Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
Das Konzernprivileg: Eigene Regeln für Konzerndatenschutz?
Nach § 18 Aktiengesetz (AktG) besteht ein Konzern aus einem herrschenden und einem oder mehreren unabhängigen Unternehmen, die unter der einheitlichen Leitung des herrschenden Unternehmens zusammengefasst sind. Anders als in einigen Rechtsgebieten wie im Steuerrecht, ist in die Datenschutz-Grundverordnung (DSGVO) allerdings kein Konzernprivileg mit aufgenommen worden. Stattdessen sind die Unternehmen innerhalb einer Unternehmensgruppe als datenschutzrechtlich selbstständig und jeweils eigene Verantwortliche im Sinne der DSGVO zu betrachten, weshalb für Datenübermittlungen eine eigene Rechtsgrundlage erforderlich ist. Allerdings gibt es einige Sonderregelungen, die häufig als kleines Konzernprivileg bezeichnet werden.
Zunächst findet sich an einigen Stellen der Begriff der Unternehmensgruppe. Die Definition in Art. 4 Nr. 19 DSGVO ähnelt der des Konzerns aus dem AktG:
„‚Unternehmensgruppe‘ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.
Darüber hinaus erlaubt Art. 88 DSGVO Datenübermittlungen im Konzern ausdrücklich für den Beschäftigungskontext. Weiteren Aufschluss gibt auch der Erwägungsgrund 37 DSGVO:
„Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden.“
Erwägungsgrund 48 DSGVO führt schließlich aus, wann Verantwortliche, die Teilunternehmen eines Konzerns sind, personenbezogene Daten innerhalb einer Unternehmensgruppe übermitteln dürfen. Diese können „ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“, während die „Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland“ unberührt bleiben.
Welche Rechtsgrundlagen kommen in Frage?
Für jede Verarbeitung von personenbezogenen Daten ist eine Rechtsgrundlage nach Art. 6 DSGVO notwendig, damit sie datenschutzrechtlich zulässig ist. Dies gilt auch für Datenübermittlungen – die schließlich Datenverarbeitungen sind – im Konzern. Welche Rechtsgrundlage die richtige ist, kann von verschiedenen Faktoren abhängen. Werden die Daten in Staaten außerhalb der EU oder des EWR gesendet? Gehören die Daten zu den besonderen Kategorien von Daten (Art. 9 DSGVO), die besonders sensibel sind und daher erhöhten Anforderungen unterliegen?
Die Einwilligung
Die Einwilligung ist für Konzerndatenübermittlungen in der Regel keine geeignete Grundlage. Da sie freiwillig erteilt werden muss, stehen ihr weitestgehend die hierarchischen Verhältnisse zwischen Arbeitnehmern, Arbeitgebern und Vorgesetzten entgegen. Zudem ist die Einwilligung jederzeit frei widerruflich und kann daher nicht die notwendige Rechtssicherheit und Dauerhaftigkeit gewährleisten.
Berechtigte Interessen
Art. 6 Abs. 1 lit. f DSGVO dürfte in den meisten Fällen die einschlägige Rechtsgrundlage sein. Danach ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung berechtigter Interessen eines Verantwortlichen erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Dieses berechtigte Interesse wurde bereits in Erwägungsgrund 48 DSGVO ausdrücklich für Datenübermittlungen im Konzern genannt, um das erhöhte Bedürfnis an konzerninternen Datenübermittlungen klarzustellen. Bevor man allerdings ein berechtigtes Interesse annimmt, sollten die Anforderungen der berechtigten Interessen für jede Datenübermittlung vorab überprüft werden. Dafür muss eine dokumentierte Abwägung zwischen den Interessen des Verantwortlichen an der Datenübermittlungen und denen der betroffenen Personen, ihrer Grundrechte und Grundfreiheiten vorgenommen werden. Dabei sollte sorgfältig vorgegangen werden.
- In einem ersten Schritt sollte das berechtigte Interesse des Unternehmens konkret und ausführlich dargelegt werden. Hier kann grundsätzlich jedes wirtschaftliche, rechtliche, tatsächliche oder auch ideelle Interesse herangezogen werden.
- Zweitens ist zu klären, ob die Datenübermittlung für die Wahrung der berechtigten Interessen erforderlich ist. Dafür ist nicht mehr notwendig, als dass die Datenübermittlung dafür geeignet ist und es keine Alternative gibt, die gleich bzw. besser geeignet und dabei weniger in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreift.
