Das Datenschutzrecht regelt die Verarbeitung von personenbezogenen Daten durch juristische Personen, Behörden oder öffentliche Stellen. Was ist aber mit Zweigstellen? Insbesondere mit unselbstständigen Zweigstellen eines Unternehmens im Drittland. Warum diese nicht immer zu vernachlässigen sind, zeigt dieser Beitrag.
Der Inhalt im Überblick
Die Zweigstelle
Nach §§ 13 ff. HGB ist eine Zweigstelle eine vom Hauptgeschäft räumlich getrennte Niederlassung, die als zusätzlicher, auf Dauer gedachter Mittelpunkt des Unternehmens geschaffen ist und die in das Handelsregister eingetragen werden muss. Die Zweigniederlassung ist jedoch keine eigene, vom Unternehmen der Hauptniederlassung getrennte juristische Person. Sie ist rechtlich und organisatorisch Teil des Unternehmens der Hauptniederlassung und insoweit dem Recht der Hauptniederlassung unterworfen. Trotz dieser internen Abhängigkeit von der Hauptniederlassung nimmt die Zweigstelle selbständig am Geschäftsverkehr teil und wird von ihrem Leiter nach außen vertreten. Sie muss so organisiert sein, dass sie beim Wegfall der Hauptniederlassung fortbestehen könnte.
Die unselbstständige Zweigstelle
Die unselbstständige Zweigniederlassung ist in Abgrenzung zur Zweigstelle in jeder Beziehung von der Hauptniederlassung des Unternehmens abhängig. Sie weist keine Eigenständigkeit im Verhältnis zur Hauptniederlassung auf. Lediglich der Geschäftsbetrieb findet an räumlich verschiedenen Stellen statt, daher dürfen unselbstständige Niederlassungen keine von der Hauptniederlassung abweichende eigene Firma führen. Sie wird also faktisch, wie die Hauptniederlassung behandelt. Eine Vertretung nach Außen findet nicht statt.
Auftragsverarbeitung unter Heranziehung einer Zweigstelle innerhalb Deutschlands
Konsequenterweise handelt es sich bei beiden Formen der Zweigstelle datenschutzrechtlich um ein und dieselbe juristische Person. Damit sind grundsätzlich Datenweitergaben von Haupt- an Zweigniederlassung und andersherum datenschutzrechtlich ohne gesonderte Rechtsgrundlage oder Abschluss von AV-Vereinbarungen möglich. Dritte Unternehmen können Verträge, wie z.B. im Rahmen der Auftragsverarbeitung erforderlich nur mit der Hauptniederlassung schließen.
Diese Handhabung dürfte zumindest solange uneingeschränkt gelten, solange sich alle Beteiligten innerhalb der Europäischen Union bzw. innerhalb des Europäischen Wirtschaftsraums befinden.
Zweigniederlassung im Drittland
Die vorstehende Ansicht dürfte jedoch anders zu bewerten sein, soweit sich eine echte oder unselbstständige Zweigstelle des Unternehmens außerhalb der EU oder des EWR in einem sog. unsicheren Drittland befindet. Hier dürfte, unter konsequenter Beachtung der zwei Stufen Theorie, zumindest für ein angemessenes Datenschutzniveau zu sorgen sein.
Ein entsprechendes Datenschutzniveau im Drittland kann mit Hilfe von Binding Corporate Rules, einem Angemessenheitsbeschluss der EU oder anderen Mitteln, wie EU-Standardvertragsklauseln, erreicht werden.
Keine Lösung über EU-Standardvertrag
Die regelmäßig verwendeten EU-Standardvertragsklauseln kommen in diesem Verhältnis an ihre Grenzen. Zunächst werden die EU-Standardvertragsklauseln zwischen Datenexporteur und Datenimporteur geschlossen, was zwei unterschiedliche Parteien voraussetzt.
Da es sich jedoch bei Haupt- und Zweigniederlassung nur um eine juristische Person handelt, stehen sich gerade keine zwei Vertragsparteien gegenüber. Auch Dritte Unternehmen, die etwa die Verarbeitung personenbezogener Daten im Rahmen einer Auftragsverarbeitung direkt an die Zweigstelle outsourcen möchten, können mit dieser keinen direkten EU-Standardvertrag schließen.
Lösung der Aufsichtsbehörden
In der Praxis kann es Auftragsverhältnisse geben, bei dem eine nicht selbstständige Zweigstelle außerhalb der EU oder des EWR personenbezogene Daten im Auftrag eines externen Auftraggebers verarbeitet. In diesem Fall gehen die Aufsichtsbehörden davon aus, dass eine einseitige zugangsbedürftige, aber nicht annahmebedürftige Garantieerklärung durch die Zweigstelle ein angemessenes Datenschutzniveau schafft und diese Problematik löst.
Diese Garantieerklärung kann z.B. eine Verpflichtung zur Einhaltung der Regelungen der EU-Standardvertragsklauseln darstellen.
Ergebnis
Die Lösung der Aufsichtsbehörden ist konsequent aber nicht wirklich befriedigend, da die Garantieerklärung nur einen Kunstgriff darstellt.
Hallo,
gibt es für die angesprochene Drittstaaten-Thematik am Ende dieses Artikels noch eine neue Entwicklung oder lautet die Empfehlung noch immer eine nicht-annahmebedürftige Garantieerklärung zur Einhaltung der Vorschriften der EU Standardvertragsklauseln?
Sie verweisen dazu auf Aussagen von Datenschutz-Aufsichtsbehörden; gibt es hierzu Fundstellen und/oder Quellen, auf die Sie referenzieren können?
Herzlichen Dank
In den letzten Monaten gab es unseres Wissens keine offizielle Veröffentlichung, die sich damit beschäftigt hat. Die Aussage ist damals gegenüber dem Autor im Beratungsgespräch mit der Behörde genau zu der Thematik gefallen und war Anlass für den Artikel. Sie können sich aber jederzeit mit der Lösung an Ihre zuständige Aufsichtsbehörde wenden und erfragen, ob sie ggf. eine andere Auffassung vertritt.
Ich bin mir nicht ganz sicher, ob ich es richtig verstehe, daher ein Beispiel:
– Hauptsitz USA
– unselbstständige Niederlassung Deutschland und ausschließlich diese Daten sind betroffen von der Dienstleistung (bsp. Sicherheitspersonal am Standort)
– Dienstleister USA/China etc. (Drittland)
Wie würde das praktisch funktionieren?
Vielen Dank für die Aufklärung und weiter so mit ihren Artikeln! Immer ein Vergnügen :-)
In Ihrem Bespiel liegt die Niederlassung in Deutschland und damit innerhalb der EU/ des EWRs. Zumindest für die im Rahmen ihrer Tätigkeiten stattfindenden Datenverarbeitungen ist damit der Anwendungsbereich der DSGVO eröffnet (Art. 3). Sofern es hier nun zu einem Datentransfer außerhalb der EU/ des EWRs kommt (z.B. Dienstleister USA/ China), sind damit auch entsprechende Garantien zu ergreifen (z.B. SCCs). Ob zudem über die DSGVO hinausgehende Regelungen zu beachten sind, wäre vom Hauptsitz in den USA zu prüfen.