Internationale Konzerne bündeln Kompetenzen oft in ausgewählten Konzerngesellschaften. Das ist effektiv und organisatorisch von Vorteil. Datenschutzrechtlich birgt diese Form der Verwaltung große Herausforderungen, denn die Interessenabwägung zwischen Konzern und Mitarbeitern hat es in sich.
Der Inhalt im Überblick
Konzernaufbau entscheidend
In regulären Unternehmen gibt es zumeist klare Strukturen, die einer Pyramide gleichen: Oben der Chef, der Entscheider, danach immer weiter aufgespaltet die Belegschaft, nach Befugnissen gestaffelt. Ein bekanntes und unproblematisches Szenario. Das ändert sich, wenn aus Unternehmen Konzerne werden. Eine wesentliche Herausforderung liegt in der Organisation zueinander und dem Zusammenspiel der einzelnen Unternehmen miteinander. Kompetenzbündelungen und Effektivitätsgedanken führen gerne zu komplexen Strukturen. So kann es sein, dass die Verantwortlichkeiten nicht klassisch innerhalb eines Unternehmens, sondern über die Gesellschaften hinweg verteilt sind. Beispielsweise können disziplinarische Vorgesetzte im selben Unternehmen arbeiten, wohingegen die Projektmanager in einem anderen Unternehmen tätig sind. Mit einer solchen Organisation geht stets ein Austausch von personenbezogenen (Mitarbeiter-)Daten einher.
Datenschutzrechtliche Hürden
Die Verarbeitung personenbezogener Daten bedarf stets einer rechtlichen Grundlage. Wesentliche sind in Art. 6 Abs. 1 DSGVO geregelt. Aber auch in anderen Gesetzen wie dem BDSG finden sich entsprechende Normen. Wenn geplant ist personenbezogene Daten innerhalb eines Konzerns zwischen den verschiedenen Gesellschaften auszutauschen, geht dies nur, wenn zuvor die Voraussetzungen einer Erlaubnisnorm bejaht wurden. Für die Übermittlung stehen verschiedene Rechtsgrundlagen zur Verfügung, wie z.B. das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
Verbindende Voraussetzung
Alle Rechtsgrundlagen verbindet, dass vor einer Übermittlung der personenbezogenen Daten eine Interessenabwägung zwischen den Rechten der Betroffenen (Mitarbeiter) und denen des Konzerns stattzufinden hat. Aus seiner Sicht stellt sich die Frage, welche Interessen und welche Schutzmaßnahmen angeführt werden können, um einen Datenaustausch zu rechtfertigen. Die im Folgenden aufgeführten Punkte können hierzu dienen:
Interessen des Konzerns
Dass Konzerne berechtigte Interessen haben, ist in Erwägungsgrund 48 ausdrücklich anerkannt. Dort ist von „internen Verwaltungszwecken“ die Rede:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. […]“
„Interne Verwaltungszwecke“ ist zunächst ein weiter Begriff, der die meisten relevanten Prozesse in einem Konzern umfassen dürfte. Im Sinne datenschutzrechtlicher Grundprinzipien (Art. 5 DSGVO) sollte er allerdings restriktiv ausgelegt und auf wesentliche Verwaltungszwecke beschränkt werden. Vor jeder Übermittlung ist zu prüfen, ob nicht mildere Mittel gleich effektiv sind. Die Begründung ist stets zu dokumentieren. Selbstredend ist eine gute Argumentation besonders wichtig.
Schutzmaßnahmen des Konzerns
Auch Schutzmaßnahmen sind geeignet die Abwägung zugunsten des Konzerns ausfallen zu lassen:
- Umfangreiche technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten. Hierbei spielen auch das Datenschutzmanagementsystem und das ISMS eine Rolle.
- Beherzigung der in Art. 5 und 6 DSGVO niedergelegten Grundsätze der Datenverarbeitung durch konkrete Umsetzung.
- Ein hohes Maß an Sicherheit der Verarbeitung iSd. Art. 32 DSGVO.
- Die transparente Darstellung im Rahmen der Artikel 12 bis 14 DSGVO, inwiefern die personenbezogenen Daten übermittelt werden.
- Die Schaffung konzerninterner Richtlinien zum Datenschutz oder konzerninterne Datenschutzverträge wie bspw. Intra-Group Data Transfer Agreements oder Binding Corporate Rules.
- Eine entsprechende Klausel im Arbeitsvertrag. Es empfiehlt sich bspw. bei Zentralisierungen bestimmter Tätigkeiten diese hervorheben und dadurch Transparenz zu schaffen. Der Arbeitsvertrag könnte bspw. um den nachfolgenden Paragraphen ergänzt werden. Dabei sind vorab die relevanten konzerninternen Datenströme zu ermitteln.
§ 1 Präambel
Dieser Arbeitsvertrag wird zwischen dem Arbeitnehmer und dem Arbeitgeber geschlossen. Bei dem Arbeitgeber handelt es sich um ein Unternehmen XXX Unternehmensgruppe. Bestimmte Dienste, wie etwa IT-Servicedienstleistung, …. werden durch die XXX Gesellschaft zentralisiert durchgeführt.
Die Liste ließe sich noch weiterführen, abschließend ist sie nicht. Aber bei allen Maßnahmen sollte eines nicht vergessen werden: die Prüfung des Einzelfalls kann nicht entfallen.
Was unter „Interne Verwaltungszwecke“ fällt ist allerdings fraglich. Gehören dazu auch die Ermittlungen der Konzernrevision zur Aufklärung von dolosen Handlungen der Beschäftigten oder beinhaltet dies allein mittlerweile übliche Verarbeitungen, wie die zentrale Personalaktenführung, Erstellung Gehaltsabrechnungen etc. ?
