Betreibt ein Konzern oder ein Unternehmensverbund Datenschutz, so sind einige Besonderheiten bei der Umsetzung und Organisationen des Datenschutzes im Vergleich zum Einzelunternehmen zu beachten.
Der Gesetzgeber hat bei der Fassung des Bundesdatenschutzgesetzes (BDSG) den Grundsatz aufgestellt, dass es im Datenschutzrecht kein sog. Konzernprivileg gebe. Das bedeutet, dass trotz konzernmäßiger Verbundenheit oder einem engen Zusammenarbeiten in einer Unternehmensgruppe jedes dem Konzern oder der Unternehmensgruppe angeschlossene Unternehmen eine eigene verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG darstellt. Übermittelt also zum Beispiel die Konzerntochter an die Konzernmutter personenbezogene Daten, so stellt dies eine datenschutzrechtlich relevante Datenübermittlung im Sinne von § 3 Abs. 4 Nr. 3 BDSG dar, womit die Rechtmäßigkeit einer solchen Maßnahme auch zu prüfen ist. Nicht möglich ist es, den Konzern oder die Unternehmensgruppe als eine einzelne verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes anzusehen. Denn dies würde bedeuten, dass ein Datenaustausch zwischen den Konzernunternehmern bzw. den gruppenangehörigen Unternehmen ein reiner Datenaustausch innerhalb einer verantwortlichen Stelle wäre. Dies hätte freilich zur Konsequenz, dass bei einem weltweit aufgestellten Konzern eine Datenübermittlung auch außerhalb der EU ohne weiteres möglich wäre (was nicht der Fall ist).
Für die Datenschutzpraxis bedeutet dies folgendes:
- Jedes der Unternehmensgruppe oder dem Konzern angehörige Unternehmen muss einen Datenschutzbeauftragten bestellen. Einen Konzerndatenschutzbeauftragten per se gibt es so nicht. Allerdings kann jedes Unternehmen denselben Datenschutzbeauftragten förmlich bestellen.
- Eine Datenübermittlung an konzernangehörige Unternehmen oder Unternehmen derselben Unternehmensgruppe ist datenschutzrechtlich genauso zu bewerten und zu prüfen wie eine Datenübermittlung an ein gänzlich fremdes Unternehmen. Bei einer etwaigen Interessenabwägung, etwa im Rahmen des § 28 Abs. 2 oder 3 BDSG darf zu Gunsten der berechtigten Interessen der verarbeitenden Stelle die Zugehörigkeit zu einem Konzern oder einer Unternehmensgruppe bzw. die damit einhergehende „Nähe“ zum Partnerunternehmen nicht berücksichtigt werden – denn dies würde ja quasi doch wieder zu einer vom Gesetzgeber nicht gewünschten Anerkennung des Konzernprivilegs führen.
- Nehmen die Unternehmen innerhalb des Konzerns oder der Unternehmensgruppe Aufgaben auch für andere dem Verbund angehörige Unternehmen wahr – wie z.B. den gemeinsamen Betrieb eines Rechenzentrums, einer gemeinsamen Personalabteilung, eines gemeinsamen Vertriebs usw -, so sollte zwischen den beteiligten Unternehmen eine Datenschutzvereinbarung geschlossen werden, welche die datenschutzrechtlichen Kompetenzen, Pflichten und auch Entscheidungsbefugnisse und die damit zusammenhängenden (Weisungs-)Rechte explizit regelt. In manchen Fällen kann hier eine Auftragsdatenverarbeitung gemäß § 11 BDSG vorliegen, in anderen Fällen eine sog. Funktionsübertragung. Bei einer zentralisierten Personalverwaltung zum Beispiel dürfen die Mitarbeiter der jeweiligen Unternehmen aufgrund dieser organisatorisch veranlassten Zentralisierung nicht schlechter gestellt werden als wenn das eigene Unternehmen die Personalverwaltung durchgeführt. Das Arbeiten mit in der Praxis häufig zu findenden Einwilligungen gemäß § 4a BDSG (zum Beispiel in Arbeitsverträgen) ist meines Erachtens nicht zielführend und abzulehnen, da bei einer Einwilligung auch immer die Möglichkeit einer Verweigerung oder Ablehnung der Einwilligung vorgesehen sein muss, was in diesem Falle zur Konsequenz hätte, dass das betreffende Unternehmen in diesem Falle die Personalverwaltung nur für diesen Mitarbeiter selbst ausführen müßte (und andere Mitarbeiter über die zentralisierte Personalverwaltung führen könnte). Bei einer solchen alternativlosen Einwilligung mangelt es an einer Freiwilligkeit im Sinne von § 4a BDSG.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe