(MoB) Im Unternehmensalltag werden regelmäßig personenbezogene Daten verarbeitet. Dies ist jedoch unter anderem nur zulässig, wenn die Anforderungen der DS-GVO eingehalten werden. Insbesondere bei der Übermittlung von Daten in Drittländer müssen im Sinne der DS-GVO mehrere Voraussetzungen beachtet werden. Hierbei ergibt sich auch für Konzerne, die zwar sowohl nach außen als auch nach innen als geschlossene Einheit auftreten, kein Vorteil.

Kein Konzernprivileg in der DS-GVO

Ein Konzern ist eine Gruppe von Unternehmen, die als wirtschaftliche und rechtliche Einheit unter einheitlicher Leitung geführt wird (Vgl. § 18 AktG). In der DS-GVO wird jedoch nicht der Begriff „Konzern“, sondern „Unternehmensgruppe“ verwendet. Eine Unternehmensgruppe ist nach Art. 4 Nr. 19 DS-GVO eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Gleichwohl die Definitionen sich damit sehr ähneln, so ist daraus kein Konzernprivileg abzuleiten.  Die DS-GVO betrachtet die einzelnen Unternehmen der Unternehmensgruppe als datenschutzrechtlich unabhängig.  Jedes Unternehmen des Konzerns wird als eigener Verantwortlicher für die Datenverarbeitung angesehen. Dies bedeutet, dass auch jede Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe einer eigenen Rechtsgrundlage bedarf. Damit existiert in der DS-GVO kein Konzernprivileg.

Allerdings wird mit dem Erwägungsgrund 48 S. 1 der DS-GVO ein „kleines Konzernprivileg“ ermöglicht. Hiernach können Unternehmensgruppen nämlich ein berechtigtes Interesse daran haben, personenbezogene Daten von Kunden und Mitarbeitern innerhalb der Gruppe für interne Verwaltungszwecke zu übermitteln. In Verbindung mit Art. 6 Abs. 1 lit. f DS-GVO stellt dies eine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten innerhalb einer Unternehmensgruppe dar. Davon ausgenommen sind jedoch grenzüberschreitende Datentransfers.

Worauf muss geachtet werden?

Grundsätzlich ist die Verarbeitung personenbezogener Daten aus Gründen des Beschäftigungsverhältnisses nach § 26 Abs. 1 BDSG rechtmäßig, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Gemäß Art. 6 Abs. 1 lit. f DS-GVO ist die Verarbeitung personenbezogener Daten hingegen rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. Dies ist der Fall, wenn die Verarbeitung internen, administrativen Zwecken dient, wie z. B. ein zentrales Sekretariat, eine zentrale Personalverwaltung oder ein konzernübergreifendes Kommunikationsverzeichnis (Customer Relationship Management „CRM“). Damit kann die Verarbeitung oder Übermittlung von personenbezogenen Daten innerhalb des Konzerns also unter bestimmten Voraussetzungen durch ein berechtigtes Interesse auch nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt werden.

In einem Urteil vom 14.12.2021, Az.: 17 Sa 1185/20 hat das LAG Hamm entschieden, dass ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DS-GVO jedoch nur dann besteht, wenn kein milderes, gleich wirksames Mittel zur Verwirklichung der Interessen des Verantwortlichen zur Verfügung steht.

Bei jeder Verarbeitung personenbezogener Daten müsse das Prinzip der Datenminimierung beachtet werden. Die Verarbeitung von personenbezogenen Daten sollte sich also auf die Informationen beschränken, die für die Erfüllung des spezifischen Zwecks erforderlich sind. Außerdem müssen technische und organisatorische Maßnahmen ergriffen werden, die den Schutz personenbezogener Daten gewährleisten.

In dem bereits erwähnten Urteil des LAG Hamm wurde zusätzlich betont, dass im Falle einer Datenübermittlung auf der Grundlage von Art. 6 Abs. 1 lit. f DS-GVO der Verantwortliche seiner Informationspflicht gegenüber der betroffenen Person nachkommen und ihr die Möglichkeit geben muss, die ihr nach der DSGVO zustehenden Rechte, wie unter anderem das Widerspruchsrecht nach Art. 21 DS-GVO, auszuüben.

Für konzerninterne Datenübermittlungen, die über das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO hinausgehen, gilt das kleine Konzernprivileg allerdings nicht. Hierzu sind andere Rechtsgrundlagen erforderlich, wie etwa die ausdrückliche Einwilligung der betroffenen Person.  

