• Home

  • Documents

  • Grenzüberschreitende Datenübermittlung im Konzern
7
gesetz – „AktG“). Auch rechtlich selbstständige Unternehmen bilden danach einen Konzern, sofern sie unter einheitlicher Leitung zu- sammengefasst sind; die einzelnen Unternehmen sind dann sog. „Konzernunternehmen“(vgl. § 18 Abs. 2 AktG). Ein Konzern im Sinne des Gesellschaſtsrechts ist insofern von Beteiligungs- und Beherrschungsverhältnissen geprägt, bei Beibehaltung der recht- lichen Selbstständigkeit der einzelnen Konzernunternehmen. Diese rechtliche Selbstständigkeit von Konzernunternehmen findet sich auch im Datenschutzrecht. Gemäß § 3 Abs. 7 BDSG ist „verantwortliche Stelle“ für die Datenverarbeitung – auch die Datenübermittlung ist eine Form der Datenverarbeitung (§ 3 Abs. 4 Nr. 3 BDSG) – jede Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auſtrag vornehmen lässt. Damit ist das einzelne Konzernunter- nehmen immer für die datenschutzrechtliche Betrachtung maß- gebend, solange es Daten für sich selbst verarbeitet oder verar- beiten lässt. 2 Ein „Konzernprivileg“, das den Datentransfer zwischen Kon- zernunternehmen ohne weiteres ermöglicht, existiert gemäß BDSG nicht. 3 Der Datentransfer zwischen Konzernunterneh- men wird vielmehr so behandelt wie zwischen Dritten. Dies hat zur Folge, dass ein Austausch personenbezogener Daten zwischen Konzernunternehmen nur unter den engen Voraussetzungen des 2 Schulz: Die (Un-)Zulässigkeit von Datenübertragung innerhalb verbunde- ner Unternehmen, BB 2011, S. 2552, 2553. 3 Vgl. Gola/Schomerus, Bundesdatenschutzgesetz, 11. Auflage, München 2012, § 27 Rn.4. Christopher Götz, LL.M. (New York) Zugelassener Rechtsanwalt in Deutschland und New York, USA. Tätigkeit im Bereich Intellectual Property und Technology bei DLA Piper UK LLP in Köln. Berater national und international operierender Unternehmen in allen Aspekten des IT- und Datenschutzrechts sowie des gewerblichen Rechtsschutzes. E-Mail: [email protected] Christopher Götz Grenzüberschreitende Datenübermittlung im Konzern Zulässigkeit nach BDSG und Entwurf der EU-DS-GVO Internationale Unternehmen sehen regelmäßig einen Bedarf, personenbezogene Daten zwischen den mit ihnen verbundenen Konzernunternehmen auszutauschen. Der Datenaustausch wird für die Geschäftstätigkeit der Konzernunternehmen häufig nicht zwingend notwendig sein, in der Regel aber sehr nützlichen Zwecken dienen, wie z.B. dem Aufbau einer zentralisierten Personalverwaltung. Ein „Konzernprivileg“, das die Übermittlung personenbezogener Daten zwischen Konzernunternehmen ohne weiteres ermöglichen würde, gibt es jedoch nach deutschem Recht nicht. Der Datentransfer von personenbezogenen Daten in das Ausland ist gemäß Bundesdatenschutzgesetz („BDSG“) vielmehr nur unter bestimmten Voraussetzungen möglich. Dieser Beitrag befasst sich mit der Frage, unter welchen Voraussetzungen der grenzüberschreitende Transfer personenbezogener Daten zwischen Konzernunternehmen zulässig ist und beleuchtet ferner, ob nach dem aktuellem Entwurf der europäischen Datenschutzgrundverordnung („DS-GVO-E“) ein erleichterter Datenaustausch geplant ist. 1 1 1 Der Konzern und das fehlende „Konzernprivileg“ Gesellschaſtsrechtlich spricht man von einem Konzern, wenn Unternehmen unter einheitlicher Leitung zu einer wirtschaſtli- chen Einheit zusammengefasst werden (vgl. § 18 Abs. 1 Aktien- 1 Der Aufsatz wird zudem als Beitrag im Tagungsband der 14. Herbstakade- mie der Deutschen Stiftung für Recht und Informatik (DSRI) mit dem Titel: „Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter“ erscheinen: Götz, Zu- lässigkeit der grenzüberschreitenden Datenübermittlung zwischen Konzernun- ternehmen gemäß Bundesdatenschutzgesetz und dem Entwurf der EU – Daten- schutzgrundverordnung, in: Jürgen Taeger (Hrsg.) Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Tagungsband DSRI-Herbstakademie 2013, Ede- wecht 2013, S. 20-36. DuD Datenschutz und Datensicherheit 10 | 2013 631 SCHWERPUNKT

Grenzüberschreitende Datenübermittlung im Konzern

Embed Size (px)

Citation preview

Page 1: Grenzüberschreitende Datenübermittlung im Konzern

gesetz – „AktG“). Auch rechtlich selbstständige Unternehmen bilden danach einen Konzern, sofern sie unter einheitlicher Leitung zu-sammengefasst sind; die einzelnen Unternehmen sind dann sog. „Konzernunternehmen“(vgl. § 18 Abs. 2 AktG). Ein Konzern im Sinne des Gesellschaftsrechts ist insofern von Beteiligungs- und Beherrschungsverhältnissen geprägt, bei Beibehaltung der recht-lichen Selbstständigkeit der einzelnen Konzernunternehmen.

Diese rechtliche Selbstständigkeit von Konzernunternehmen findet sich auch im Datenschutzrecht. Gemäß § 3 Abs. 7 BDSG ist „verantwortliche Stelle“ für die Datenverarbeitung – auch die Datenübermittlung ist eine Form der Datenverarbeitung (§ 3 Abs. 4 Nr. 3 BDSG) – jede Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Damit ist das einzelne Konzernunter-nehmen immer für die datenschutzrechtliche Betrachtung maß-gebend, solange es Daten für sich selbst verarbeitet oder verar-beiten lässt.2

Ein „Konzernprivileg“, das den Datentransfer zwischen Kon-zernunternehmen ohne weiteres ermöglicht, existiert gemäß BDSG nicht.3 Der Datentransfer zwischen Konzernunterneh-men wird vielmehr so behandelt wie zwischen Dritten. Dies hat zur Folge, dass ein Austausch personenbezogener Daten zwischen Konzernunternehmen nur unter den engen Voraussetzungen des

2 Schulz: Die (Un-)Zulässigkeit von Datenübertragung innerhalb verbunde-ner Unternehmen, BB 2011, S. 2552, 2553.

3 Vgl. Gola/Schomerus, Bundesdatenschutzgesetz, 11. Auflage, München 2012, § 27 Rn.4.

Christopher Götz, LL.M. (New York)

Zugelassener Rechtsanwalt in Deutschland und New York, USA. Tätigkeit im Bereich Intellectual Property und Technology bei DLA Piper UK LLP in Köln. Berater national und international

operierender Unternehmen in allen Aspekten des IT- und Datenschutzrechts sowie des gewerblichen Rechtsschutzes.E-Mail: [email protected]

Christopher Götz

Grenzüberschreitende Datenübermittlung im Konzern

Zulässigkeit nach BDSG und Entwurf der EU-DS-GVO

Internationale Unternehmen sehen regelmäßig einen Bedarf, personenbezogene Daten zwischen den mit ihnen verbundenen Konzernunternehmen auszutauschen. Der Datenaustausch wird für die Geschäftstätigkeit der Konzernunternehmen häufig nicht zwingend notwendig sein, in der Regel aber sehr nützlichen Zwecken dienen, wie z.B. dem Aufbau einer zentralisierten Personalverwaltung. Ein „Konzernprivileg“, das die Übermittlung personenbezogener Daten zwischen Konzernunternehmen ohne weiteres ermöglichen würde, gibt es jedoch nach deutschem Recht nicht. Der Datentransfer von personenbezogenen Daten in das Ausland ist gemäß Bundesdatenschutzgesetz („BDSG“) vielmehr nur unter bestimmten Voraussetzungen möglich. Dieser Beitrag befasst sich mit der Frage, unter welchen Voraussetzungen der grenzüberschreitende Transfer personenbezogener Daten zwischen Konzernunternehmen zulässig ist und beleuchtet ferner, ob nach dem aktuellem Entwurf der europäischen Datenschutzgrundverordnung („DS-GVO-E“) ein erleichterter Datenaustausch geplant ist.1

11 Der Konzern und das fehlende „Konzernprivileg“

Gesellschaftsrechtlich spricht man von einem Konzern, wenn Unternehmen unter einheitlicher Leitung zu einer wirtschaftli-chen Einheit zusammengefasst werden (vgl. § 18 Abs. 1 Aktien-

1 Der Aufsatz wird zudem als Beitrag im Tagungsband der 14. Herbstakade-mie der Deutschen Stiftung für Recht und Informatik (DSRI) mit dem Titel: „Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter“ erscheinen: Götz, Zu-lässigkeit der grenzüberschreitenden Datenübermittlung zwischen Konzernun-ternehmen gemäß Bundesdatenschutzgesetz und dem Entwurf der EU – Daten-schutzgrundverordnung, in: Jürgen Taeger (Hrsg.) Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Tagungsband DSRI-Herbstakademie 2013, Ede-wecht 2013, S. 20-36.

DuD • Datenschutz und Datensicherheit 10 | 2013 631

SCHWERPUNKT

Page 2: Grenzüberschreitende Datenübermittlung im Konzern

BDSG zulässig ist.4 Der Grund, warum sich der Gesetzgeber ge-gen die Einführung eines Konzernprivilegs ausgesprochen hat, ist wohl die befürchtete Intransparenz der Datenverarbeitung sowie die Bevorteilung internationaler Unternehmen gegenüber Mittel-ständlern, dies legt zumindest der Bericht des Innenausschusses zum Entwurf des BDSG vom 2. Juni 1976 nahe. Die Ablehnung eines Konzernprivilegs wird dort wie folgt begründet:

„Der betroffene Bürger könnte zwar noch die rechtliche Selbständigkeit eines Unternehmens, nicht aber dessen wirtschaftliche Verflechtung erkennen. Eine solche Aus-nahmeregelung hätte auch zu einer erheblichen Bevorzu-gung multinationaler Gesellschaften und andererseits zu einer Benachteiligung der kleineren und mittelständischen Unternehmen geführt.5“

2 Datenübermittlung an Konzernunternehmen in der EU/EWR

Eine Datenübermittlung durch ein Konzernunternehmen mit Sitz in Deutschland an ein Konzernunternehmen mit Sitz in ei-nem Mitgliedsstaat der Europäischen Union oder in einem Ver-tragsstaat des Abkommens über den europäischen Wirtschafts-raum (dazu zählen Island, Liechtenstein und Norwegen, nicht aber die Schweiz), wird gemäß BDSG grundsätzlich wie eine Da-tenübermittlung im Inland behandelt.

Das folgt aus § 4b Abs. 1 Nr. 1 und Nr. 2 BDSG. Zwar verweist § 4b Abs. 1 BDSG für die Zulässigkeit der Datenübermittlung und Datenverarbeitung nicht-öffentlicher Stellen allein auf die An-wendung der §§ 28 bis 30a BDSG, und nicht auch auf § 32 BDSG, der für den Beschäftigtendatenschutz einschlägigen Norm. Es ist jedoch davon auszugehen, dass diese fehlende Bezugnahme auf ein Redaktionsversehen zurückzuführen ist; dem Gesetzge-ber kann nicht unterstellt werden, den Beschäftigtendatenschutz bei der Übermittlung von Beschäftigtendaten ins Ausland ver-schlechtern zu wollen.6

Eine Datenübermittlung an ein Konzernunternehmen mit Sitz in der EU/EWR ist insofern dann zulässig, wenn das BDSG dies explizit erlaubt oder der Betroffene (d.h. derjenige, dessen per-sonenbezogene Daten verarbeitet werden, vgl. § 3 Abs. 1 BDSG) eingewilligt hat.

2.1 Auftragsdatenverarbeitung

Zunächst gibt das Institut der „Auftragsdatenverarbeitung“ (vgl. § 11 BDSG) Konzernunternehmen grundsätzlich die Möglich-keit, personenbezogene Daten ohne besondere datenschutzrechtliche Rechtfertigung an verbundene Konzernunternehmen mit Sitz in der EU / EWR zu übermitteln und von diesen weiterverarbeiten zu lassen. Im Rahmen einer solchen Auftragsdatenverarbeitung gilt der Auftragnehmer datenschutzrechtlich nämlich nicht als „Drit-ter“ im Sinne von § 3 Abs. 8 Satz 2 BDSG (vgl. § 3 Abs. 8 Satz 3 BDSG), sondern vielmehr nur als „verlängerter Arm“ des Auf-

4 Simitis, in: Simitis, Bundesdatenschutzgesetz, 7. Auflage, Baden-Baden 2011, § 2 Rn. 142 m.w.N.

5 BT-Drucksache 7/5277, S. 5; siehe auch Spindler: Konzerninterne Informati-onsflüsse und Datenschutz – de lege lata und de lege ferenda, in: Krieger/ Lut-ter/ Schmidt (Hrsg.), Festschrift für Michael Hoffmann-Becking, München 2013, S.1185, 1186.

6 Seifert, in: Simitis, BDSG, a.a.O., § 32 Rn. 120; Thüsing: Arbeitnehmerdaten-schutz und Compliance, München 2010, Rn. 434.

traggebers. Das setzt jedoch voraus, dass der Auftragnehmer die Datenverarbeitung vollständig weisungsgebunden und ohne ei-genes Ermessen vornimmt.

Eine Auftragsdatenverarbeitung scheidet daher immer aus, wenn der Auftragnehmer Aufgaben zur eigenständigen Erle-digung übertragen bekommt und sich die Erhebung, Verarbei-tung oder Nutzung der übermittelten Daten lediglich „im Rah-men“ dieser Aufgabenerledigung vollzieht (sog. Funktionsüber-tragung). So wäre beispielsweise eine vollständige Übertragung der Personalverwaltung im Konzern auf ein einziges Konzern-unternehmen datenschutzrechtlich nicht als Auftragsdatenver-arbeitung zu qualifizieren, wenn das beauftragte Konzernunter-nehmen selbst umfassend über die Art und Weise der Datenver-arbeitung entscheiden kann.7 Das gilt auch für verselbständigte IT-Tochtergesellschaften.8

Eine zulässige Auftragsdatenverarbeitung setzt zudem den Ab-schluss eines Auftragsdatenverarbeitungsvertrags voraus, in dem insbesondere Umfang, Dauer, Art und der Zweck der vorgese-henen Verarbeitung oder Nutzung der Daten sowie die Art der Daten, der Kreis der Betroffenen sowie die von dem Auftragsda-tenverarbeiter zu treffenden technischen und organisatorischen Maßnahmen detailliert zu regeln sind (vgl. § 11 Abs. 2 BDSG so-wie § 9 BDSG). Der Auftraggeber muss sich Kontrollrechte ein-räumen lassen, die es ihm erlauben, zu überprüfen, ob der Pflich-tenkatalog des § 11 Abs. 2 BDSG eingehalten wird.

Sind die Voraussetzungen einer Auftragsdatenverarbeitung er-füllt, bedarf es keiner weiteren datenschutzrechtlichen Rechtfer-tigung in Bezug auf die Übermittlung der Daten und die Verarbei-tung der Daten durch das beauftragte Konzernunternehmen im Rahmen des Auftragsdatenverarbeitungsvertrags. Allein das be-auftragende Konzernunternehmen bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Da-tenschutz verantwortlich. Etwaige Schadensersatzansprüche des Betroffenen im Falle einer durch den Auftragnehmer verursach-ten Datenschutzverletzung sind gegenüber dem Auftraggeber gel-tend zu machen (§ 11 Abs. 1 Satz 2 BDSG iVm § 7 BDSG).

In der Praxis ist die oben angesprochene Kontroll- und Wei-sungsmöglichkeit des beauftragenden Konzernunternehmens häufig unerwünscht. So wird z.B. die Konzernmutter regelmä-ßig kein Interesse daran haben, von einem Tochterunternehmen kontrolliert zu werden; zudem wird sie die übermittelten Daten auch für eigene Zwecke verwenden wollen. Am ehesten ist eine Auftragsdatenverarbeitung daher denkbar, wenn eine Mutterge-sellschaft das Tochterunternehmen mit der Datenverarbeitung beauftragt. Sofern eine privilegierte Auftragsdatenverarbeitung nicht vorliegt, ist der Datentransfer zwischen den Konzernunter-nehmen als „Datenübermittlung an einen Dritten“ zu qualifizie-ren. Eine Datenübermittlung ist in diesem Fall nur zulässig, wenn ein im BDSG genannter Erlaubnistatbestand (§§ 28 ff. BDSG) er-füllt ist.

2.2 Datenübermittlung für eigene Geschäftszwecke

§ 28 BDSG erlaubt eine Datenübermittlung an Dritte insbesonde-re dann, wenn dies für die Begründung, Durchführung oder Be-endigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) oder

7 Petri, in: Simitis, BDSG, a.a.O., § 11 Rn. 37.8 Gola/Schomerus, BDSG, a.a.O., § 11 Rn. 13.

632 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT

Page 3: Grenzüberschreitende Datenübermittlung im Konzern

sofern es zur Wahrung „berechtigter Interessen“ des datenüber-mittelnden Konzernunternehmens (vgl. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) bzw. eines Dritten (vgl. § 28 Abs. 2 Nr. 2a BDSG) „erfor-derlich“ ist und das Interesse der Betroffenen an der Nicht-Wei-tergabe der Daten nicht überwiegt.

Ein „allgemeines Konzerninteresse“ an einem Datentransfer genügt nicht zur Begründung eines „berechtigten Interesses“. Der Wille des Gesetzgebers, der sich offensichtlich gegen ein Kon-zernprivileg ausgesprochen hat (siehe Ziffer 1 oben), würde sonst unterlaufen werden. Im Einzelfall kann die Datenübermittlung je-doch gerechtfertigt sein, z.B. wenn das empfangende Konzern-unternehmen ein berechtigtes Interesse an den konkreten Daten nachweisen kann9. Als solch berechtigtes Interesse wird die Über-mittlung von Daten zur übergreifenden Steuerung eines Produk-tionsprozesses bei Einsatz von SAP, die Schaffung von konzern-übergreifenden Kommunikationsverzeichnissen (Telefonnum-mern, E-Mail-Adressen etc.) sowie Angaben, die sich auf Liefe-ranten beziehen, um damit Engpässe bzw. Lieferkapazitäten bes-ser einschätzen zu können,10 angesehen. In den vorgenannten Fäl-len handelt es sich nicht um eine generelle Weitergabe von Da-ten im Konzern, sondern um eine Weitergabe, die auf bestimmte Zwecke beschränkt ist; auch der Umfang der übermittelten Da-ten ist hinreichend eingeschränkt. Entscheidend für die Zulässig-keit der Datenübermittlung ist letztlich immer eine Abwägung der sich gegenüberstehenden Interessen des Unternehmens und des Betroffenen.11

2.3 Datenübermittlung für Zwecke des Beschäftigungsverhältnisses

Sollen personenbezogene Daten von Beschäftigten (vgl. § 3 Abs. 11 BDSG) übermittelt werden, ist grundsätzlich § 32 BDSG ein-schlägig. Gemäß § 32 Abs. 1 Satz 1 BDSG dürfen solche Daten „zu Zwecken des Beschäftigungsverhältnisses erhoben, verarbei-

9 Simitis, in: Simitis: BDSG, a.a.O., § 28 Rn. 177 m.w.N.10 Spindler: Konzerninterne Informationsflüsse und Datenschutz – de lege lata

und de lege ferenda, a.a.O., S. 1194; Simitis, in: Simitis, BDSG, a.a.O., § 28 Rn. 178.11 Simitis, in: Simitis, BDSG, a.a.O., § 28 Rn. 182 f.

tet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Be-gründung des Beschäftigungsverhältnisses zu dessen Durchfüh-rung oder Beendigung erforderlich ist“.

Zur Durchführung der verschiedenen Phasen eines Arbeits-verhältnisses werden Daten als „erforderlich“ angesehen, die der Arbeitgeber zur Erfüllung seiner Pflichten, aber auch zur Wahr-nehmung seiner Rechte gegenüber dem Arbeitnehmer vernünf-tigerweise benötigt.

Ist die Datenübermittlung für das Konzernunternehmen da-gegen bloß nützlich, aber nicht für den vorgenannten Zweck un-bedingt erforderlich, ist die Übermittlung von Beschäftigtenda-ten hiernach nicht erlaubt.12 So wäre beispielsweise die Übermitt-lung von Beschäftigtendaten zur Erstellung einer konzernübergrei-fenden „Human Resources“ – Datenbank, in der Daten über Positi-on, Gehalt und Alter der Beschäftigten aufgeführt werden sollen, zwar für die Konzernmutter äußerst nützlich (umfassender Über-blick über ihre Tochterunternehmen, Ermöglichung einer zentra-len Personalverwaltung). Eine solche Datenübermittlung wäre je-doch nicht „erforderlich“ zur Durchführung der Arbeitsverhält-nisse mit den Beschäftigten. Die Übermittlung der Beschäftig-tendaten zu diesem Zweck wäre deshalb nicht gemäß § 32 BDSG erlaubt. Etwas anderes gilt dann, wenn das Arbeitsverhältnis an sich bereits einen Konzernbezug aufweist, z.B. wenn sich ein Mit-arbeiter bei seiner Einstellung zum konzernweiten Einsatz bereit erklärt hat.13 Auch die Datenübermittlung zu Zwecken der Er-stellung konzernweiter Telefon- und Adressverzeichnisse wird als durch § 32 BDSG gerechtfertigt erachtet14.

Ob neben § 32 BDSG auch § 28 BDSG anwendbar ist, ist höchst umstritten. Zum Teil wird die Auffassung vertreten, § 32 BDSG sei „lex specialis“ zu § 28 BDSG.15 Andere vertreten die Meinung, dass § 28 Abs. 1 BDSG von § 32 BDSG nicht vollständig verdrängt

12 Vgl. bereits BAG NJW 1987, 2459, 2460 f; Gola/Schomerus, BDSG, a.a.O., § 32 Rn.12.

13 Gola/Schomerus, BDSG, a.a.O., § 32 Rn. 20.14 Schildt/Tinnefeld, Datenverarbeitung im internationalen Konzern – eine

Betrachtung im Lichte des Einsatzes von SAP, DuD 2011, S. 629, 633.15 Simitis, in: Simitis, BDSG, § 28 Rn. 12.

DuD • Datenschutz und Datensicherheit 10 | 2013 633

SCHWERPUNKT

Page 4: Grenzüberschreitende Datenübermittlung im Konzern

werde, sondern nur, wenn personenbezogene Daten „für Zwecke des Beschäftigungsverhältnisses“ erhoben, verarbeitet oder ge-nutzt werden.16 Unterstellt man die Anwendung von § 28 BDSG neben § 32 BDSG, sind die Interessen des Arbeitgebers an der Verarbeitung der Beschäftigtendaten einerseits und die Interes-sen der Beschäftigten an dem Schutz ihrer Daten andererseits ge-geneinander abzuwägen. Auch in diesem Fall wird angenommen, dass die Interessen des Konzerns z.B. an einer zentralisierten Per-sonalverwaltung die Interessen des Arbeitnehmers am Schutz sei-ner Daten nicht ohne weiteres überwiegen.17

2.4 Betriebsvereinbarung

Nach allgemeiner Ansicht sind Betriebsvereinbarungen im Sinne von § 77 Betriebsverfassungsgesetz „andere Rechtsvorschriften“ im Sinne des § 4 Absatz 1 Satz 1 Variante 3 BDSG und damit da-tenschutzrechtliche Erlaubnistatbestände.18 Betriebsvereinbarun-gen können damit grundsätzlich den Umgang mit personenbe-zogenen Daten von Beschäftigten rechtfertigen.19 Allerdings gilt dies nur für inländische Sachverhalte: Die im Betriebsverfassungs-recht herrschende Meinung folgt dem Territorialprinzip, wonach eine Betriebsvereinbarung grundsätzlich keine Auslandssachver-halte regeln kann20.

Auf die besonderen Anforderungen, die eine Betriebsverein-barung gemäß BDSG erfüllen muss, um inländische Sachverhalte rechtssicher zu gestalten, wird im Rahmen dieses Beitrags nicht näher eingegangen.

2.5 Einwilligung

Sofern es keinen sonstigen Erlaubnistatbestand gibt, der die Da-tenübermittlung an ein Konzernunternehmen mit Sitz in der EU/EWR rechtfertigt, kann auch eine wirksame Einwilligung des Be-troffenen die Datenübermittlung rechtfertigen (vgl. §§ 4 Abs. 1, 4a BDSG).

Eine Einwilligung des Betroffenen, die grundsätzlich schrift-lich eingeholt werden muss, ist nur dann rechtswirksam, wenn sie auf der „freien Entscheidung“ des Betroffenen beruht und der Betroffene auf den vorgesehenen Zweck der Übermittlung, Ver-arbeitung und Nutzung der Daten hingewiesen wurde (§ 4a Abs. 1 BDSG).

Es ist höchst umstritten, ob im Rahmen von Beschäftigungsver-hältnissen eine datenschutzrechtlich relevante Einwilligung wirk-sam erteilt werden kann. In der Literatur wird dies überwiegend abgelehnt.21 Begründet wird dies damit, dass der Beschäftigte auf Grund des bestehenden Abhängigkeitsverhältnisses zum Arbeit-geber keine „freie Entscheidung“ treffen kann, er vielmehr seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten auf Grund „faktischen Zwangs“ erklären wird.

