17. August 2009 - Konzerndatenschutz

Rechtssicherheit gewinnen trotz fehlendem Konzernprivileg

Zusammengeschlossene Unternehmen, die personenbezogene Daten innerhalb der eigenen Konzernstruktur frei übermitteln, begeben sich rechtlich gesehen auf dünnes Eis. Vielfach wird zwar der Konzern als herrschendes Unternehmen wahrgenommen, das berechtigt erscheint, z.B. als Muttergesellschaft personenbezogene Daten seiner Tochterunternehmen anzufordern. Dass diese Datenübermittlung in jedem Falle legitim sei, ist jedoch ein Trugschluss.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Sondererlaubnistatbestände für die Übermittlung personenbezogener Daten im Konzern sind weder in den Vorschriften des Bundesdatenschutzgesetzes (BDSG) noch in den spezialgesetzlichen Regelungen des Datenschutzrechtes enthalten.

Das Fehlen eines solchen Konzernprivilegs im Datenschutzrecht macht die zentrale datenschutzkonforme Nutzung von personenbezogenen Daten aus verschiedenen Organisationseinheiten daher besonders anspruchsvoll.

Wer ist die verantwortliche Stelle?

Maßgeblich für das BDSG ist das rechtlich selbstständige Unternehmen als juristische Person (§ 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG). Im Sinne des BDSG ist verantwortliche Stelle ist mithin das Unternehmen einschließlich seiner Niederlassungen und Zweigstellen.

Entscheidend ist, dass komplexe Konzernstrukturen nach dem AktG keinen Einfluss auf die Bestimmung der verantwortlichen Stelle nach § 3 Abs. 7 BDSG haben. Der Gesetzgeber unterscheidet weder zwischen dem jeweiligen Maß an juristischer Selbstständigkeit oder Abhängigkeit eines Unternehmens, noch wird auf ein bestehendes Beherrschungsverhältnis oder einen vorliegenden Eingliederungsbeschluss eines Unternehmens abgestellt.

Diese besondere Gesetzessystematik des BDSG wirkt sich im Datenschutzbereich auf den Umfang der Befugnisse einer Muttergesellschaft im Verhältnis zu ihren Tochtergesellschaften aus.

Rechtsgrundlagen der Datenübermittlung

Die Anwendungsfälle, in denen Konzernziele mit den Anforderungen des Datenschutzes in Übereinstimmung gebracht werden müssen, sind zahlreich:

  • Datenübermittlungen können z.B. Mitarbeiterdaten betreffen, die künftig in einem Shared-Service-Center „Personal“ verwaltet werden sollen.
  • Netzwerkdaten können bei der gemeinsamen Inanspruchnahme eines Rechenzentrums anfallen und zu den beteiligten Unternehmen fließen.
  • Schon bei der Einrichtung eines konzernweiten Namens-, Telefon- und E-Mail-Verzeichnisses gilt es, die datenschutzrechtliche Zulässigkeit der Datenflüsse im Einzelfall zu prüfen; nicht im Konzern, sondern zwischen den rechtlich selbstständigen Konzernunternehmen.

Ausgehend vom Prinzip des Verbots mit Erlaubnisvorbehalt (§ 4 Abs. 1  BDSG), bedarf eine Übermittlung personenbezogener Daten zwischen rechtlich selbstständigen Unternehmen einer Rechtsgrundlage.

Es existieren allgemeine Erlaubnistatbestände im BDSG (z.B. § 28 BDSG), die auslegungsbedürftig sind. Vor einer Übertragung von Mitarbeiterdaten sind z.B. regelmäßig die Interessen des Mitarbeiters in einen angemessenen Ausgleich zu der Interessenlage des Unternehmens zu bringen.

Datenschutz in internationalen Konzernen

Im internationalen Kontext kommen auf Konzerne Sonderprobleme wie der grenzüberschreitende Datenverkehr in außereuropäische Ländern zu.

Ziel der verantwortlichen Stelle muss vor einer Datenübertragung im ersten Schritt die Klärung der Rechtsgrundlage sein, bevor im zweiten Schritt ein angemessenes  Datenschutzniveau für die zu übertragenden Daten sichergestellt wird.

Hierzu gibt es verschiedene Methoden. Verbindliche Konzernregelungen („Bindung Corporate Rules“) zum Datenschutz können positiven Einfluss auf die Entscheidung der Aufsichtbehörde über die Zulässigkeit einer Übermittlung von Daten haben.

Mehr zum Datenschutz im Konzern

 

Jedes rechtlich selbstständige Unternehmen im Konzernverbund ist ggf. zur Bestellung eines Datenschutzbeauftragten verpflichtet

Rechtlich selbstständige Unternehmen, auch solche, die im Konzernverbund stehen, können verpflichtet sein, einen Datenschutzbeauftragten zu bestellen.

Ob eine Verpflichtung besteht, richtet sich nach den Voraussetzungen des § 4f BDSG. Mit der Bestellung eines Datenschutzbeauftragten entfällt die Meldepflicht für Verfahren automatisierter Verarbeitungen. Die Aufgabe kann auch durch einen externen betrieblichen Datenschutzbeauftragten wahrgenommen werden.

Entscheidend ist, dass grundsätzlich jedes verpflichtete selbständige Unternehmen als eigene verantwortliche Stelle (§ 3 Abs. 7 BDSG) einen eigenen Datenschutzbeauftragten bestellen muss.

Eine andere Möglichkeit: der Konzerndatenschutzbeauftragte

Eine Möglichkeit besteht darin, dass die verpflichteten Konzernunternehmen ein und denselben Datenschutzbeauftragten bestellen. Vor Ort ist dann regelmäßig ein Datenschutzkoordinator tätig.

Datenschutz integrieren

Der Verzicht auf datenschutzkonforme Lösungen kann schwerwiegende Folgen haben. Denn Verstöße gegen Vorschriften des BDSG können von den zuständigen Aufsichtsbehörden mit hohen Bußgeldern geahndet werden.

Aber die Beachtung des Datenschutzes in Konzernstrukturen bedeutet nicht den Verzicht auf zentrale HR-Systeme oder die übergreifende Netzwerkadministration.

Dr. Volker Wodianka, Rechtsanwalt, LL.M. in IT & Telecommunications Law, Consultant Datenschutz und IT-Compliance, und Doris Rasch, Journalistin, intersoft consulting services GmbH.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln