Dies ist der Dritte Teil des Beitrages "Datenschutz im Konzern: Internationale Datentransfers".
Übersicht zur Artikelreihe "Datenschutz im Konzern":
Im vorliegenden Driten Teil werden die verschiedenen Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus kurz vorgestellt. Dabei geht es um die EU Standardvertragsklauseln, das Safe Harbor Programm und Binding Corporate Rules. Schwerpunkt bildet die anschließend Darstellung der Vor- und Nachteile der einzelnen Instrumente, die Unternehmen bei der Auswahl des für sie "richtigen" Ansatzes helfen soll.
Nachdem ein Überblick über Daten und Datenströme gewonnen wurde, muss eine Strategie entwickelt werden, wie konzernweit ein einheitliches Datenschutzniveau im Sinne der Zweiten Stufe sichergestellt werden kann.
Bitte beachten Sie, dass es in diesem Beitrag nur um diese Zweite Stufe geht. Relevant sind damit nur Transfers von der EU in Drittländer, die kein angemessenes Datenschutzniveau haben, z.B. die USA, Australien, Japan, China, Indien oder andere asiatische Länder. Insbesondere EU- interne Transfers sind nicht zu berücksichtigen, da EU-weit ein angemessenes Datenschutzniveau herrscht.
Daneben ist zu berücksichtigen, dass es Ausnahmen von der Anforderung gibt, wonach personenbezogene Daten nur in Länder mit angemessenem Datenschutzniveau übermittelt werden dürfen. Soweit eine solche Ausnahme vorliegt, müssen keine besonderen Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden.
Die Grundlage für die Ausnahmen bildet Artikel 26 der Datenschutzrichtlinie, welcher in Deutschland durch § 4c BDSG in nationales Recht umgesetzt wurde. Von den sechs Fallgruppen, die grundsätzlich eng ausgelegt werden, sind im Unternehmensbereich zwei besonders interessant:
Ein Fall der Nummer 1 liegt zum Beispiel vor, wenn ein bei der US-Muttergesellschaft angestellter Mitarbeiter zur deutschen Tochtergesellschaften entsandt wurde und aus steuerlichen Gründen oder zur Durchführung des Arbeitsvertrages Daten in die USA übermittelt werden müssen.
Bei einer Einwilligung (Nummer 2 oben) wird teilweise verlangt, dass der Einwilligende ausdrücklich in die Übermittlung gerade in ein unsicheres Drittland einwilligt, z.B.:
"[ ] Ja, ich willige darin ein, dass meine Daten [näher konkretisieren] von der X-AG [Name und Adresse der verantwortlichen Stelle] zu Zwecken des [Zweck beschrieben] an die Y-AG [Name und Adresse des Empfängers] in die USA übermittelt werden. Mir ist bekannt, dass in den USA ein niedrigeres Datenschutzniveau besteht als in Ländern der Europäischen Union."
Muss für einen Datentransfer in ein Drittland im Rahmen der Ersten Stufe (Erlaubnisnorm) eine Einwilligung eingeholt werden, so kann gegebenenfalls auch gleich die Zweite Stufe abgehandelt werden, indem mit einer entsprechenden Einwilligungserklärung ein Ausnahmetatbestand geschaffen wird. Dieses Beispiel verdeutlicht, dass Erste und Zweite Stufe nicht isoliert betrachtet werden dürfen.
Der Vollständigkeit halber sei noch darauf hingewiesen, dass die Einwilligung nicht die Königslösung ist, denn Einwilligungen können verweigert und jederzeit widerrufen werden. Zudem bestehen gerade im Arbeitsverhältnis erhebliche Bedenken in Bezug auf die Freiwilligkeit und damit Rechtmäßigkeit von Einwilligungen.
Zur Sicherstellung eines angemessenen Datenschutzniveaus stehen die bereits erwähnten drei Instrumentarien zur Verfügung:
Die Instrumente werden im folgenden kurz vorgestellt und sodann die Vor- und Nachteile aufgezeigt. Die konkrete Umsetzung wird im nächsten Teil des Beitrags erläutert.
Schließen das exportierende Konzernunternehmen in der EU und das importierende außerhalb der EU/EWR einen Vertrag mit den Standardvertragsklauseln der EU-Kommission, so ist damit automatisch ein angemessenes Datenschutzniveau beim Importeur sichergestellt. Bei den Standardvertragsklauseln sind zwei Gruppen zu unterscheiden: Die Klauseln für die Übermittlung von Daten an Auftragsdatenverarbeiter (controller-processor Verhältnisse) und an verantwortliche Stellen (controller-controller Verhältnisse).
Welche Standardklauseln zu verwenden sind, hängt von der Rolle des Datenimporteurs ab. Verarbeitet er die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs liegt eine Auftragsdatenverarbeitung (controller-processor Verhältnis) vor. Ist das empfangende Konzernunternehmen ebenfalls verantwortliche Stelle ist eines der Sets für controller-controller Verhältnisse zu verwenden. Welche Rolle der Datenempfänger einnimmt, wurde im Rahmen der Analyse der Datentransfers festgestellt.
Die Standardvertragsklauseln werden als gesonderte Vereinbarung unterzeichnet, allerdings können begleitend Verträge geschlossen werden, die die kommerziellen Bedingungen regeln, z.B. ein Servicevertrag mit konzerninternen Verrechnungspreisen.
Die Standardvertragsklauseln regeln Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten und müssen unverändert übernommen werden. Im Anhang zu den Klauseln befinden sich Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverwendung und ggf. Sicherheitsvorkehrungen beim Importeur einzutragen sind.
Ein ausreichendes Datenschutzniveau stellen auch so genannte Binding Corporate Rules (verbindliche Unternehmensrichtlinien) sicher. Dabei legt sich eine Gruppe von Unternehmen rechtsverbindlich Regeln in Bezug auf den Umgang mit personenbezogenen Daten auf (Privacy Policy). Dadurch kann bei allen Unternehmen der Gruppe ein angemessenes Datenschutzniveau sichergestellt werden. Mit Binding Corporate Rules lässt sich entsprechend für alle Datentransfers innerhalb einer Unternehmensgruppe ein angemessenes Datenschutzniveau sicherstellen (nicht aber Übermittlungen an gruppenfremde Unternehmen). Man spricht in Anlehnung an Safe Harbor auch von einem "Safe Haven".
Für Datenimporteure in den USA besteht die Möglichkeit, sich nach den Safe Harbor Grundsätzen selbst zu zertifizieren. Unternehmen, die sich diesen Grundsätzen unterwerfen, haben hierdurch ein ausreichendes Datenschutzniveau sichergestellt.
Die Safe Harbor Grundsätze sind recht allgemein gehaltene Grundsätze, die beim Umgang mit personenbezogenen Daten zu beachten sind: So sieht das "Notice Principle" vor, dass das Unternehmen Betroffene über erhobene Daten und Verarbeitungszwecke zu unterrichten hat. Das "Choice Principle" gibt Betroffenen in bestimmten Fällen das Recht, der Datenverarbeitung zu widersprechen und im "Onward Transfer Principle" ist festgelegt, unter welchen Voraussetzungen Daten an Dritte weitergereicht werden dürfen. Die Safe Harbor Grundsätze sind in einer Fragen und Antworten Liste (FAQ) sowie verschiedenen weiteren Dokumenten konkretisiert.
Die Einhaltung der Safe Harbor Grundsätze wird nicht von einer externen Stelle geprüft, sondern das Unternehmen nimmt eine Selbstzertifizierung vor und schickt eine entsprechende Erklärung an das US Handelsministerium. Diese muss jährlich erneuert werden. Das Unternehmen muss zusätzlich seine Verpflichtung zur Einhaltung der Safe Harbor Grundsätze öffentlich machen, zum Beispiel in einer Datenschutzerklärung, die online abrufbar ist.
Der Vorteil der Standardvertragsklauseln ist ihre vergleichsweise leichte Umsetzbarkeit. Dies gilt vor allem, wenn Daten sternförmig zu einer einzigen Gesellschaft in einem Drittland übermittelt werden. Die Standardvertragsklauseln dürfen nicht modifiziert werden, es sind "nur" bestimmte Angaben zu Datenexporteur und -importeur und den Datenverarbeitungen sowie den technischen und organisatorischen Schutzmaßnahmen in den Anhängen auszufüllen.
Einige Länder in der EU verlangen zusätzliche formale Anforderungen (z.B. die Niederlande) wie eine Meldung der Klauselverwendung gegenüber der nationalen Datenschutzbehörde; teilweise bedarf es sogar einer notariellen Beurkundung oder vorherigen behördlichen Zustimmung. Durch diese nationalen Besonderheiten entsteht ein nicht zu unterschätzender organisatorischer Aufwand.
Weiterer Nachteil der Standardvertragsklauseln ist, dass sie teilweise eine gesamtschuldnerische Haftung der Parteien für Schadenersatzansprüche von Betroffenen bei Vertragsverletzungen vorsehen: Das heißt, Betroffene, deren Daten unzulässig verarbeitet oder genutzt wurden, können wahlweise jede Vertragspartei in Anspruch nehmen, unabhängig davon, wer die Vertragsverletzung begangen und den Schaden verursacht hat. Außerdem unterwirft sich das Konzernunternehmen im Ausland dem Recht und der Datenschutzbehörde des Landes in dem das Daten-exportierende Unternehmen seinen Sitz hat, was gerade bei Unternehmen mit Konzernsitz außerhalb der EU für Unbehagen sorgen kann. Das ausländische Konzernunternehmen kann so Gegenstand von Untersuchungen einer EU Datenschutzbehörde werden und Betroffene in der EU (Kunden oder Mitarbeiter) können zivilrechtliche Ansprüche in der EU auch gegen das Konzernunternehmen in Drittstaaten geltend machen.
Schwierig kann die Anwendung von Standardvertragsklauseln werden, wenn eine größere Zahl von Konzernunternehmen in der EU und in Drittstaaten an den Datentransfers beteiligt sind, weil dann die Zahl der zu schließenden Verträge erheblich steigt. Dies gilt insbesondere wenn Daten nicht sternförmig zu einer oder wenigen Gesellschaften fließen, sondern von vielen an viele Gesellschaften übermittelt werden, da dann jeder Datensender in der EU mit jedem Datenempfänger in einem Drittstaat einen Vertrag schließen muss (zu möglichen Vereinfachungen, siehe dritter Teil). Die Handhabung der vertraglichen Lösung verkompliziert sich weiter, wenn sich Datenströme ändern, zum Beispiel weil neue IT-Systeme oder Software zum Einsatz kommt. Auch Änderungen in der Gesellschaftsstruktur des Konzerns, zum Beispiel in Form von Zu- oder Verkäufen von Konzernunternehmen, zieht bei Standardvertragsklauseln einen beträchtlichen Verwaltungsaufwand mit sich: das neue Unternehmen muss in das Netz aus Verträgen integriert werden bzw. Verträge mit dem ausscheidenden Unternehmen müssen gekündigt werden.
Hier zeigen sich bereits die Vorteile von Binding Corporate Rules: die verbindlichen Unternehmensregelungen sind flexibler als Standardvertragsklauseln. Zwar müssen BCR einer ganze Reihe inhaltlicher Anforderungen genügen, sie bieten aber noch Raum, um individuellen Bedürfnissen des Konzerns Rechnung zu tragen. Dies gilt zum Beispiel wenn ein Konzern seine Produkte oder Dienstleistungen über unabhängige Intermediäre (Handelsvertreter, Multi-Level-Marketing, Makler) vertreibt und deshalb bei der Struktur und Zuordnung von Kundendaten Besonderheiten aufweist.