Soweit eine Einwilligung zur Übermittlung und Verarbeitung von Kundendaten eingeholt werden soll, ist darauf zu achten, dass

16 Vgl. Übersicht bei Riesenhuber, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, München 2013, § 32 Rn. 26.2.

17 Simitis, in: Simitis, BDSG, a.a.O., § 2 Rn. 147 m.w.N.18 BAG DB 1986, 2080; Gola/Schomerus, BDSG, a.a.O., § 4 Rn. 10.19 Legerlotz, Datenübermittlung und -verarbeitung im Konzern -- was in inlän-

dischen sowie grenzüberschreitenden Fällen zu beachten ist, ArbRB 2012, S. 190.20 Forst: Verarbeitung personenbezogener Daten in der internationalen Un-

ternehmensgruppe, in: Der Konzern 2012, S. 171 m.w.N.21 Kühling, in Wolff/Brink, Datenschutzrecht, § 4a Rn. 65 m.w.N; Gola/

Schomerus, BDSG, § 4a Rn. 19.

es nicht ausreichend ist, dass der Kunde über die bloße „Mög-lichkeit der konzerninternen Weitergabe“ aufgeklärt wird. Viel-mehr muss der Zweck der Datenübermittlung sowie der Verar-beitung und Nutzung der Kundendaten durch den Datenemp-fänger hinreichend klar beschrieben werden (vgl. § 4a Absatz 1 Satz 2 BDSG).

Selbst wenn eine Einwilligung zur Datenübermittlung bzw. Da-tenverarbeitung wirksam erteilt wurde, ist zu beachten, dass der Betroffene das Recht hat, diese jederzeit zu widerrufen. Eine Ein-willigung ist daher nicht geeignet, die Datenübermittlung zwi-schen Konzernunternehmen sowie die Verarbeitung und Nut-zung der übermittelten Daten dauerhaft rechtssicher zu regeln.

3. Datenübermittlung an ein Konzernunternehmen außerhalb der EU/EWR

Sollen personenbezogene Daten von einem Konzernunterneh-men mit Sitz in Deutschland an ein Konzernunternehmen mit Sitz in einem Drittstaat (d.h. in einem Staat, der weder ein Mit-gliedstaat der EU noch ein Vertragsstaat des EWR ist) übermit-telt werden, muss ergänzend zu den oben unter Ziffer 2 genann-ten Anforderungen (Vorliegen eines Erlaubnistatbestands bzw. einer Einwilligung in Bezug auf die Datenübermittlung) ein „an-gemessenes Datenschutzniveau“ vorliegen (2-Stufenprüfung).22

3.1 Angemessenheit des Datenschutzniveaus

Während der Gesetzgeber innerhalb der EU und des EWR ein angemessenes Datenschutzniveau ohne weiteres annimmt, muss das Vorliegen eines angemessenen Datenschutzniveaus für Dritt-staaten jeweils gesondert geprüft werden. Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände, die bei einer Datenübermittlung von Bedeutung sind, beurteilt. Bei der Beurteilung können insbesondere die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland sowie die für den Da-tenempfänger geltenden Rechtsnormen und Sicherheitsmaßnah-men herangezogen werden (vgl. § 4b Abs. 3 BDSG).

3.1.1 Feststellung der Angemessenheit durch EU-Kommission

Auf der Grundlage von Artikel 25 Abs. 4 und 6 EG-Datenschutz-richtlinie (DatenschutzRL) hat die EU-Kommission für verschie-dene Staaten verbindlich festgestellt, ob sie über ein angemesse-nes Datenschutzniveau verfügen. Das Vorliegen eines angemesse-nes Datenschutzniveaus wurde insbesondere für Argentinien, Aus-tralien, Schweiz und Kanada festgestellt, nicht jedoch für die USA sowie weitere Wirtschaftsgrößen wie China, Indien, Brasilien, Ja-pan oder Russland.

22 Vgl. § 4b Absatz 2 Satz 2 BDSG.

634 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT

Page 5: Grenzüberschreitende Datenübermittlung im Konzern

3.1.2 Drittstaaten ohne angemessenes Datenschutzniveau

Besteht in einem Drittstaat kein angemessenes Datenschutzniveau, muss eine Übermittlung von Daten nicht zwangsläufig unter-bleiben.

3.1.2.1 Tatbestände des § 4c Abs. 1 BDSG

§ 4c Abs. 1 BDSG enthält sechs Tatbestände, die eine Übermitt-lung personenbezogener Daten in Drittstaaten ohne angemessenes Schutzniveau erlauben. Für die Datenübermittlung zwischen Kon-zernunternehmen erweisen sich diese Tatbestände allerdings nur wenig hilfreich, da sie entweder eine Interessenabwägung im Ein-zelfall erfordern oder an die Einwilligung des Betroffenen an-knüpfen, gleichzeitig aber nur ein geringes Maß an Rechtssi-cherheit bieten23(zum Problemkreis „Einwilligung“ siehe Ziffer 2.5 oben).

3.1.2.2 Ausreichende Garantien, § 4c Abs. 2 Satz 1 BDSG

Eine Alternative zu den in § 4c Abs. 1 BDSG genannten Tatbe-ständen bietet § 4c Abs. 2 Satz 1 BDSG: Die zuständige Daten-schutzbehörde kann die Übermittlung personenbezogener Da-ten in Drittstaaten ohne angemessenes Datenschutzniveau genehmi-gen, wenn das datenübermittelnde Konzernunternehmen ausrei-chende Garantien hinsichtlich des Schutzes der zu übermittelnden Daten vorweist. Diese Garantien können sich insbesondere aus „Vertragsklauseln“ oder „verbindlichen Unternehmensregelun-gen“ (sog. Binding Corporate Rules) ergeben.

EU-Standardvertragsklauseln sind Musterverträge der EU-Kommission, deren unveränderte Verwendung nach aktu-eller Rechtslage eine „ausreichende Garantie“ im Sinne des § 4c Abs. 2 BDSG bietet. Ein Abweichen von den EU-Standardver-tragsklauseln ist unzulässig, eine Genehmigung der Verwen-dung dieser Klauseln durch die nationale Datenschutzbehörde wäre bloße Förmelei und wird deshalb (entgegen des Wortlauts des § 4c Abs. 2 Satz 1 BDSG) als überflüssig angesehen.24

Die EU-Kommission hat bislang drei solcher Musterverträge entwickelt:

Standardvertragsklauseln für die Übermittlung personenbe-zogener Daten in Drittländer vom 15. Juni 2001 (EU-Standard-vertragsklauseln 1) 25

Standardvertragsklauseln für die Übermittlung personenbezo-gener Daten in Drittländer vom 27. Dezember 2004 (EU-Stan-dardvertragsklauseln 2) 26 sowie

Standardvertragsklauseln für die Übermittlung personenbezo-gener Daten an Auftragsdatenverarbeiter in Drittländer vom 5. Februar 2010 (EU-Standard-vertragsklauseln für die Auftragsdaten-verarbeitung)27.

