Für deutsche Unternehmen mit Töchtern im Ausland ist das Datenschutzrecht eine Herausforderung, genauso für deutsche Tochtergesellschaften internationaler Konzerne. GvW Graf von Westphalen hat gemeinsam mit anderen Kanzleien aus EU-Mitgliedsstaaten eine Übersicht über Grundfragen des Datenschutzrechts in der EU erstellt.

In der Praxis ist es häufig nötig, Daten zwischen Konzerngesellschaften so auszutauschen wie innerhalb eines Unternehmens. Das deutsche Datenschutzrecht und auch das Recht der anderen EU-Staaten erkennen diese praktische Notwendigkeit aber nicht an. Im Datenschutzrecht gibt es kein Konzernprivileg. Das bedeutet, der Transfer von Daten von einer Konzerngesellschaft an die andere ist grundsätzlich eine Übermittlung. Es macht rechtlich keinen Unterschied, ob die Daten an eine fremde Gesellschaft gesandt werden oder an eine Konzerngesellschaft.

Diese rechtliche Ausgangslage muss eine Unternehmensgruppe beachten, wenn sie die Personalverwaltung konzernweit zentralisiert, bestimmte Dienste durch Shared-Service-Center für den Gesamtkonzern erbringen lässt oder zentrale Datenbanken für mehrere Konzerngesellschaften einrichtet. Auch wenn ein US-Konzern ein Whistleblower-System nach dem Sarbanes-Oxley Act schafft, ist das datenschutzrechtlich eine Datenübermittlung von der deutschen Tochtergesellschaft zur Konzernmutter in den USA.

Häufig wird übersehen, dass auch konzernweite E-Mail-Systeme zu einem Datentransfer im Konzern führen. Gleiches gilt für die zentrale Wartung der IT-Systeme durch eine Konzerngesellschaft, denn hier kann die zentrale IT-Gesellschaft des Konzerns auf Daten anderer Konzerngesellschaften zugreifen; auch das ist eine Übermittlung.

Unterschiedliche Datenschutzrechte in Europa…

Der Datentransfer in internationalen Konzernen berührt mehrere Rechtsordnungen. In den EU-Staaten beruht das Datenschutzrecht zwar auf der Richtlinie RL 95/46/EG aus dem Jahr 1995, so dass dieselben Grundprinzipien gelten. Allerdings haben alle EU-Staaten die Richtlinie unterschiedlich umgesetzt. Im Detail unterscheiden sich die Datenschutzgesetze der EU-Staaten teilweise erheblich. Die EU ist im Moment zwar dabei, das Recht weiter zu vereinheitlichen. Die geplante Verordnung wird aber noch längere Zeit auf sich warten lassen. Für Unternehmen ist es keine Alternative, solange abzuwarten. EU-weit tätige Unternehmen müssen ihre konzerninternen Regelungen so gestalten, dass sie die Anforderungen aller Niederlassungsstaaten erfüllen.

...und weltweit

Die rechtlichen Anforderungen verschärfen sich noch, wenn die EU oder der Europäische Wirtschaftsraum, d.h. die EU plus Island, Liechtenstein und Norwegen, verlassen wird. Konzerne, die ihre Muttergesellschaften in den USA oder sonst außerhalb Europas haben, müssen dies beachten. Gleiches gilt für Konzerne mit Hauptsitz in Deutschland und Niederlassungen außerhalb Europas.

Wichtig ist es, dass in allen Staaten, in denen der Konzern eine Tochter oder eine Niederlassung hat, ein angemessenes Datenschutzniveau besteht. Nach Ansicht der EU-Kommission ist nur in relativ wenigen Staaten auf der Welt ein ausreichender Datenschutz garantiert, beispielsweise in der Schweiz, Israel, Argentinien und Kanada. Für die Konzerntöchter in anderen Staaten muss der Konzern erst ein angemessenes Datenschutzniveau schaffen. In den USA erfolgt dies dadurch, dass die US-Gesellschaft dem Safe-Harbor-Programm beitritt. Grundlage ist eine Selbstzertifizierung und eine Aufnahme in die Liste beim Handelsministerium.

