Die internationale Tätigkeit von Unternehmen wirft viele Fragen auf: wie können Mitarbeiter-, Lieferanten- und Kundendaten datenschutzkonform in andere Staaten, insbesondere in solche, die nicht der EU/dem EWR angehören, übermittelt werden? Denn aufgrund der Tatsache, dass es im Datenschutz kein Konzernprivileg gibt, bedarf jede Übertragung – auch innerhalb eines Konzerns – einer individuellen Prüfung. Des Weiteren ist stets die Frage, wann bei Datenübertragungen das BDSG überhaupt beachtet werden muss.
Der Inhalt im Überblick
Territorialprinzip vs. Sitzprinzip
Das BDSG wendet grundsätzlich das Territorialprinzip an. Demnach muss jede ausländische Stelle deutsches Datenschutzrecht beachten, wenn sie personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt.
Für den grenzüberschreitenden Datentransfer hebt Art. 4 EU-Datenschutzrichtlinie das Territorialprinzip jedoch wieder auf und bestimmt die Geltung des Sitzprinzips. Dies besagt, dass das Recht desjenigen Landes Anwendung findet, in dem die für die Datenerhebung oder –verarbeitung verantwortliche Stelle ihren Sitz hat, sofern sich dieser Sitz in einem Mitgliedsland der EU befindet. Hat diese Stelle aber im Inland eine Niederlassung, gilt das inländische Recht.
Die Anwendung des BDSG
Im BDSG regelt § 1 Abs. 5 BDSG die Frage, wann bei Fällen mit Auslandsbezug das BDSG Anwendung findet und trägt hier der Regelung in Art. 4 EU-Datenschutzrichtlinie Rechnung. Demnach findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.
Das anzuwendende Recht ist damit nicht jenes, welches am Ort der Erhebung, Verarbeitung oder Nutzung Gültigkeit hat, sondern jenes, welches in dem Land gilt, in dem die verantwortliche Stelle für die Datenerhebung, -verarbeitung oder –nutzung ihren Sitz hat. Dies bedeutet, dass das BDSG in den Fällen beachtet werden muss, in denen die verantwortliche Stelle ihren Sitz in Deutschland hat, nicht jedoch, wenn sich dieser in einem anderen Mitgliedsstaat der EU befindet.
Die Niederlassungen
Wird die Datenerhebung oder -übermittlung von einer Niederlassung in Deutschland durchgeführt, gilt ebenfalls das BDSG. Dabei kommt es nicht auf die Rechtsform der Niederlassung an, sie kann auch rechtlich unselbständig sein. Der Begriff der Niederlassung ist relativ weit gefasst. Hierunter kann beispielsweise auch die geschäftliche Niederlassung eines Freiberuflers fallen.
Die Übertragung von einem Standort in einem anderen Land oder von der Muttergesellschaft an die Stelle in Deutschland, wird mithin nicht vom BDSG erfasst, da sich die verantwortliche Stelle in diesem Fall im Ausland befindet. Es findet das jeweilige nationale Recht Anwendung.
Ziel der Regelung ist es, zu erreichen, dass ein international tätiges Unternehmen sich im Hinblick auf den Datenschutz nicht mit vielen unterschiedlichen Rechtsordnungen auseinandersetzen muss. Das Sitzprinzip findet auch dann Anwendung, wenn gespeicherte Daten nur „durchtransportiert“ werden, also für den Fall, dass die Daten sich zwar in Deutschland befinden, von ihnen aber keine tatsächliche Kenntnis genommen wird, § 1 Abs. 5 S. 4 BDSG.
Für den Fall, dass der Umgang mit den personenbezogenen Daten sowohl in der Niederlassung in Deutschland als auch bei einer anderen Niederlassung in einem EU-Mitgliedsstaat stattfindet, müssen sowohl die Bestimmungen des BDSG als auch diejenigen des anderen Staates beachtet werden.