- In einem dritten Schritt sollte dann die Interessenabwägung vorgenommen werden. Hierbei ist zu beachten, ob die betroffene Person mit Datenübermittlungen zwischen den einzelnen Unternehmen des Konzerns im Vorfeld rechnen konnte. Zudem spielt die Intensität des Eingriffs in die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen eine entscheidende Rolle.
Konzerninterne Datenschutzverträge
Um die Intensität zu verringern, können technische und rechtliche Maßnahmen getroffen werden, die den Datenschutz für die Betroffenen erhöhen. Hier ist insbesondere darauf zu achten, dass die Betroffenenrechte nach der DSGVO (Art. 12 bis 23 DSGVO) gewahrt werden, unter Einschluss der Informationspflichten gegenüber den betroffenen Personen.
Mit konzerninternen Datenschutzverträgen können die getätigten Schutzmaßnahmen verbindlich aufgezählt werden, um so die Interessenabwägung zugunsten des Unternehmens ausfallen zu lassen. Technische und organisatorische Maßnahmen, wie der Einsatz einer Firewall und anderen Sicherheitsmaßnahmen sollten dazugehören, wie auch Anonymisierungs- und Pseudonymisierungsverfahren der personenbezogenen Daten.
Datenverarbeitungen zur Durchführung des Beschäftigungsverhältnisses
Einen Spezialfall stellt die Rechtsgrundlage des § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) dar. Sie wurde für die Verarbeitung von Beschäftigtendaten im Beschäftigungskontext erlassen, da die DSGVO diesbezüglich kaum gesonderte Regelungen enthält. Über die Öffnungsklausel in Art. 88 DSGVO können die Mitgliedsstaaten für die dort aufgeführten Zwecke jedoch spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen, wie in § 26 BDSG erfolgt. Nach § 26 Abs. 1 S. 1 BDSG ist die Verarbeitung von Beschäftigtendaten insbesondere zulässig, soweit sie für die Entscheidung über die Begründung, die Durchführung oder die Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Andere Datenübermittlungen innerhalb eines Konzerns, etwa zu wirtschaftlichen oder Verwaltungszwecken, sind hier nicht miteingeschlossen. Die Möglichkeit der Übermittlung von Beschäftigtendaten ist im Konzern z. B. dann besonders wichtig, wenn für die Mitarbeiter aller Konzernunternehmen eine zentrale Personalabteilung zuständig sein soll. Eine solche Organisation ist grundsätzlich auch rechtlich möglich.
Entscheidend für die Anwendung des § 26 Abs. 1 S. 1 BDSG ist die Erforderlichkeit der Datenverarbeitung speziell für das Beschäftigungsverhältnis. Während in § 26 BDSG der Begriff der Erforderlichkeit nicht weiter konkretisiert wird, ist nach der Gesetzesbegründung eine Erforderlichkeitsprüfung vorzunehmen, in der im Wege einer Interessenabwägung „die widerstreitenden Grundrechtspositionen“, die „Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten“ zu einem möglichst gerechten Ausgleich zu bringen sind. Bei dieser Interessenabwägung ist insbesondere auch der Grundsatz der Verhältnismäßigkeit zu beachten. Für die Verhältnismäßigkeit einer Datenverarbeitung ist neben ihrer Geeignetheit zur Erfüllung des verfolgten Zwecks auch erforderlich, dass keine weniger eingriffsintensiven, auf vergleichbare Weise der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses dienenden Maßnahmen zur Verfügung stehen. Im engeren Sinne darf bei einer Gesamtabwägung die Schwere, des mit der Datenverarbeitung bewirkten Eingriffs in die Persönlichkeitsrechte des Arbeitnehmers, nicht außer Verhältnis zu den rechtfertigenden Gründen auf Seiten des Arbeitgebers stehen. Weitere Anhaltspunkte für die Abwägung im Rahmen der Erforderlichkeit können die Beachtung datenschutzrechtlicher Grundsätze wie der Datensparsamkeit (Art. 5 lit. c DSGVO), der Entscheidungsspielraum des Arbeitgebers über die Organisation betrieblicher Abläufe aufgrund unternehmerischer Freiheit (z.B. in Bezug auf mögliche „mildere Maßnahmen“) oder die Sensibilität der betreffenden Daten sein. Zudem ist auch gerade hier wichtig, dass die Daten der Beschäftigten ausreichend geschützt sind, sowohl bei der Übermittlung selbst, als auch bei dem jeweiligen Unternehmen, das die Personaldaten dann verarbeitet. Hier können technische, aber auch rechtliche (z.B. vertragliche) Maßnahmen sinnvoll sein, wie etwa die schriftliche Begrenzung auf die Datenverarbeitungen, die auch wirklich für das Beschäftigungsverhältnis notwendig sind.
Übermittlung besonderer Kategorien von Daten
Besondere Regelungen gelten für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO). Da sie für die betroffenen Personen besonders sensibel sind, dürfen die Daten grundsätzlich nicht verarbeitet werden, sofern nicht eine gesetzliche Ausnahme vorliegt. Zu den besonderen Kategorien von personenbezogenen Daten gehören u. a. die ethnische Herkunft, die Religionszugehörigkeit, aber auch Gesundheitsdaten, Daten zur sexuellen Orientierung oder die Gewerkschaftszugehörigkeit. Problematisch ist vor allem der Fall für die zentrale Personalabteilung eines Konzerns, in der regelmäßig solche Daten verarbeitet werden müssen. Wenn beispielsweise ein Konzernunternehmen eigens für die Abwicklung der Personalverwaltung für alle Unternehmen eines Konzerns eingesetzt wird, muss die Zulässigkeit wie oben beschrieben im Rahmen von § 26 BDSG überprüft werden. Für die Datenübermittlung sensibler Daten im Beschäftigungsverhältnis müssen spezifische Verfahrensregeln eingesetzt werden, die bei einer Übermittlung die Einhaltung der Vorgaben der DSGVO sowie des BDSG sicherstellen (§ 22 Abs. 2 BDSG). Dazu gehören etwa Zugriffsbeschränkungen auf die Daten, Pseudonymisierungs- und Verschlüsselungstechniken sowie sonstige technische Sicherheitsvorkehrungen. Aufgrund der Sensibilität der Daten sollte auf den Schutz dieser allerdings ein besonderer Wert gelegt werden. Hier sollte in jedem Fall der Datenschutzbeauftrage mit eingebunden werden.
Der Konzerndatenschutzbeauftragte
Ein Datenschutzbeauftragter muss nach Art. 37 Abs. 1 DSGVO bestellt werden, wenn die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht und eine systematische Überwachung von betroffenen Personen erforderlich macht, wenn besondere Kategorien von Daten verarbeitet werden oder nach § 38 Abs. 1 BDSG, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Gemäß Art. 37 Abs. 2 DSGVO muss allerdings nicht für jedes Unternehmen gesondert ein Datenschutzbeauftragter ernannt werden, sondern es ist ein gemeinsamer Konzerndatenschutzbeauftragter möglich, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann. Der Datenschutzbeauftragte ist dafür da, den Verantwortlichen bzw. Auftragsverarbeiter über die Pflichten nach der DSGVO zu unterrichten und dahingehend zu beraten. Er überwacht die Einhaltung des Datenschutzrechts, kann Zuständigkeiten zuweisen oder Mitarbeiter im Bereich Datenschutz schulen. Der Datenschutzbeauftragte ist weisungsfrei und Verantwortliche müssen sicherstellen, dass er mit seinen Aufgaben nicht in Interessenkonflikte gerät.
Die Stelle des Datenschutzbeauftragten kann intern oder extern besetzt werden. Während ein interner Datenschutzbeauftragter möglicherweise vor Ort einfacher erreichbar ist und mit den Abläufen des Konzerns vertrauter ist, hat ein externer Datenschutzbeauftragter den Vorteil, dass er die Sachlage objektiv beurteilen kann und sich ausschließlich mit den datenschutzrechtlichen Vorgaben beschäftigt. In jedem Fall muss er die notwendige fachliche Qualifikation mitbringen.
Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
Die DSGVO sieht in Art. 26 das Konzept einer gemeinsamen Verantwortlichkeit vor, wenn zwei Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Diese Konstellation tritt häufig bei Konzernen auf, wenn zwei ihrer Unternehmen zusammenarbeiten. Auch da es nicht notwendig ist, dass die Entscheidungsrechte gleichmäßig verteilt sind, sondern kleine Beiträge zur Festlegung der Zwecke und Mittel eines Unternehmens ausreichen.
