Einführung einer Konzerndatenbank unter der DSGVO

Fachbeitrag

Plant ein Unternehmen die Einführung einer neuen Datenbank im Konzernverbund, gilt es einige datenschutzrechtliche Anforderungen zu beachten. Wir geben eine erste Orientierungshilfe über die Themenkomplexe, die hier zu beachten sind.

Datenbanken und Datenschutz

Soll eine zwischen verschiedenen Konzernunternehmen gemeinsam genutzte Datenbank eingeführt werden, die auch personenbezogene Daten verarbeitet, sind DSGVO-Vorgaben zu beachten. Diese lassen sich grob in zwei Blöcke unterteilen: Es bestehen Anforderungen an

  • die Datenbank selbst und
  • die rechtlichen Rahmenbedingungen für den Betrieb einer solchen.

Während sich der erste Punkt darum dreht, was eine Datenbank „von Haus aus“ mitbringen sollte (z.B. Umsetzungsmöglichkeit eines Berechtigungskonzepts, Lösch-Funktionen, Datenportabilität etc.), geht es bei den rechtlichen Rahmenbedingungen um die Frage, welches Konzernunternehmen eigentlich „verantwortlich“ im Sinne der DSGVO ist und welche Rechtsgrundlagen für einen konzerninternen Zugriff auf in die in der Datenbank gespeicherten personenbezogenen Daten in Betracht kommen.

Anforderung an die Datenbank selbst

Wird eine Datenbank von Grund auf selbst entwickelt oder ist der Kauf einer solchen geplant, ist im ersten Schritt immer Art. 25 DSGVO zu beachten.

Datenschutz durch Technikgestaltung

Art. 25 Abs.1 DSGVO (Datenschutz durch Technikgestaltung) bestimmt, dass der Verantwortliche schon zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung Maßnahmen trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen. Dies beschreibt im Grunde eine Selbstverständlichkeit: Der Verantwortliche sollte schon in der Planungsphase im Blick haben, dass ein datenschutzkonformer Betrieb der Datenbank möglich ist. Dies ist im Gegensatz zum alten BDSG nunmehr kein gutgemeinter Programmsatz, der dem Verantwortlichen mit auf den Weg gegeben wird, sondern eine bußgeldbewährte Pflicht (s. Art. 83 Abs.4 DSGVO). Verantwortliche sollten die Feature-Liste einer Datenbank daher auch unter datenschutzrechtlichen Gesichtspunkten unter die Lupe nehmen. Dies gebietet sich alleine unter dem Gesichtspunkt, dass ein späterer Wechsel zu einer anderen Datenbank, aufgrund des Bußgeldrisikos der aktuell genutzten Datenbank, kostspielig, zeitintensiv und nervenaufreibend sein wird (Stichwort Datenmigration in neue Datenbank).

Datenaufbewahrung und Datenlöschung

Die DSGVO enthält in Art. 17 Abs. 1 die ausdrückliche Verpflichtung zur Löschung, wenn kein Zweck mehr für die Verarbeitung gegeben ist und keine Ausnahme nach Abs.3 vorliegt. Datenbanken sollten daher die Möglichkeit bieten, in ihr gespeicherte Datensätze so zu löschen, dass eine Rekonstruktion der Informationen mit hoher Wahrscheinlichkeit auszuschließen ist (BSI-Grundschutz M 2.167). Was jedoch, wenn Daten versehentlich gelöscht wurden? Hier sollten sogenannte Soft-Delete-Funktionen erwogen werden, die gelöschten Daten zunächst sperren und schließlich nach einem bestimmten Zeitablauf endgültig löschen.

Die Möglichkeit der Einschränkung von Daten – ohne sie endgültig zu löschen – ist schon alleine wegen der Vorgabe aus Art. 18 DSGVO ratsam, da Betroffene bei Vorliegen der Voraussetzungen aus Art. 18 DSGVO das Recht haben, die Einschränkung der Verarbeitung zu verlangen.

Um nicht gegen gesetzliche Speicherfristen zu verstoßen, sollte eine Datenbank auch vorgegebene Aufbewahrungsfristen beachten können und die betroffenen Datensätze automatisch oder zumindest nach vorheriger Rückmeldung an den intern zuständigen Mitarbeiter endgültig löschen.

Datenportabilität

Die Datenbank sollte nach Art. 20 DSGVO (Recht auf Datenübertragbarkeit) eine Exportfunktion bieten, die personenbezogene Daten in einem „interoperablen Format“ (vgl. Erwägungsgrund 68 S.2 der DSGVO)  exportieren kann. Zwar ist bis heute nicht abschließend geklärt, wie genau eine solche Datenübertragbarkeit sichergestellt werden kann. Hier bietet sich der Export unter Nutzung eines gängigen Dateiformats (z.B. XML oder JSON) an. Mittlerweile bilden sich erste Hersteller-Allianzen zur Etablierung eines einheitlichen Standards, die im Blick zu behalten sind.

Technisch-organisatorische Maßnahmen

Gemäß Art. 24 und 32 DSGVO sind technisch-organisatorische Maßnahmen bei Einsatz einer Datenbank umzusetzen. Dies betrifft gem. Art. 32 Abs.1 lit.b DSGVO insbesondere die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit des Systems. Die umfangreichen datensicherheitsrechtlichen Vorgaben lassen sich hier nicht annährend hinreichend darstellen. Trotzdem soll auf besondere Eckpunkte hingewiesen werden. Eine Datenbank sollte zumindest folgende Funktionalitäten bereitstellen können:

Das Berechtigungskonzept erfüllt zwei unabhängige Zwecke. Zum einen sichert es die Vertraulichkeit des Systems, indem Unbefugten der Zugriff auf bestimmte Datensätze verwehrt wird. Es kann jedoch auch die Rechtsgrundlage für einen Datenzugriff im Konzernverbund absichern. Es ermöglicht die Zugriffsbegrenzung eines Konzernunternehmen nur auf diejenigen Datensätze innerhalb der Datenbank, für die auch eine Rechtsgrundlage besteht. Um den Aufwand und die Komplexität von Nutzerberechtigungen im Griff zu behalten, bietet es sich an, Rollenkonzepte nach dem „Need-to-Know“-Prinzip zu definieren. Das Berechtigungskonzept ist regelmäßig zu prüfen, um unbefugte Zugriffe zu unterbinden.