Transfer in ein Drittland

Nach Erwägungsgrund 48 S. 2 der DS-GVO bleiben die Grundsätze für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt. Folglich gilt das kleine Konzernprivileg in diesem Fall nicht. Ein Unternehmen, das personenbezogene Daten an ein Unternehmen der Unternehmensgruppe im Drittland übermittelt, muss somit nachweisen, dass in dem Drittland ein gleichwertiges Datenschutzniveau wie in der EU oder dem EWR besteht (Vgl. Art. 44 ff. DS-GVO). Wenn das Drittland nicht durch den Angemessenheitsbeschluss der Europäischen Kommission als sicheres Land eingestuft wurde, schließen viele Unternehmensgruppen für den Transfer von personenbezogenen Daten innerhalb der Gruppe ein so genanntes IGDTA (Intra Group Data Transfer Agreement) ab, in dem die Anwendung der Standardvertragsklauseln (Standard Contractual Clauses „SCC“) für die Übermittlung personenbezogener Daten in Drittländer vereinbart wird. Zum allgemeinen Umgang mit den SCC sei auf unseren Artikel: „Neue Standarddatenschutzklauseln“ verwiesen.

Nach dem Schrems-II-Urteil des EuGH reicht der einfache Abschluss von SCCs jedoch nicht mehr aus. Die Europäische Kommission vereinbarte im Juni 2021 neue SCCs. Diese fordern, dass das Unternehmen das Datenschutzniveau im Drittland überprüfen und durch zusätzliche Garantien ein Maß an Sicherheit gewährleistet wird, welches dem Niveau innerhalb der EU/des EWR entspricht.  Die neuen Standardvertragsklauseln enthalten in Klausel 14 erstmals den Zusatz, dass die Parteien jeweils zusichern, dass nationale Rechtsvorschriften des Empfängerlandes dem vertraglich zugesicherten Schutz personenbezogener Daten nicht widersprechen. Damit wird die Durchführung eines Transfer Impact Assessments (TIA) vor dem Datentransfer notwendig. Nur wenn das TIA im Ergebnis den Fortbestand eines vergleichbaren Schutzes personenbezogener Daten im entsprechenden Drittland bestätigt, können die Daten transferiert werden.

Handlungsempfehlung

Internationale Konzerngesellschaften sollten bei der Übermittlung von personenbezogenen Daten besonders vorsichtig sein. Zu beachten gilt insbesondre:

  • Übermittlung von Daten zwischen einzelnen Unternehmen innerhalb der Gruppe erfordert immer eine eigene Rechtsgrundlage.
  • Wenn Übermittlungen gestützt auf das berechtigte Interesse erfolgen gilt es zu beachten, dass diese wirtschaftlicher, rechtlicher, tatsächlicher und ideeller Natur sein können. Allen gemein ist, dass der Transfer unbedingt erforderlich für das Unternehmen sein muss und keine milderen Mittel zur Zweckerreichung zur Verfügung stehen. Sobald Unsicherheit darüber besteht, ob eine bestimmte Übermittlung personenbezogener Daten rechtmäßig ist, sollte sicherheitshalber das Datenschutzteam oder der Datenschutzbeauftragte konsultiert werden. Damit kann das Risiko eines nicht rechtmäßigen Datentransfers oft deutlich minimiert werden. Dem Konzern drohen nämlich Geldbußen gem. Art. 82 Abs. 1 DS-GVO, wenn er sich nicht an die Vorgaben der DS-GVO hält.
  • In Fällen, in welchen die Rechtsgrundlage für den Datentransfer der Art. 6 Abs. 1 lit e oder f DS-GVO bildet, hat ein rechtzeitiger Hinweis auf das Widerspruchsrecht i.S.d. Art. 21 DS-GVO an die betroffenen Personen zu erfolgen.
  • Insbesondere bei der Übermittlung von Daten an ein Unternehmen in einem Drittland ist darauf zu achten, dass das Datenschutzniveau im Empfängerland, dem der EU/des EWR entspricht. Da Unternehmen nach dem Schrems-II-Urteil verpflichtet sind spätestens bis zum 27.12.2022 die alten SCCs durch die Neuen zu ersetzen (näher in: „Deadline zum Abschluss neuer Standardvertragsklauseln und Q&A der Europäischen Kommission“), sollte diese Anpassung genutzt werden, um noch einmal genau festzuhalten, welche Datenübermittlungen innerhalb des Konzerns regelmäßig durchgeführt werden und zu welchem Zweck die Daten überhaupt übermittelt werden. Werden hierbei Übermittlungen entdeckt, die nicht unbedingt notwendig sind, sollte zukünftig auf diese verzichtet werden.