Wichtig ist dabei vor allem, einen entsprechenden Joint-Controller-Vertrag abzuschließen, der regelt, welche Partei welche datenschutzrechtlichen Anforderungen übernimmt und ihn entsprechend umsetzt. Zudem muss der wesentliche Inhalt des Vertrags den betroffenen Personen zur Verfügung gestellt werden. Im Rahmen von Datenübermittlungen im Konzern empfiehlt es sich, über die Vorgaben des Art. 26 DSGVO hinauszugehen und zusätzliche Schutzmaßnahmen zu vereinbaren, wie sie im oben genannten konzerninternen Datenschutzvertrag erforderlich sind.
Wenn keine gemeinsame Verantwortlichkeit vorliegt, sondern zum Beispiel das Hauptunternehmen allein die Zwecke und Mittel der Datenverarbeitung festgelegt hat, kommt eine Auftragsverarbeitung nach Art. 28 DSGVO in Betracht. Während der Verantwortliche über Zwecke und Mittel entscheidet, verarbeitet der Auftragsverarbeiter die Daten im Auftrag und auf Weisung des Verantwortlichen und ohne eigene Entscheidungsbefugnis. Das ist im Konzern häufig bei sogenannten „Shared Services“ der Fall, wenn bestimmte Dienstleistungen und Prozesse, die bei allen Unternehmen des Konzerns identisch sind, in einem konzerneigenen Unternehmen zentralisiert werden. Beispiele sind Call-Center, Stellen zur Bearbeitung und Archivierung von Rechnungen, HR Services oder die IT-Dienste Hier muss jeweils ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, der die entscheidenden Voraussetzungen der strikten Weisungsbefugnis des Auftraggebers und die fehlende Entscheidungsbefugnis des Auftragnehmers regelt und konkretisiert. Die Maßnahmen, die bereits im Konzerndatenschutzvertrag geregelt wurden, müssen sich entsprechend auch im AVV wiederfinden, um die Schutzvorkehrungen nicht zu umgehen.
Dafür gilt die Privilegierung der Auftragsverarbeitung: Datenübermittlungen an den Auftragnehmer sind ohne Einschränkungen möglich, da es sich nicht mehr um einen Dritten im Sinne der DSGVO handelt, der die Daten empfängt. Das gilt auch für die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO.
Grenzüberschreitende Datenübermittlung
Weitere rechtliche Anforderungen bestehen auch dann, wenn personenbezogene Daten in Staaten außerhalb der EU oder des EWR übermittelt werden. Dies gilt auch dann, wenn es sich beim Empfänger der Daten um ein Unternehmen des Konzerns, selbst im Rahmen einer Auftragsverarbeitung, handelt. Damit die Übermittlungen rechtlich zulässig sind, muss das Drittland ein der EU vergleichbares Datenschutzniveau aufweisen. Für einige Staaten gibt es entsprechende Angemessenheitsbeschlüsse der Europäischen Kommission (Art. 45 DSGVO). Liegen solche nicht vor, muss der Verantwortliche zusätzliche eigene Schutzmaßnahmen treffen. Für entsprechende Vereinbarungen kann in der Regel auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO) zurückgegriffen werden.
Fazit
Datenübermittlungen innerhalb eines Konzerns sind grundsätzlich möglich und praktisch gut umsetzbar, solange darauf geachtet wird, dass die Zugehörigkeit zu einem Konzern allein nicht ausreicht, personenbezogene Daten rechtskonform übermitteln zu können. Aufgrund der vielfältigen Beziehungen der Unternehmen eines Konzerns sind die Anforderungen je nach Einzelfall oft unterschiedlich und nicht immer leicht zu beurteilen. Entscheidend ist, dass dem Umstand Rechnung getragen wird, dass es sich bei den unterschiedlichen Unternehmen eines Konzerns aus datenschutzrechtlicher Sicht erst einmal um eigenständige Verantwortliche handelt. Die meisten Datenübermittlungen im Konzern dürften daher zwischen zwei oder mehreren Verantwortlichen sein, für die es einer Rechtsgrundlage bedarf. Handelt es sich um eine gemeinsame Verantwortlichkeit oder um eine Auftragsverarbeitung, müssen darüber hinaus noch entsprechende Datenschutzverträge abgeschlossen werden.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.