Vorallem aber können BCR dazu beitragen, das Datenschutzniveau im Konzern weltweit zu vereinheitlichen und insgesamt zu verbessern, eine Datenschutz Organisation aufzubauen und die Datenschutz Compliance sicherzustellen. So müssen in BCR zum Beispiel ein Verfahren für Audits (Prüfungen) und den Umgang mit Beschwerden von Betroffenen festgelegt sein. Ein entscheidender Punkt ist also: BCR dienen nicht nur dazu, ein angemessenes Datenschutzniveau konzernweit sicherzustellen (Erste Stufe), sondern helfen auch, einen einheitlichen und hohen Standard beim Umgang mit personenbezogenen Daten zu gewährleisten und nationale Datenschutzvorschriften einzuhalten (Erste Stufe).
BCR sind ein proaktives Mittel und ganzheitlicher Ansatz für den Datenschutz und demonstrieren nach außen gegenüber der Öffentlichkeit und Datenschutzbehörden, dass es dem Konzern Ernst ist mit dem Schutz personenbezogener Daten. BCR helfen Bewusstsein für Datenschutz im Konzern zu schaffen (Awareness) und stellen einen Standard auf, der durch Audits geprüft werden kann.
Dabei darf aber nicht verkannt werden, dass mit den BCR nur ein Mindestlevel zum Datenschutz gesetzt wird. Sofern das nationale Datenschutzrecht eines EU-Landes strengere Anforderungen stellt, als sie in den BCR des Unternehmens niedergelegt sind, findet das strengere nationale Recht Anwendung. Eine Vereinheitlichung der materiellen Anforderungen an die Datenverarbeitung (Erste Stufe) wird nicht erzielt, oder anders ausgedrückt: die unterschiedlichen Anforderungen und Auslegungen der Datenschutzgesetze in den einzelnen EU Ländern lassen sich mit BCR nicht beseitigen. BCR stellen vielmehr ein Instrument dar, die nationalen Datenschutzgesetze konzernweit zu beachten (Datenschutz Compliance).
Daneben haben BCR auch einige Nachteile: Der Entwurf der verbindlichen Datenschutzregelungen muss konzernintern abgestimmt werden und recht umfangreichen und detaillierten Vorgaben der EU-Kommission genügen. Dazu gehört, dass ein Konzernunternehmen der EU für Datenschutzverstöße von Konzernunternehmen außerhalb der EU einstehen muss. Dies kann eine Verantwortlichkeit für Konzernteile in Drittländern zur Folge haben, die möglicherweise stärker ist, als die Haftung für eigene Datenschutzverstöße nach nationalem Recht.
Des Weiteren müssen die Unternehmensrichtlinien rechtlich verbindlich umgesetzt werden, wofür häufig wiederum Verträge nötig sind, die zwischen der Konzernmutter und allen Konzernunternehmen geschlossen werden, da nicht alle Rechtsordnungen einseitige Verpflichtungserklärungen kennen. Auch BCR müssen - wie die EU-Standardvertragsklauseln - Betroffenen unmittelbar Rechte einräumen (drittbegünstigend).
Außerdem ist grundsätzlich die Zustimmung der Datenschutzbehörden aller EU-Länder nötig, in denen Konzernunternehmen ihren Sitz haben. Zwar sind es hier Erleichterungen eingetreten: Zum einen wird die Abstimmung der Datenschutzbehörden bei der Behörde eines Landes (Lead Data Protection Authority) gebündelt. Zum anderen gibt es unter einigen Ländern (eine gegenseitige Anerkennung (mutual recognition system), bei der Datenschutzbehörden einzelner Länder die Zustimmung der Lead DPA zu den BCR akzeptieren. Gegenwärtig sind hieran 17 Mitgliedstaaten beteiligt, darunter, Frankreich, Deutschland, Italien, Spanien, UK und die Niederlande. Allerdings sind BCR immer noch ein vergleichsweise kompliziertes Instrument, dessen Umsetzung durchaus ein bis zwei Jahre in Anspruch nehmen und erhebliche Kosten verursachen kann. BCR sind deshalb häufig ein mittelfristiges Ziel in größeren Konzernen, während zur kurzfristigen Sicherstellung eines angemessenen Datenschutzniveaus die EU-Standardvertragsklauseln herangezogen werden. Ich weiß zudem von mehr als einem Konzern, der BCR erfolgreich eingeführt hat, aber flankierend immer noch Standardvertragsklauseln einsetzt, weil Datenschutzbehörden einzelner EU-Länder noch keine Zustimmung erteilt haben oder einzelne Konzerngesellschaften sich weigern, an den BCR teilzunehmen.