Ausnahme: Strafbarkeitsbestimmungen
Für die Strafbarkeitsbestimmungen des BDSG (§§ 43, 44) gilt das Sitzprinzip nicht. Hier kommt wieder das Territorialprinzip zur Anwendung, so dass auch eine sich im Ausland befindliche Stelle die Regeln in §§ 43, 44 BDSG zu beachten hat.
Ich bin leider in einem kleinen Dilemma, aus dem ich aktuell nicht herausfinde. Vielleicht können Sie mir hier eine hilfreiche Info geben. Wir haben als deutsches Unternehmen zwei Niederlassungen in der Schweiz, die auch unter der deutschen Firma firmieren. In der Vergangenheit wurden die Schweizer Mitarbeiter nach §5 BDSG auf das Datengeheimnis verpflichtet. Die Mitarbeiter haben auch alle einen deutschen Arbeitsvertrag. War das so korrekt oder hätte hier eine vergleichbare Verpflichtung auf das Schweizer Datenschutzgesetz durchgeführt werden müssen? Leider ist mir das Schweizer Datenschutzgesetz nicht geläufig, so dass ich den entsprechenden Paragraphen nicht ausmachen kann. Ich hoffe Sie können mir hierbei helfen. Besten Dank im Voraus.
Da die Schweiz sich nicht in der EU befindet, gilt hier § 1 Abs. 5 Satz 2-4 BDSG. Wenn die eigentliche Datenverarbeitung in Deutschland stattfindet und nicht in der Schweiz (die deutsche Firma also als verantwortliche Stelle agiert, z.B. auch durch ein in Deutschland befindliches EDV-System), so ist deutsches Datenschutzrecht anwendbar und die Verpflichtung auf § 5 BDSG war richtig. Etwas anderes würde nur dann gelten, wenn die schweizerischen Niederlassungen selbständig agieren, also selbst über die Mittel und Zwecke der Datenverarbeitung bestimmen – dann wäre das schweizerische Datenschutzrecht anwendbar. Im Zweifel müssten diese Voraussetzungen in Ihrem Fall noch einmal geprüft werden.
Meinen herzlichen Dank. Damit haben Sie mir sehr weitergeholfen.
Darf eine GmbH in Deutschland im Rahmen von HR-Nearshoring nach Rumänien einem rumänischen Beschäftigten Zugriff auf Personaldaten in SAP HR gewähren?
Ob der rumänische Beschäftigte Zugriff auf Personaldaten erhalten darf, hängt zunächst davon ab, wie das HR-Nearshoring ausgestaltet ist; im Regelfall wird es sich wohl um eine Dienstleistung (eines rumänischen Unternehmens) handeln, die als Auftragsverarbeitung im Sinne des Art. 28 DSGVO einzustufen ist, so dass ein entsprechender Vertrag zwischen deutscher GmbH und rumänischem Dienstleister abzuschließen ist. Da Rumänien zur EU gehört, sind keine weiteren Maßnahmen zu treffen, um das angemessene Datenschutzniveau herzustellen.
Die Zugriffsrechte müssen sich darüber hinaus immer an dem sogenannten need-to-know-Prinzip des Datenschutzrechts orientieren; ein Mitarbeiter darf immer nur auf diejenigen personenbezogenen Daten Zugriff erhalten, die er für seine Tätigkeit zwingend benötigt. Im Bereich HR bedeutet dies, dass im Rahmen der Zugriffsrechte Abstufungen vorzunehmen sind, z.B. für bestimmte Aufgaben, Regionen oder business areas (z.B. der rumänische Mitarbeiter ist nur für die Bearbeitung der Lohnabrechnung in Region xy zuständig und erhält auch nur dementsprechende Zugriffsrechte). Es sollte ein schriftliches Berechtigungskonzept erstellt werden, in dem die Rollen festgelegt und beschrieben werden.
Vielen Dank für den ersten Einblick in das Thema.