Das übermittelnde Konzernunternehmen hat die Wahl, welche der EU-Standardvertragsklauseln es verwendet. In der Praxis hat sich herausgestellt, dass die EU-Standardvertragsklauseln 2 sehr viel häufiger verwendet werden als die EU-Standardvertrags-

23 Vgl. Forst: Verarbeitung personenbezogener Daten in der internationalen Unternehmensgruppe, a.a.O., S. 175.

24 Simitis, BDSG, a.a.O., § 4c Rn. 51; Gola/Schomerus, BDSG, a.a.O., § 4c Rn. 14.25 Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001.26 Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004.27 Beschluss 2010/87/EU der Kommission vom 5. Februar 2010.

klauseln 1. Der Grund dafür liegt darin, dass die EU-Standard-vertragsklauseln 1, im Gegensatz zu den EU-Standardvertrags-klauseln 2, eine gesamtschuldnerische Haftung der Parteien (das sind das datenübermittelnde und das datenempfangende Kon-zernunternehmen) gegenüber dem Betroffenen sowie eine Haf-tung für „punitive damages“ vorsehen. Die Haftungsrisiken, die sich aus der Verwendung der EU-Standardvertragsklauseln 1 er-geben, sind damit schwer kalkulierbar28.

Verbindliche Unternehmensregelungen sind grundsätzlich ebenfalls geeignet, eine „ausreichende Garantie“ im Sinne des § 4 c Abs. 2 Satz 1 BDSG darzustellen. Bei Binding Corporate Rules muss die Verbindlichkeit im gesamten Konzern durch vertrag-liche oder einseitige Verpflichtungen sichergestellt werden. Fer-ner muss das in der EU ansässige Konzernunternehmen die Haf-tung für den gesamten Konzern übernehmen29. Diese konzernwei-te Haftung des in der EU/EWR belegenen Konzernunternehmens stellt in der Praxis einen erheblichen Schwachpunkt dar. Ein wei-terer Schwachpunkt ist das nach wie vor sehr aufwendige Ge-nehmigungsverfahren, das unter Umständen bei einer Änderung der verbindlichen Unternehmensregelungen zu wiederholen ist.30

3.1.2.3 Sonderfall USA

Sofern Daten an ein Konzernunternehmen mit Sitz in den USA übermittelt werden sollen, ist eine Datenübermittlung zudem grundsätzlich gemäß der „Safe Harbor – Principles“ möglich.31 Danach ist von einem „angemessen Datenschutzniveau“ auszu-gehen, wenn sich das in den USA belegene Konzernunternehmen öffentlich selbst verpflichtet, die vom US- Handelsministerium her-ausgegeben „Grundsätze des sicheren Hafens zum Datenschutz“ sowie die dazu ergangenen „frequently asked questions“ einzu-halten und, in Bezug auf die Einhaltung dieser Grundsätze, der Aufsicht der Federal Trade Commission bzw. des US – Verkehrs-ministeriums unterliegt. Die vorgenannten Anforderungen kön-nen mittels einer Safe Harbor – Zertifizierung bestätigt werden.

Im April 2010 hat jedoch der „Düsseldorfer Kreis“ (in diesem sind die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öf-fentlichen Bereich organisiert) klargestellt, dass sich Datenexpor-teure in Deutschland nicht ohne weiteres auf die Behauptung einer Safe Harbor – Zertifizierung verlassen dürfen.32 Es müsse vielmehr eine Mindestprüfung vorgenommen werden. Demzufolge soll der Datenimporteur u.a. darlegen, dass und wie er den Safe Harbor – Principles nachkommt. Zertifizierungen, die älter als sieben Jahre sind, sollen ferner nicht als gültig anerkannt werden.

Dass eine solche Mindestprüfung durchaus Sinn macht, belegt eine Studie, die zu dem Ergebnis kommt, dass die Zertifizierung und Überwachung der Einhaltung der Datenschutzbestimmun-gen durch die zuständigen US-Behörden „völlig unzureichend“ sei, Verstöße zudem kaum sanktioniert würden.33

28 Vgl. dazu Forst: Verarbeitung personenbezogener Daten in der internatio-nalen Unternehmensgruppe, a.a.O., S. 177.

29 Zu den Anforderungen der Binding Corporate Rules vgl. die Arbeitspapie-re der Datenschutzgruppe nach Artikel 29 der EU-DatenschutzRL, z.B. aufgeführt in Forst: Verarbeitung personenbezogener Daten in der internationalen Unter-nehmensgruppe, a.a.O., S.179/180.

30 Siehe dazu beispielhaft Forst: Verarbeitung personenbezogener Daten in der internationalen Unternehmensgruppe, a.a.O., S. 183 m.w.N.

31 Die Safe Harbor – Principles beruhen auf der Entscheidung der EU-Kom-mission 2000/520/EG vom 26. Juli 2000.

32 Düsseldorfer Kreis, Beschluss vom 28./29.04.2010.33 Ehrich: Der unsichere Hafen der EU, NSA-Affäre: Brüssel vertuscht Studie,

Artikel erschienen am 4. August 2013 auf www.n-tv.de/politik.

DuD • Datenschutz und Datensicherheit 10 | 2013 635

SCHWERPUNKT

Page 6: Grenzüberschreitende Datenübermittlung im Konzern

3.1.2.4 NSA-Überwachungsmaßnahmen und datenschutzrechtliche Konsequenzen

Angesichts der Berichte über die umfassende und anlasslo-sen Überwachungsmaßnahmen der ausländischen Geheim-dienste, insbesondere der US – amerikanischen National Securi-ty Agency („NSA“)34, hat die Konferenz der Datenschutzbeauftrag-ten des Bundes und der Länder am 24. Juli 201335 und die Ar-tikel-29-Gruppe der europäischen Datenschutzbeauftragten am 13. August 201336 darauf hingewiesen, dass die nationalen Auf-sichtsbehörden grundsätzlich befugt sind, die Datenübermittlung in die USA und andere Drittländer auszusetzen, wenn eine „ho-he Wahrscheinlichkeit“ bestehe, dass die Safe-Harbor Grundsätze oder die EU-Standardvertragsklauseln verletzt werden. Nach Auf-fassung der Konferenz ist dies nun der Fall. Die Konferenz hat aus diesem Grund die Bundesregierung aufgefordert, darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendiens-te auf die personenbezogenen Daten der Menschen in Deutsch-land effektiv begrenzt werde. Bevor dies nicht sichergestellt sei, wollen die Aufsichtsbehörden für den Datenschutz keine neu-en Genehmigungen für die Datenübermittlung in Drittstaaten erteilen und wollen zudem prüfen, ob Datenübermittlungen auf Grundlage des Safe-Harbor Abkommens und der EU-Standard-vertragsklauseln auszusetzen sind.

