25.10.2017Fachbeitrag

Update Datenschutz Nr. 30

Internationaler Datenaustausch nach der DSGVO

Für international tätige Konzerne stellt der länderübergreifende konzerninterne Datenaustausch nach der neuen DSGVO eine Herausforderung dar. Einerseits besteht gerade von Konzernmüttern im Ausland der Wunsch, möglichst viele Daten zu erhalten, andererseits ziehen Verstöße gegen die Vorgaben Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 Prozent des gesamten weltweit erzielten Umsatzes des vorangegangen Geschäftsjahres nach sich, je nachdem, welcher der Beträge höher ist.

1. 2-stufige Prüfung erforderlich

Der internationale Austausch im Konzern bedarf, genau wie der sonstige internationale Transfer, einer 2-stufigen Prüfung der Zulässigkeit. Auf der ersten Stufe wird geprüft, ob der Transfer personenbezogener Daten von einer zur anderen Gesellschaft gemäß Art. 6 Abs. 1 DSGVO oder einer anderen Erlaubnisnorm zulässig ist. Auf der zweiten Stufe erfolgt die Prüfung, ob der Transfer in das Ausland erfolgen darf.

Bei der Prüfung der ersten Stufe ist eine erhöhte Aufmerksamkeit der Verantwortlichen geboten, da von der Verarbeitung personenbezogener Daten auch ein bloßer Abruf oder Zugriff auf personenbezogene Daten umfasst ist. Erfolgt ein Zugriff eines Konzernunternehmens auf Daten eines anderen Konzernunternehmens, beispielsweise durch die Nutzung einer gemeinsamen Personaldatenbank oder eines Mitarbeiterverzeichnisses, ist bereits eine datenschutzrechtliche Erlaubnis erforderlich. Sitzt das Konzernunternehmen in einem Drittland, finden zusätzlich die Vorschriften zur Datenübermittlung in Drittländer Anwendung (zweite Stufe).

Erwägungsgrund 48 S.1 der DSGVO führt an, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Zwar handelt es sich hierbei nicht um einen speziellen Erlaubnistatbestand für die konzerninterne Datenweitergabe; ein solches Konzernprivileg ist in der DSGVO weiterhin nicht statuiert. Allerdings kann der Erwägungsgrund Grundlage für die Prüfung eines berechtigten Interesses gemäß Artikels 6 Abs. 1 lit. f) DSGVO sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Gelangt man im Rahmen der Interessenabwägung zu dem Ergebnis, dass ein berechtigtes Interesse gegeben ist, kann die konzerninterne Datenübermittlung neben anderen gegebenenfalls einschlägigen Erlaubnisnormen auf Art. 6 Abs. 1 lit. f) DSGVO Vorschrift gestützt werden. Dies gilt jedoch nicht, wenn sensible Daten (besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO) übermittelt werden sollen. Darunter fallen beispielsweise Gesundheitsdaten und Daten über die Religionszugehörigkeit, die regelmäßig Bestandteil der Personalakte sind. Diese Daten dürfen nur in den sehr engen Grenzen des Art. 9 DSGVO, § 26 Abs. 4 BDSG-neu übermittelt werden oder wenn der Betroffene ausdrücklich eingewilligt hat.

2. Konzerninterner Datenaustausch innerhalb der EU

Bei einem konzerninternen Datenaustausch innerhalb der EU sind bei einem positiven Ergebnis auf der ersten Stufe keine besonderen Bestimmungen zu berücksichtigen.

3. Datenübermittlung in ein Konzernunternehmen in einem Drittland

Sollte sich das Empfängerunternehmen in einem Land außerhalb der EU bzw. des EWR (also in einem so genannten Drittland) befinden, muss auf der zweiten Stufe der Prüfung sichergestellt sein, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht.

Wie ein angemessenes Datenschutzniveau sichergestellt werden kann, ist den Artikeln 44 ff. DSGVO zu entnehmen.

a) Feststellung der Angemessenheit des Datenschutzniveaus durch die Europäische Kommission (Artikel 45 DSGVO)

Zum einen darf eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden, wenn die Europäische Kommission mittels Angemessenheitsbeschlusses festgelegt hat, dass in diesem Land ein angemessenes Datenschutzniveau herrscht (Artikel 45 DSGVO). Zu berücksichtigen ist, dass die Bescheinigung des angemessenen Datenschutzniveaus sich auch auf ein bestimmtes Gebiet in dem Drittland beschränken kann oder nur für ausgewählte Kategorien von personenbezogenen Daten gelten kann. Angemessenheitsbeschlüsse der Europäischen Kommission, die Drittländern bereits ein angemessenes Datenschutzniveau bestätigten, gelten auch mit Anwendung der DSGVO fort, Artikel 46 Abs. 5 S. 2 DSGVO.