Ausführlich zu Binding Corporate Rules mein Praxisleitfaden: "Binding Corporate Rules als Mittel zur Datenschutz Compliance - Leitfaden für die Praxis"
Bei Safe Harbor müssen weder spezifische Verträge geschlossen werden, noch ist die Zustimmung von Aufsichtsbehörden einzuholen. Da es sich bei Safe Harbor um eine Selbstzertifizierung handelt und die zu beachtenden Grundsätze recht allgemein gehalten sind, ist die Einführung vergleichsweise schnell und einfach möglich.
Dafür steht das Instrument nur bei Datentransfers in die USA zur Verfügung. Es eignet sich daher in erster Linie für Datentransfers von europäischen Tochtergesellschaften zur US-amerikanischen Mutter. Unternehmen, die in den USA nicht der Aufsicht der Federal Trade Commission (FTC) oder des Department of Transportation unterliegen, sind vom Safe Harbor Programm ausgeschlossen. Für Banken, Versicherungen und Telekommunikationsanbieter scheidet Safe Harbor damit meist aus.
Werden Daten neben den USA auch in sonstige Drittländer exportiert, müssen andere Instrumente gewählt werden, es ist dann kein konzernweit einheitlicher Ansatz zur Sicherstellung des Datenschutzniveaus auf Zweiter Stufe mehr möglich.
Ein an Safe Harbor teilnehmendes US-Unternehmen unterliegt der Aufsicht der Federal Trade Commission (FTC), was von Konzernen mit EU-Wurzeln oft als Nachteil empfunden wird. Zudem entsteht ein fortlaufender Verwaltungsaufwand, weil das US-Unternehmen jährlich eine neue Selbst-Zertifizierung bei der FTC einreichen oder die bestehende Zertifizierung bestätigen muss.
Hinzu kommt, dass deutsche Aufsichtsbehörden Safe Harbor kritisch beäugen (Einzelheiten dazu im dritten Teil). Hintergrund ist eine Studie der US-Beratungsfirma galexia, die Defizite bei der tatsächlichen Umsetzung der Safe Harbor Grundsätze festgestellt haben will. Die Datenschutzaufsichtsbehörden der Bundesländer verlangen daher von Unternehmen, die Daten an Safe Harbor Unternehmen übermitteln, dass sie sich nicht auf deren Zusicherung verlassen, an dem Safe Harbor Programm teilzunehmen, sondern sich die Einhaltung der Safe Harbor Prinzipien nachweisen lassen. Im Rahmen von konzerninternen Datentransfers dürfte dem aber vergleichsweise leicht nachzukommen sein.
Im Vergleich zu den Standardvertragsklausen für Auftragsdatenverarbeiter hat Safe Harbor den Vorteil, dass die Einschaltung von Subunternehmen leichter möglich ist und das Vertragsverhältnis zwischen dem Safe Harbor Unternehmen und dem Unterauftragsdatenverarbeiter freier gestaltet werden kann: während nach Klausel 11 der neuen EU Standardvertragsklauseln für controller-processor Transfers umfassende Vorgaben bei der Unterauftragsvergabe zu beachten sind, ist das "onward transfer" Principle der Safe Harbor Grundsätze meist einfacher umzusetzen.