Die EU-Justizkommissarin Viviane Reding hat eine Überprü-fung und Neubeurteilung des Safe – Harbor – Abkommens bis zum Jahresende angekündigt.37 Es bleibt abzuwarten, wie diese Neubeurteilung aussieht und inwieweit sich Unternehmen zu-künftig bei einer Datenübermittlung in ein Drittland auf das Sa-fe-Harbor Abkommen bzw. die EU-Standardvertragsklauseln stützen können.

3.2 Gesetzlicher Erlaubnistatbestand

Die Datenübermittlung in den Drittstaat muss gemäß §§ 28 ff. BDSG gerechtfertigt sein (vgl. § 4b Abs. 2 Satz 1 BDSG). Um Wie-derholungen zu vermeiden, wird auf die Ausführungen oben un-ter Ziffer 2 verwiesen. Zu beachten ist, dass eine Auftragsdaten-verarbeitung nicht gemäß § 11 BDSG privilegiert behandelt wird, wenn das beauftragte (Konzern-) Unternehmen seinen Sitz in ei-nem Drittstaat hat.38 Selbst bei einer vollständig weisungsgebun-denen Tätigkeit muss die Datenübermittlung an das beauftragte Unternehmen deshalb immer gemäß §§ 28 ff. BDSG gerechtfer-tigt sein, sofern keine Einwilligung dazu vorliegt.39

34 Siehe www.theguardian.com/world/the-nsa-files, letzter Abruf 21. Au-gust 2013.

35 Pressemitteilung der Datenschutzkonferenz vom 24. Juli 2013, abrufbar unter www.bfdi.bund.de, letzter Abruf 21. August 2013.

36 Abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/do-cumentation/other-document/files /2013/20130813_letter_to_vp_reding_final_en.pdf, letzter Abruf 21. August 2013.

37 Siehe http://europa.eu/rapid/press-release _memo-13-710_en.htm, letzter Abruf 21. August 2013.

38 § 3 Abs. 8 Satz 2 BDSG, der nur für inländische Auftragnehmer oder sol-che, die ihren Sitz in einem EU/EWR Staat haben, gilt; vgl. auch Simitis, BDSG, a.a.O., § 2 Rn. 152; Spindler: Konzerninterne Informationsflüsse und Datenschutz – de lege lata und de lege ferenda, a.a.O., S. 1201.

39 A.A. wohl Nink/Müller: Beschäftigtendaten im Konzern – Wie die Mutter so die Tochter? Arbeits- und datenschutzrechtliche Aspekte einer zentralen Per-sonalverwaltung, ZD 2012, 506, die die Verwendung von EU-Standardvertrags-klauseln für Auftragsdatenverarbeiter als ausreichend ansehen.

4. Zulässigkeit der Datenübermittlung gemäß DS-GVO-E

4.1 Allgemeines zur DS-GVO

1995 erließ die EU-Kommission die DatenschutzRL, die in den Folgejahren durch die jeweiligen Mitgliedsstaaten der Europäi-schen Union in nationales Recht umgesetzt wurde. Da die Richt-linie nur Mindeststandards festlegte, die EU-Mitgliedstaaten mit-hin Spielraum bei der Umsetzung in nationales Recht hatten, ent-stand auf europäischer Ebene im Bereich des Datenschutzrechts ein rechtlicher Flickenteppich. Zur Schaffung einer EU-weiten einheitlichen Datenschutzregelung sowie zur Herstellung gleicher Wettbewerbsbedingungen für die Wirtschaft legte die EU-Kom-mission am 25. Januar 2012 den Entwurf der Datenschutzgrund-verordnung („DS-GVO-E“) vor.40 Im Gegensatz zu einer Richtli-nie erlangt die Verordnung mit ihrem Inkrafttreten unmittelbare Geltung in allen EU – Mitgliedsstaaten, eine Umsetzung durch die Mitgliedstaaten in nationales Recht ist nicht erforderlich.

Ansatzpunkt der DS-GVO-E ist, wie im BDSG, ein unter einem Erlaubnisvorbehalt stehendes Verbot, personenbezogene Daten zu verarbeiten (Art. 6 DS-GVO-E), sofern die Verarbeitung auto-matisiert erfolgt bzw. manuell in einem Ablagesystem (Art. 2 Abs. 1 DS-GVO-E). Räumlich soll die DS-GVO-E nicht nur Anwen-dung finden, wenn die Verarbeitung der Daten in der EU erfolgt, sondern auch, wenn die Verarbeitung von Daten von EU-Bürgern von einem nicht in der EU ansässigen Unternehmen erfolgt, so-fern die Datenverarbeitung dazu dient, diesen Personen Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beob-achten (Art. 3 Abs. 1, 2 DS-GVO-E).

In Bezug auf die Zulässigkeit der Datenübermittlung zwischen Konzernunternehmen enthält die DS-GVO-E gegenüber den Re-gelungen des BDSG nur wenige Abweichungen, die z.T. allerdings höchst relevant sind. Im Folgenden ein kurzer Überblick über gleichbleibende Regelungen und relevante Änderungen.

4.2 Konzernprivileg

Die DS-GVO-E sieht bislang kein „Konzernprivileg“ vor; dies entspricht der aktuellen Rechtslage. Die Interessenverbände der Wirtschaft, die seit langem fordern, den Datenaustausch zwi-schen Konzernunternehmen substantiell zu erleichtern, kritisie-ren das scharf. Die Kritik trägt offenbar Früchte: Nach Informa-tionen des Berichterstatters des EU-Ausschusses für bürgerliche Freiheiten, Justiz und Inneres, Jan Phillip Albrecht, der am 12. April 2013 den Werdegang der DS-GVO-E erörterte, wird aktu-ell überlegt, ein „eingeschränktes Konzernprivileg für Mitarbei-terdaten“ einzuführen.41 Details dazu sind bislang jedoch nicht bekannt.