Berechtigte und interessante Frage. Leider kann ich Ihnen keine definitive Antwort hierauf geben. Aber: Wenn Ihr Konzern so organisiert ist, dass die Konzernrevision von einer Gesellschaft durchgeführt wird, sehe ich gute Gründe die dafür sprechen, dass es sich hierbei um einen Verwaltungszweck handelt. Da aber ohnehin jede auf das berechtigte Interesse gestützte Datenverarbeitung einer Interessenabwägung bedarf, können mit einer guten Argumentation die internen Verwaltungszwecke im eigenen Interesse ausgelegt werden. Zum Beispiel sind keine offensichtlichen Gründe ersichtlich, dass die konzerneigene Revision grundsätzlich von den internen Verwaltungszwecken ausgenommen werden sollte. Innerhalb dieser Zulässigkeit aber bestimmte Bereiche wiederum auszunehmen, ist inkonsequent und führt zu einer nicht hinzunehmenden Rechtsunsicherheit.
Interessant, danke. Sie behandeln die Rechtsgrundlage. In der praktischen Umsetzung bedarf es dann noch einer AVV zwischen den Beteiligten, richtig? Alternativ liegt ein Fall des Art. 26 vor und es bedarf einer solchen Vereinbarung.
Wo sehen Sie die Unterschiede gerade in Konzernen zwischen AV zu Art. 26?
Immer dann, wenn die Pyradimenstruktur auf den Kopf gestellt wird?
Ich glaube in der Frage versteckt sich ein kleines Missverständnis. Das Datenschutzrecht ist so konzipiert, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt besteht. D.h. dass personenbezogene Daten nur erhoben und verarbeitet werden dürfen, wenn eine Rechtsgrundlage vorliegt. Rechtsgrundlagen finden sich z.B. in Art. 6 DSGVO oder § 26 BDSG (neu). Wenn die Voraussetzungen einer dieser Rechtsgrundlagen vorliegen, können die personenbezogenen Daten verarbeitet werden. Eine solche Rechtsgrundlage ist eben auch das berechtigte Interesse, auf das sich der o.g. Artikel bezieht.
Von der Frage der Rechtsgrundlage ist die Frage der Erforderlichkeit eines AVV nach Art. 28 DSGVO zu trennen. Der AVV stellt ein Privilegierungsverhältnis her, aufgrund dessen der Verantwortliche personenbezogene Daten an den Auftragsverarbeiter übermitteln kann. Rechtlich gesehen liegt daher keine Übermittlung vor, sodass die Verantwortlichkeit weiterhin beim „Verantwortlichen“ liegt, mithin er auch das Vorhandensein einer tauglichen Rechtsgrundlage prüfen muss. Diese wird im Rahmen des AVV vom Verantwortlichen zum Auftragsverarbeiter „herübergezogen“.
D.h. Unternehmen sollten im ersten Schritt zunächst die Frage beantworten, ob für die geplante Datenverarbeitung eine Rechtsgrundlage vorliegt. Wenn ja, ist festzustellen, ob die personenbezogenen Daten an eine weitere Gesellschaft weitergegeben werden.
Ist das der Fall, muss in einem zweiten Schritt das Verhältnis analysiert werden.
Sollten die Voraussetzungen einer Auftragsverarbeitung vorliegen (Stichwort Weisungsgebundenheit), ist ein AVV abzuschließen. Für die Fälle, in denen eine Auftragsverarbeitung nicht vorliegt, muss die gemeinsame Verantwortlichkeit
Sollten die Voraussetzungen einer gemeinsamen Verantwortlichkeit vorliegen, ist ein Vertrag nach 26 DSGVO abzuschließen. Hierbei müssen beide Gesellschaften jeweils für sich eine Rechtsgrundlage vorweisen können. Und hier kommt dann meist das berechtigte Interesse wieder ins Spiel, wie es in dem Artikel beschrieben wurde.
Zusammengefasst gibt es also drei Konstellationen innerhalb eines Konzerns, wenn personenbezogene Daten ausgetauscht werden:
1. AVV-Verhältnis
2. Gemeinsame Verantwortlichkeit
3. Keines von beidem
Zu guter Letzt: wie die notwendigen Verträge dann ausgestaltet werden, ist Geschmacksfrage. Entweder tatsächlich über einzelne Verträge zwischen den Gesellschaften oder über eine Rahmendatenschutzvereinbarung, die die jeweiligen Verhältnisse berücksichtigt und die alle Konzerngesellschaften unterschreiben.
Nach alter Rechtslage wäre die Tätigkeit einer Konzernrevision wohl klassisch als Funktionsübertragung anzusehen, da Sie weisungsfrei bzw. unabhängig von einem Auftrag tätig wird. Ein Auftragsdatenverarbeitungsvertrag wäre nicht erforderlich gewesen.
Nach der DSGVO kommt allerdings eine gemeinsame Verantwortlichkeit in Betracht, weil die Konzernrevision die Revisionsaufgabe der einzelnen Konzernunternehmen übernimmt, und dabei notwendig mit den ggf. auch personenbezogenen Daten dieser Unternehmen arbeitet. Diese „Aufgabenverlagerung“ innerhalb des Konzerns im Hinblick auf den Datenschutz vertraglich zu regeln, wäre jedenfalls ein Mehraufwand gegenüber der alten Rechtslage, wobei allerdings der Nutzen bzw. die Erforderlichkeit einer solchen Vereinbarung für den Datenschutz fraglich erscheint.