DSGVO: Was gilt für den Datenaustausch innerhalb eines Konzerns?
Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das ab 25. Mai 2018 anzuwenden ist. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz-Grundverordnung, 2016).
Der konzerninterne Datenaustausch ist notwendig, aber datenschutzrechtlich nicht trivial.
Geltendes Recht
Nach dem BDSG gelten für die Übermittlung von personenbezogenen Daten innerhalb eines Konzerns keine besonderen Regelungen. Es gibt kein „Konzernprivileg“; der Begriff des Konzerns ist dem BDSG fremd.
Wenn innerhalb eines Konzerns die Datenübermittlung rechtlich abgesichert werden soll, gibt es im Wesentlichen drei gangbare Wege:
- Einwilligung: Alle Betroffenen müssen der Übermittlung von Daten innerhalb des Konzerns (d.h. von einem konzernangehörigen Unternehmen an ein anderes Unternehmen desselben Konzerns) gemäß § 4 a Abs. 1 BDSG zustimmen (Plath, in Plath (Hrsg.), BDSG, § 4a Rz. 7 ff.). Dies ist sehr aufwändig und vielfach nicht praktikabel.
- Gesetzliche Erlaubnis: Alternativ lässt sich die konzerninterne Übermittlung von Daten auf gesetzliche Erlaubnistatbestände (§§ 28 ff. BDSG) stützen. Dies ist mit Rechtsunsicherheit verbunden (Plath, in: Plath (Hrsg.), BDSG, § 28 Rz. 46 ff. und speziell zu Konzerninteressen Rz. 73). Soweit es um Beschäftigtendaten geht, ist beispielsweise offen, ob § 28 Abs. 1 Satz 1 Nr. 2 BDSG eine Datenübermittlung überhaupt noch legitimieren kann, seit es den Sondertatbestand des § 32 Abs. 1 Satz 1 BDSG gibt, der den – schwer zu führenden – Nachweis verlangt, dass die konzerninterne Datenübermittlung für die Durchführung des Beschäftigungsverhältnisses „erforderlich“ ist.
- Auftragsdatenverarbeitung: Die Auftragsdatenverarbeitung ist als Instrument des konzerninternen Datenaustausches weit verbreitet. Eine entsprechende Struktur einzurichten, ist wegen der Notwendigkeit zahlreicher Vereinbarungen gemäß § 11 BDSG aufwändig (Plath, in: Plath (Hrsg.), BDSG, § 11 Rz. 42-45). Bei internationalen Konzernen ist eine Auftragsdatenverarbeitung zudem nicht immer praktikabel wegen der regulatorischen Anforderungen, die bei der Übermittlung personenbezogener Daten in Drittländer zu beachten sind (§§ 4 b und 4 c BDSG; dazu ausführlich v.d. Bussche, in: Plath (Hrsg.), BDSG, § 4 c Rz. 35 ff.).
Änderungen durch die DSGVO
In Art. 4 Nr. 19 DSGVO findet sich eine Definition des Begriffs des Konzerns („Unternehmensgruppe“):
„eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht”.
Der Datenaustausch im Konzern auf der Grundlage von Einwilligungen oder mit dem Instrument der Auftragsverarbeitung wird durch die DSGVO erschwert:
- Bei den Einwilligungen erhöht Art. 7 DSGVO die Anforderungen an die Wirksamkeit.
- Die Auftragsdatenverarbeitung bleibt zwar als Gestaltungsmittel erhalten, unterliegt jedoch modifizierten Bedingungen (Art. 28 DSGVO). Der Auftragsverarbeiter wird in deutlich stärkerem Maße für den Schutz der verarbeiteten Daten und für die Einhaltung des Datenschutzrechts verantwortlich, als dies nach dem BDSG der Fall ist.
Der konzerninterne Datenaustausch auf gesetzlicher Grundlage wird durch die DSGVO erheblich vereinfacht und erleichtert:
- Er richtet sich im Wesentlichen nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO („berechtigte Interessen“), wobei
- bei sensitiven Daten zusätzlich die Anforderungen des Art. 9 DSGVO zu beachten sind.
Der konzerninterne Datenaustausch ist durch Erwägungsgrund 48 Satz 1 DSGVO als „berechtigtes Interesse“ privilegiert. Erwägungsgrund 48 Satz 1 DSGVO erkennt für den Konzern “interne Verwaltungszwecke” als ein “berechtigtes Interesse” an:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.” (Hervorhebungen hinzugefügt)
Erwägungsgrund 48 Satz 1 DSGVO erleichtert den konzerninternen Datenaustausch, stellt ihn jedoch nicht von sämtlichen datenschutzrechtlichen Anforderungen frei:
- Es bedarf jeweils gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO einer Abwägung mit entgegenstehenden schutzwürdigen Interessen der Betroffenen.
- Für den Transfer an konzernangehörige Unternehmen in Drittstaaten gelten die Anforderungen der Art. 44 ff. DSGVO (vgl. Erwägungsgrund 48 Satz 2 DSGVO). Hier werden sich Binding Corporate Rules (BCR) regelmäßig als Gestaltungsmittel anbieten, deren Aufstellung in Art. 47 DSGVO geregelt ist.
Merke:
Anders als das geltende Recht sieht Art. 37 Abs. 2 DSGVO die Möglichkeit der Bestellung eines Konzern-Datenschutzbeauftragten ausdrücklich vor.