der Hauptversammlung ist jedoch eine differenzierte Betrachtung erforderlich: Es ist zwischen der Hauptversammlung als Kollegialorgan und den einzelnen Aktionären bzw. Aktionärsvertretern als Organwaltern zu unterscheiden. Während die Hauptversammlung selbst kein Dritter ist, stellt jede Übermittlung personenbezogener Daten an Aktionäre sehr wohl eine Übermittlung an einen Dritten dar, die einen Erlaubnistatbestand nach der DSGVO erforderlich macht. Dies wird meist das Vorliegen einer gesetzlichen Verpflichtung der Gesellschaft oder ein überwiegendes berechtigtes Interesse der Aktionäre sein.

Datenübermittlung an Betriebsrat dank Betriebsvereinbarung

Für Übermittlungen an den Betriebsrat ist zu berücksichtigen, dass dieser kein Organ der Gesellschaft, sondern ein Organ der Belegschaft ist. Nach der Rechtsprechung des OGH kommt der Belegschaft eine eingeschränkte Rechtspersönlichkeit zu, während der Betriebsrat – ohne selbst Rechtspersönlichkeit zu besitzen – die Belegschaft lediglich vertritt. Nach herrschender Ansicht ist die Übermittlung von Daten an den Betriebsrat daher datenschutzrechtlich als Übermittlung an einen Dritten (die Belegschaft) einzuordnen und setzt daher einen Erlaubnistatbestand nach der DSGVO voraus. In Betracht kommen neben einer gesetzlichen Verpflichtung des Arbeitgebers auch ein Kollektivvertrag oder eine Betriebsvereinbarung (vgl Art 88 Abs 1 iVm Erwägungsgrund 155 Satz 1 DSGVO).

Conclusio

Die Datenschutz-Grundverordnung verlangt eine entsprechende Rechtsgrundlage für jede Datenübermittlung und besondere rechtliche Vorkehrungen für Übermittlungen in Drittstaaten. Damit setzt die DSGVO den zunehmenden Datenflüssen innerhalb von Konzernen enge Grenzen. Angesichts der hohen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes sind Unternehmen gut beraten, diese Anforderungen ernst zu nehmen und die Rechtmäßigkeit ihrer Datenflüsse rechtzeitig zu prüfen.

Einführung in die Datenschutz-Grundverordnung

Dieser Beitrag erschien in gekürzter Fassung im März 2017 in der Zeitschrift „Compliance Praxis“.

Autor: und

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.