Den folgenden Drittländern hat die Europäische Kommission bisher ein angemessenes Datenschutzniveau bestätigt:

  • Andorra
  • Argentinien
  • Kanada (eingeschränkt)
  • Schweiz
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Uruguay

Aktuell befinden sich die EU und Japan in Verhandlungen über ein Freihandelsabkommen. In diesem Zusammenhang wird erwartet, dass die Europäische Kommission auch für Japan einen Angemessenheitsbeschluss erlassen wird. Eine aktuelle Liste der anerkannten Drittländer kann hier abgerufen werden.

Mit Beschluss vom 12. Juli 2016 hat die Europäische Kommission festgestellt, dass auch unter den Bestimmungen des EU-US Privacy Shield ein angemessenes Datenschutzniveau herrscht. Einen ersten Prüfbericht hat die Europäische Kommission am 18. Oktober 2017 vorgelegt, demzufolge sich das EU-US Privacy Shield bisher bewährt hat.

b) Vorliegen geeigneter Garantien (Artikel 46 DSGVO)

Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien für ein hinreichendes Datenschutzniveau gegeben sein. Diese können in einem rechtlich bindenden und durchsetzbaren Dokument zwischen Behörden oder öffentlichen Stellen, verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, (“BCR“)), EU-Standardvertragsklauseln (EU-Model Clauses) oder einzeln ausgehandelten Vertragsklauseln bestehen.

(1) BCR (Artikel 46 Abs. 2 lit. b) DSGVO, Artikel 47 DSGVO)

Bei BCR legt ein Konzern eigenständig Regeln für die Verarbeitung personenbezogener Daten auch in Drittländern fest, die für alle betreffenden Unternehmen des Konzerns verbindlich gelten müssen. Gleichzeitig müssen die BCR den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Datenverarbeitung übertragen. Durch die BCR muss ein Schutzniveau sichergestellt werden, das dem der DSGVO im Wesentlichen entspricht. BCR müssen von der zuständigen Aufsichtsbehörde genehmigt werden, Art. 47 Abs. 1 iVm Art. 63 DSGVO.

(2) Standardvertragsklauseln (Artikel 46 Abs. 2 lit. c) und d) DSGVO)

Auch durch die Verwendung der EU-Standardvertragsklauseln kann ein angemessenes Datenschutzniveau sichergestellt werden, wobei die Standardvertragsklauseln grundsätzlich wortwörtlich verwendet werden müssen. Es ist aber zu beachten, dass die Standardvertragsklauseln aktuell dem EuGH zur Prüfung vorliegen (wir berichteten mit Update Nr. 29) und ihr Fortbestand durch die Prüfung unter Umständen gefährdet ist.

(3) Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Artikel 46 Abs. 2 lit. e) und f) DSGVO)

Als neue Möglichkeit, ein angemessenes Datenschutzniveau sicherzustellen, führt die DSGVO die Datenübermittlung auf Grundlage branchenspezifischer Verhaltensregeln (Artikel 40 DSGVO) und einem genehmigten Zertifizierungsmechanismus (Artikel 42 DSGVO) ein. Diese Instrumente setzen allerdings voraus, dass sie zusammen mit rechtsverbindlichen Verpflichtungen des Verantwortlichen (ggf. Auftragsverarbeiters) versehen sind und von der zuständigen Aufsichtsbehörde genehmigt werden.

(4) Einzeln ausgehandelte Vertragsklauseln (Artikel 46 Abs. 3 DSGVO)

Es können außerdem auch individuell ausgehandelte Vereinbarungen eine Rechtsgrundlage für die Datenübermittlung in ein Drittland darstellen. Diese bedürfen allerdings der Genehmigung durch die zuständige Aufsichtsbehörde und der Durchführung eines Kohärenzverfahrens (Artikel 63 DSGVO).

Ausnahmefälle, in welchen eine Datenübermittlung noch zulässig sein kann, sind in Artikel 49 DSGVO normiert.

4. Handlungsempfehlung

Für den konzerninternen Transfer von Daten muss zukünftig stets ein sachlicher Grund vorliegen, der Grundlage für die Prüfung der Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO ist. Nur wenn dieser sachliche Grund gegeben ist, kann überhaupt eine Weitergabe der Daten in Erwägung gezogen werden. Bei Wahl der zur Verfügung stehenden Instrumente für den Transfer in Drittländer ist Vorsicht geboten, da aktuelle Entwicklungen in der Rechtsprechung den Transfer von Daten – teils auch kurzfristig, siehe Safe Harbor (Updates Nr. 1, 2) – erheblich erschweren können. Wegen der erheblichen Bußgelder ist es auch erforderlich, eine hohe Sorgfalt bei Ausgestaltung der konzerninternen Transfers an den Tag zu legen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.