Eine weitere Möglichkeit ist, dass die Konzerngesellschaften untereinander EU-Standardverträge abschließen, das sind von der EU-Kommission genehmigte Standardklauseln. Es ist zwar umständlich, wenn mehrere Konzernunternehmen diese Klauseln vereinbaren. Rechtlich ist dies aber ein sicherer Weg, um ein angemessenes Datenschutzniveau herzustellen. Eine andere Variante für den konzerninternen Datenaustausch besteht darin, einheitliche Konzernrichtlinien zu schaffen, sogenannte Binding Corporate Rules.

Weitere Voraussetzungen der Übermittlung

Wenn das angemessene Datenschutzniveau hergestellt ist, so ist dies aber nur der erste Schritt. Der Datentransfer setzt voraus, dass weitere Voraussetzungen erfüllt sind. Deutsche Unternehmen dürfen Daten übermitteln, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Hier gilt international nichts anderes als bei innerstaatlichen Übermittlungen.

Um diese Anforderung in der Praxis umzusetzen, gibt es mehrere Möglichkeiten: Bei zentralen Kundendatenbanken des Konzerns oder anderen zentralisierten Dienstleistungen hat es sich bewährt, mit Auftragsdatenverarbeitung zu arbeiten. Die Konzerngesellschaft, die die Leistungen erbringt, wird dann als weisungsabhängiger Dienstleister für alle anderen Gesellschaften tätig. Dies kann sogar die Muttergesellschaft sein. In anderen Fällen, z.B. bei der zentralisierten Personalverarbeitung, arbeitet man mit Einwilligungen. Whistleblower-Systeme kann man dagegen so gestalten, dass der Datentransfer schon aufgrund Gesetzes zulässig ist.

Deutsche Besonderheiten

In Deutschland ist das Datenschutzrecht strenger als in den meisten EU-Staaten. Es ist auch komplizierter, da 16 unabhängige Datenschutzbehörden bestehen. Hinzu kommt, dass die Konferenz der Deutschen Datenschutzbeauftragten im Juli 2013 die Konsequenzen aus dem Prism Skandal gezogen hat und ankündigte, sie würde keine Datentransfers außerhalb Europas mehr genehmigen.

Dieser Beschluss der Datenschutzbeauftragten bedeutet nicht, dass Datentransfers demnächst rechtswidrig sind, denn viele Zulässigkeitsregelungen beruhen auf EU-Recht. Die EU-Kommission hat am 27. November bekannt gegeben, das Safe Harbor Programm mit den USA fortzuführen, allerdings zu verschärften Bedingungen. Die Äußerungen der deutschen Datenschutzbeauftragten bedeuten aber für die Praxis, dass ein internationaler Konzern mit strengeren Kontrollen durch deutsche Behörden rechnen muss. Schärfere Kontrollen sind ein effektives Mittel, um den Datentransfer einzuschränken.

Unternehmen sollten nicht warten, bis es zu Kontrollen durch Behörden und in der Folge zu Beanstandungen oder Bußgeldern kommt. Besser ist es, die nötigen konzerninternen Regelungen vorab zu überprüfen und eventuell nötige Anpassungen vorzunehmen.

Übersicht von GvW und europäischen Partnerkanzleien von November 2013

Um den Datenschutz in internationalen Konzernen und bei anderen grenzüberschreitenden Datenübermittlungen zu erleichtern, hat Graf von Westphalen gemeinsam mit anderen Kanzleien aus EU-Mitgliedsstaaten eine Übersicht über Grundfragen des Datenschutzrechts in der EU erstellt.

Bei Interesse senden Sie bitte eine Mail an a.boeken@gvw.com, wir stellen dann diese kostenfreie Übersicht gern zur Verfügung.

Arnd Böken, Rechtsanwalt und Notar