Jedes der Instrumente hat seine spezifischen Vor- und Nachteile, die Wahl des "richtigen" Instruments hängt von den betroffenen Daten, den Datenflüssen, der Konzernstruktur und letztlich dem Stellenwert ab, den der Datenschutz im Unternehmen hat. Im Einzelfall kann es auch sinnvoll sein, für verschiedene Daten, Datenströme oder Unternehmensteile unterschiedliche Instrumente zu nutzen.
Die folgende Tabelle fasst die genannten Vor- und Nachteile zusammen:
Standardvertragsklauseln |
Binding Corporate Rules |
Safe Harbor |
Beschreibung |
||
Verträge mit vorgegebenen Klauseln der EU-Kommission |
Verbindliche unternehmensinterne Richtlinien zum Umgang mit personenbezogenen Daten. |
Beachtung bestimmter Safe Harbor Prinzipien durch US Unternehmen mit Selbst-Zertifizierung. |
Umsetzungsaufwand |
|
|
(+) Schnell und leicht umsetzbar, da Standardklauseln, bei denen Anhänge ausgefüllt werden. (-) Erheblicher Verwaltungsaufwand durch unterschiedliche Melde- und Genehmigungspflichten in den EU-Mitgliedsstaaten (-) Zunehmend Unübersichtlich bei Vielzahl von Konzerngesellschaften, Netzartigen Datentransfers (Übermittlung von vielen Unternehmen an viele Unternehmen) und sich ändernden Datentransfers und Änderungen in der Konzernstruktur |
(-) Hoher Umsetzungsaufwand wegen umfassender inhaltlicher Vorgaben (-) Aufwändiges und langwieriges Verfahren zur Einholung der Zustimmung aller Aufsichtsbehörden, jedoch zuletzt Erleichterung durch gegenseitige Anerkennung. |
(+) Schnell und leicht einführbar, da Selbstzertifizierung und vergleichsweise allgemeine Grundsätze |
Individualisierbarkeit |
||
(-) Keine/kaum Anpassung an die konzernspezifischen Gegebenheiten möglich |
(+) Individuelle Anpassung an die Besonderheiten des Konzerns möglich (+) Fördert Bewusstsein für Datenschutz im Unternehmen |
(-) Keine Anpassung an die konzernspezifischen Gegebenheiten möglich (+) Einschaltung von Subunternehmern vergleichsweise leicht möglich
|
Haftung |
||
(-) gesamtschuldnerische Haftung des exportierenden und importierenden Konzernunternehmens (-) Konzernunternehmen in Drittstaaten unterwerfen sich EU-Recht/-Aufsicht |
(-) Einstehen eines EU-Konzernunternehmens für Datenschutzverstöße von Konzernunternehmen außerhalb der EU |
|
Besonderheiten |
||
|
(+) Gut geeignet, um Datenschutzniveau konzernweit zu vereinheitlichen und anzuheben und Datenschutz-Organisation und -Compliance herzustellen. (+) Demonstriert nach außen hin einen hohen Stellenwert des Datenschutzes im Konzern |
(-) Aufsicht der FTC (-) Nur für Transfers in die USA möglich, soweit Empfänger Aufsicht der FTC unterliegt (-) Skepsis bei deutschen Aufsichtsbehörden
|
Typische Anwendung |
||
Kurzfristige Umsetzung von einfachen (z.B. sternförmigen) und statischen (sich nicht ändernde) Datenflüssen. |
Mittel- und langfristige Umsetzung einer umfassenden Strategie zur Sicherstellung des Datenschutzniveaus, Implementierung einer Datenschutzorganisation und Sicherstellung der Datenschutz Compliance in großen Konzernen. |
US-Unternehmen, die Tochtergesellschaften in der EU/EWR Daten erhalten (sternförmiger Datenfluss) |
Letzten Teil der Beitragsserie lesen: Internationale Datentransfers - EU-Standardvertragsklauseln
Ratgeber, Muster und Checklisten
Datenschutz professionell und effizient umsetzen