Datenverarbeitung einer Zweigstelle im Drittland

Fachbeitrag

Das Datenschutzrecht regelt die Verarbeitung von personenbezogenen Daten durch juristische Personen, Behörden oder öffentliche Stellen. Was ist aber mit Zweigstellen? Insbesondere mit unselbstständigen Zweigstellen eines Unternehmens im Drittland. Warum diese nicht immer zu vernachlässigen sind, zeigt dieser Beitrag.

Die Zweigstelle

Nach §§ 13 ff. HGB ist eine Zweigstelle eine vom Hauptgeschäft räumlich getrennte Niederlassung, die als zusätzlicher, auf Dauer gedachter Mittelpunkt des Unternehmens geschaffen ist und die in das Handelsregister eingetragen werden muss. Die Zweigniederlassung ist jedoch keine eigene, vom Unternehmen der Hauptniederlassung getrennte juristische Person. Sie ist rechtlich und organisatorisch Teil des Unternehmens der Hauptniederlassung und insoweit dem Recht der Hauptniederlassung unterworfen. Trotz dieser internen Abhängigkeit von der Hauptniederlassung nimmt die Zweigstelle selbständig am Geschäftsverkehr teil und wird von ihrem Leiter nach außen vertreten. Sie muss so organisiert sein, dass sie beim Wegfall der Hauptniederlassung fortbestehen könnte.

Die unselbstständige Zweigstelle

Die unselbstständige Zweigniederlassung ist in Abgrenzung zur Zweigstelle in jeder Beziehung von der Hauptniederlassung des Unternehmens abhängig. Sie weist keine Eigenständigkeit im Verhältnis zur Hauptniederlassung auf. Lediglich der Geschäftsbetrieb findet an räumlich verschiedenen Stellen statt, daher dürfen unselbstständige Niederlassungen keine von der Hauptniederlassung abweichende eigene Firma führen. Sie wird also faktisch, wie die Hauptniederlassung behandelt. Eine Vertretung nach Außen findet nicht statt.

Auftragsverarbeitung unter Heranziehung einer Zweigstelle innerhalb Deutschlands

Konsequenterweise handelt es sich bei beiden Formen der Zweigstelle datenschutzrechtlich um ein und dieselbe juristische Person. Damit sind grundsätzlich Datenweitergaben von Haupt- an Zweigniederlassung und andersherum datenschutzrechtlich ohne gesonderte Rechtsgrundlage oder Abschluss von AV-Vereinbarungen möglich. Dritte Unternehmen können Verträge, wie z.B. im Rahmen der Auftragsverarbeitung erforderlich nur mit der Hauptniederlassung schließen.

Diese Handhabung dürfte zumindest solange uneingeschränkt gelten, solange sich alle Beteiligten innerhalb der Europäischen Union bzw. innerhalb des Europäischen Wirtschaftsraums befinden.

Zweigniederlassung im Drittland

Die vorstehende Ansicht dürfte jedoch anders zu bewerten sein, soweit sich eine echte oder unselbstständige Zweigstelle des Unternehmens außerhalb der EU oder des EWR in einem sog. unsicheren Drittland befindet. Hier dürfte, unter konsequenter Beachtung der zwei Stufen Theorie, zumindest für ein angemessenes Datenschutzniveau zu sorgen sein.

Ein entsprechendes Datenschutzniveau im Drittland kann mit Hilfe von Binding Corporate Rules, einem Angemessenheitsbeschluss der EU oder anderen Mitteln, wie EU-Standardvertragsklauseln, erreicht werden.

Keine Lösung über EU-Standardvertrag

Die regelmäßig verwendeten EU-Standardvertragsklauseln kommen in diesem Verhältnis an ihre Grenzen. Zunächst werden die EU-Standardvertragsklauseln zwischen Datenexporteur und Datenimporteur geschlossen, was zwei unterschiedliche Parteien voraussetzt.

Da es sich jedoch bei Haupt- und Zweigniederlassung nur um eine juristische Person handelt, stehen sich gerade keine zwei Vertragsparteien gegenüber. Auch Dritte Unternehmen, die etwa die Verarbeitung personenbezogener Daten im Rahmen einer Auftragsverarbeitung direkt an die Zweigstelle outsourcen möchten, können mit dieser keinen direkten EU-Standardvertrag schließen.

Lösung der Aufsichtsbehörden

In der Praxis kann es Auftragsverhältnisse geben, bei dem eine nicht selbstständige Zweigstelle außerhalb der EU oder des EWR personenbezogene Daten im Auftrag eines externen Auftraggebers verarbeitet. In diesem Fall gehen die Aufsichtsbehörden davon aus, dass eine einseitige zugangsbedürftige, aber nicht annahmebedürftige Garantieerklärung durch die Zweigstelle ein angemessenes Datenschutzniveau schafft und diese Problematik löst.

Diese Garantieerklärung kann z.B. eine Verpflichtung zur Einhaltung der Regelungen der EU-Standardvertragsklauseln darstellen.

Ergebnis

Die Lösung der Aufsichtsbehörden ist konsequent aber nicht wirklich befriedigend, da die Garantieerklärung nur einen Kunstgriff darstellt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.