Was gilt für den Datenschutz bei Datentransfers im Konzern?

konzern 01
Fachbeitrag

Egal, welchen Kommentar, welche Zeitschrift, welchen Artikel man zum Konzerndatenschutz liest, überall steht mehr oder minder das Gleiche:

Es gibt kein Konzernprivileg im Datenschutz!

Wenn also personenbezogene Daten an einen Dritten, sprich außerhalb der verantwortliche Stelle weitergegeben werden, so ist es vollkommen egal, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Es gilt, dass für diese Übermittlung immer eine (datenschutzrechtlich wirksame) Erlaubnis erforderlich ist.

Was ist ein Konzern?

Wie so oft hilft Wikipedia aus:

Als Konzern bezeichnet man den Zusammenschluss mehrerer rechtlich selbständiger Unternehmen zu einer wirtschaftlichen Einheit unter einer einheitlichen Leitung, wobei jede Unternehmung eine eigene Bilanz- und Erfolgsrechnung hat. Dafür geben die einzelnen Unternehmen ihre wirtschaftliche und finanzielle Unabhängigkeit auf. Rechtlich bleiben die Unternehmen selbstständig.

Durch die rechtliche Selbstständigkeit unterliegen einzelne, in Deutschland angesiedelte Unternehmenstöchter (und -mütter) jeweils als verantwortliche Stelle dem deutschen Datenschutzrecht, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen.

Ein Fall aus der Konzern-Praxis

Nehmen wir die NN Inc.* mit Sitz in USA, Hersteller von Consumer-Electronics. Nach erfolgreicher Markteinführung in Nordamerika wird der europäische Markt angepeilt. Als Brückenkopf wird Brüssel ausgewählt, welches die Europazentrale wird – selbstverständlich als eigenständiges Unternehmen. Tochterunternehmen in weiteren europäischen Ländern werden gegründet, drei davon auch in Deutschland.

John Doe, CEO der NN Inc., ist moderner Betriebswirtschaft gegenüber aufgeschlossen und organisiert seinen Konzern mit einer Matrix-Struktur. Das bedeutet, die IT-Tochter für Europa sitzt in England, die einzelnen Business Units in Europa berichten dem jeweils zuständigen Managern in Brüssel. Die Garantiezentrale als Ansprechpartner für die Endkunden ist in Bangalore, Indien beheimatet (Kostenfaktor!).

Die jeweiligen HR-Manager der deutschen Gesellschaften (1.200 Angestellte in Deutschland insgesamt) berichten an HR bei der amerikanischen Muttergesellschaft (wobei die dafür verwendete Software im Wege des Cloud-Computing outgesourced ist).

Genauer gesagt: Ein datenschutzrechtlicher Albtraum!

Erlaubnistatbestände für Datentransfers

Als Datenschutzbeauftragter der deutschen Unternehmen des NN-Konzerns hat man es jetzt nicht leicht und zumindest im folgenden Jahr gut zu tun. Es gilt zu unterscheiden zwischen Auftragsdatenverarbeitungen und Datenweitergaben, sicheren und unsicheren Drittländern, personenbezogenen und anonymisierten Daten, nationalem, europäischen und internationalen Recht.

Einzuordnen sind Shared Services und Cloud-Computing sowie angemessenes Datenschutzniveau, Richtlinien und Verträge, wobei die Liste sich beliebig erweitern läßt und wahrscheinlich die gesamte Palette des Datenschutzrechts abdeckt. Eine erste Anlaufstelle zur Problemlösung findet man hier oder hier. Es würde in jedem Fall den Rahmen sprengen, an dieser Stelle für alle oben angerissenen Probleme eine Lösung zu präsentieren.

Hingewiesen sei an dieser Stelle ergänzend auf den § 4c BDSG, hier insbesondere Abs. 1 Nr. 2, wo die Übermittlung von personenbezogenen Daten zur Vertragserfüllung ausnahmsweise auch an Stellen in Ländern, in denen kein angemessenes Datenschutzniveau herrscht, zulässig ist, wenn zusätzliche Schutzmaßnahmen eingehalten werden. So wird sich z.B. durch die Verwendung von EU-Standardvertragsklauseln mit der indischen Servicegesellschaft eine Lösung zur datenschutzgerechten Übermittlung von Kundendaten zur Garantieabwicklung finden lassen.

Datentransfer der Beschäftigtendaten

Bei Beschäftigtendaten ist der Fall komplizierter. Zwar liegt auch hier ein Vertrag vor. Wenn Mitarbeiter im Ausland eingesetzt werden und dies entsprechend im sog. konzerndimensionalen Arbeitsvertrag geregelt ist, dient die Übermittlung der Vertragserfüllung. Anders ist es hingegen, wenn die Übermittlung lediglich der Zentralisierung von Gehalts- und Personalverwaltungsfunktionen dient. Die dann zu nehmenden Hürden, um die Übermittlung zulässig zu gestalten, sind noch ein wenig höher aufgestellt. Genannt seien hier vor allem das Transparenzgebot und ggf. die Einbeziehung eines Betriebsrats.

Konzernprivileg, warum eigentlich nicht?

Der oben geschilderte Fall – und es gibt mehr NN Inc. in Deutschland als man denkt – macht es deutlich: im Zweifelsfall geschieht es doch so, wie es die Muttergesellschaft will – und dort ist Datenschutz Made in Germany nicht gerade eine Top-Priorität. Den betroffenen deutschen Konzerntöchtern und deren Datenschutzbeauftragten bleibt der fragwürdige Eiertanz des nachträglichen Legitimierens entweder des Status Quo oder neuer, bereits an anderer Stelle beschlossener Verarbeitungen.

Zeitgemäß und praxisnah wäre daher eine Hinwendung zum Konzernprivileg.

Daher lautet der Vorschlag: Anfangen könnte man mit der Einbeziehung von Konzernstrukturen bei der Novellierung des Beschäftigtendatenschutzes!

(*Name von der Redaktion geändert)

Ein Kommentar zu diesem Beitrag

  1. Pingback: Was gilt für den Datenschutz bei Datentransfers im Konzern? » Konzerndatenschutz, Konzernprivileg, internationaler Datenschutz, Datenübermittlung, Datentransfer, Beschäftigtendatenschutz » Datenschutzbeauftragter | Out of X

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.