Die rechtlichen Rahmenbedingungen für den Betrieb einer Konzerndatenbank

Hinsichtlich der rechtlichen Rahmenbedingungen ist immer die konkrete datenschutzrechtliche Verantwortlichkeit zu klären.

Gemeinsam verantwortliche Konzernunternehmen

Hier lauern Fallstricke: Legen zwei oder mehrere Konzernunternehmen faktisch gemeinsam die Zwecke und Mittel der Verarbeitung fest, sind sie gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO. Als solche besteht für sie die Pflicht in transparenter Form eine schriftliche Vereinbarung zu schließen, die gebührend die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen widerspiegelt (Art. 26 Abs.2 DSGVO). Wird dies nicht beherzigt, stellt der fehlende Vertrag wiederum einen Bußgeldtatbestand dar (Art. 83 Abs.4 lit.a DSGVO).

Rechtsgrundlage für Datenzugriff

Eine weitere Falle für Unternehmen ist, dass die gemeinsame Verantwortlichkeit keine Befugnis zur Datenverarbeitung darstellt, sondern nur klarstellt, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Die gemeinsame Verantwortlichkeit stellt keine Rechtsgrundlage für die Verarbeitung durch mehrere Verantwortliche dar. Entsprechend ist sie auch keine Rechtsgrundlage für eine Datenübermittlung.

Die Übermittlung personenbezogener Daten unter gemeinsam Verantwortlichen ist ein eigener Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO und bedarf als solcher immer einer Rechtsgrundlage i.S.d. Art. 6 DSGVO.

Soweit daher verschiedene rechtlich selbstständige Konzernunternehmen eine Datenbank gemeinsam nutzen, ob nun als gemeinsam Verantwortliche, jeweils selbst Verantwortliche oder im Rahmen einer Auftragsverarbeitung gem. Art. 28 f. DSGVO als Auftraggeber und Auftragnehmer, wird zwangsläufig immer darüber nachzudenken sein, ob eine Rechtsgrundlage für den Zugriff durch ein beteiligtes Konzernunternehmen besteht.

Im Rahmen der Übermittlung die auf ein berechtigtes Interesse gem. Art 6 Abs.1 lit.f DSGVO gestützt werden kann, ist zu beachten, dass im Erwägungsgrund 48 S.1 der DSGVO bei der Interessenabwägung ein mögliches berechtigtes Interesse von Konzernunternehmen vorliegen kann (sog. „kleines Konzernprivileg“). Hier ist eine Einzelfallprüfung notwendig.

Konzernumsatz für Berechnung des Bußgelds maßgeblich

Fehler bei der Bewertung der Rechtsgrundlage können schwerwiegend sein: Entgegen den vorherig genannten Bußgeldern greift hier der erhöhte Bußgeldrahmen gem. Art 83 Abs.5 DSGVO mit der Folge, dass Verstöße mit bis zu 20 Millionen Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Maßgeblich ist hier jedoch nicht mehr der Umsatz des Einzelunternehmens, sondern die sog. wirtschaftliche Einheit. Damit kann ein ganzer Konzern als Unternehmen i.S.d. Art. 83 DSGVO behandelt werden. Der gesamte Konzernumsatz bildet dann den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Vielen Dank für die interessanten Darlegungen. Was ich unter dem Gesichtspunkt Art. 25 Abs.1 DSGVO, Datenschutz durch Technikgestaltung und den TOMs gem. Art. 24 und 32 DSGVO noch gerne erörtern würde: Wäre es gem. dieser Bestimmungen nicht ratsam, getrennte Instanzen (Mandanten, Tenants, Datenbanksysteme) einzurichten und erforderliche gemeinsame Auswertungen in einem BI-System vorzunehmen, dass aktiv selektiv beschickt wird statt alles (weltweit) in eine Datenbank mit allen Daten aller Konzernunternehmen zu speichern?
    Das wäre doch sicher die technisch bessere Lösung als mit viel Aufwand über Rollen und Berechtigtungen sicherzustellen wie Sie schreiben, die „Rechtsgrundlage für einen Datenzugriff im Konzernverbund ab(zu)sichern“. Denn im Prinzip ist es ja sicher zu stellen, dass kein MitarbeiterIn aus z.B. USA personenenbezogene Daten aus Deutschland sieht (und umgekehrt). Getrennte Datenbanken (gerne nach einheitlichem Konzept und Struktur) und aktive Beschickung aggegierter und/ oder anonymisierter Daten bzw. ausgewählter personenbezogener Daten in ein BI statt eine Whole-Scale-DB mit allen Daten weltweit – das wäre echtes Datenschutz durch Technikgestaltung!

    • Sie sprechen einen weiteren wichtigen Punkt an: Die Möglichkeit der Mandantenfähigkeit, wie sie z.B. im BSI-Grundschutz M 2.549 thematisiert wird. Dies ist sicherlich ein weiterer Aspekt, der bei der Errichtung einer Konzerndatenbank Beachtung finden sollte.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.