4.3 Auftragsdatenverarbeitung

Die Auftragsdatenverarbeitung innerhalb der EU wird weiter-hin privilegiert behandelt (vgl. Artikel 26 Abs. 1 und 2 der DS-GVO-E). Dazu ist weiterhin ein Auftragsdatenverarbeitungsver-

40 Pressemitteilung der Europäischen Kommission vom 25. Januar 2012, abrufbar unter http.//ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm, letzter Abruf 21. August 2013.

41 Selent: EU-Datenschutz: Eine Zwischenbilanz, in: Datenschutzberater 2013, S. 115.

636 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT

Page 7: Grenzüberschreitende Datenübermittlung im Konzern

trag erforderlich, in dem entsprechende Pflichten des Auftrags-datenverarbeiters und Kontrollrechte des Auftraggebers verein-bart werden. Neu ist, dass der Auftragsdatenverarbeiter nicht nur mehr vertraglich, sondern auch kraft Gesetzes verpflichtet ist, ge-eignete Maßnahmen zur Gewährleistung der Datensicherheit zu ergreifen (Artikel 30 DS-GVO-E). Dies hat zur Konsequenz, dass der Betroffene bei einer Datenschutzpanne nicht nur den Auf-traggeber, sondern auch den Auftragsdatenverarbeiter auf Scha-densersatz in Anspruch nehmen kann (§ 77 DS-GVO-E).

4.4 Beschäftigtendatenschutz

Artikel 7 Abs. 4 DS-GVO-E regelt nun explizit, dass eine Einwil-ligung keine Rechtsgrundlage für die Datenübermittlung oder sonstige Verarbeitung bietet, „wenn zwischen der Position des Betroffenen und des für die Datenverarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht“. Nach Erwägungsgrund 34 der DS-GVO-E liegt ein solches Ungleichgewicht vor allem dann vor, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhält-nissen verarbeitet werden. Dieses „absolute Einwilligungsverbot“ des Arbeitnehmers ist auf EU-Ebene höchst umstritten. Aktu-ell gibt es scheinbar die Tendenz, dieses absolute Verbot aufzu-weichen und eine Einwilligung eines Arbeitnehmers als Rechts-grundlage für die Datenverarbeitung zu gestatten, wenn die Ein-willigung dem Beschäftigten einen überwiegenden rechtlichen oder wirtschaftlichen Vorteil bringt.42

Gemäß Artikel 82 sowie Erwägungsgrund 124 DS-GVO-E ha-ben die Mitgliedstaaten die Erlaubnis, unter Berücksichtigung der Vorgaben der DS-GVO-E, spezielle Erlaubnistatbestände in Bezug auf den Beschäftigtendatenschutz zu erlassen. So können die Mitgliedsstaaten die Verarbeitung personenbezogener Arbeit-nehmerdaten im Beschäftigungskontext (d.h. für Zwecke der Ein-stellung, der Durchführung des Arbeitsvertrages, der Planung und Organisation der Arbeit, der Gesundheit und Sicherheit am Arbeitsplatz etc.) regeln. Der Erlaubnistatbestand, der aktuell in § 32 BDSG seinen Niederschlag gefunden hat und der bislang in der DS-GVO-E nicht berücksichtigt wurde, könnte damit grund-sätzlich über diese Öffnungsklausel eingeführt werden.

4.5 Datenübermittlung in Drittland

Bei einer Datenübermittlung in ein Drittland außerhalb der EU muss weiterhin eine zweistufige Prüfung vorgenommen werden,

42 Selent: EU-Datenschutz: Eine Zwischenbilanz, a.a.O., S. 115.

ob a) in dem Drittland ein angemessenes Datenschutzniveau be-steht und b) die Datenübermittlung durch einen Erlaubnistat-bestand gerechtfertigt ist (vgl. Art. 40 DS-GVO-E). Sofern kein Angemessenheitsbeschluss der EU- Kommission (Art. 41 DS-GVO-E) vorliegt, kann, auch dies entspricht der aktuellen Rechts-lage, ein angemessener Datenschutz durch geeignete Garantien (Art. 42 DS-GVO-E), insbesondere durch die Verwendung von EU-Standardvertragskauseln (Art. 42 Abs.2 Nr. b BDSG) bzw. Binding Corporate Rules (Art. 43 DS-GVO-E) geschaffen werden.

Den Binding Corporate Rules, denen unter dem BDSG keine große Bedeutung zukam, wird in der DS-GVO-E nun erhebliches Gewicht beigemessen: die Anforderungen sowie der Genehmi-gungsprozess (Art. 43, 58 DS-GVO-E) sind nun detailliert gere-gelt. Dies führt zu Transparenz und damit zu größerer Rechtssi-cherheit für Unternehmen.

4.6 Sanktionen

Beachtenswert sind zudem die möglichen Sanktionen, die im Fal-le von Verstößen gegen die Regelungen der DS-GVO-E von den Aufsichtsbehörden verhängt werden können. So kann bereits jede fahrlässig ohne ausreichende Rechtsgrundlage erfolgende Über-mittlung personenbezogener Daten zu einer Geldbuße von bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens führen.

Fazit

Die Übermittlung von personenbezogenen Daten zwischen Kon-zernunternehmen stellt nach wie vor ein überwiegend ungelös-tes Problem dar. Die DS-GVO-E enthält zwar Verbesserungen, wie z.B. vereinfachtes und transparentes Genehmigungsverfah-ren in Bezug auf Binding Corporate Rules, auf Grund des nach wie vor fehlenden Konzernprivilegs bleibt die DS-GVO-E aller-dings hinter ihren Erwartungen zurück. Im Interesse global tä-tiger Unternehmen ist zu hoffen, dass zumindest das aktuell dis-kutierte „kleine Konzernprivileg“ für Mitarbeiterdaten umgesetzt und das bislang bestehende „absolute Einwilligungsverbot“ für Beschäftigte gelockert wird; dies würde zumindest die Personal-verwaltung innerhalb eines Konzerns erheblich vereinfachen und das Risiko hoher Geldbußen minimieren. Da die DS-GVO-E die Vereinheitlichung des Datenschutzrechts in Europa zum Ziel hat und damit für Rechtssicherheit innerhalb Europas sorgen soll, ist sie aber insgesamt zu begrüßen.

638 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT


1 Allgemeines Struktur de r ZusatzvereinbarungenRichtlinie Signalordnung, Bahnbetrieb international Grenzüberschreitende Bahnstrecken Grenzüberschreitende Bahnstrecken mit den Niederlanden

1 Allgemeines Struktur de r ZusatzvereinbarungenRichtlinie Signalordnung, Bahnbetrieb international Grenzüberschreitende Bahnstrecken Grenzüberschreitende Bahnstrecken mit den Niederlanden

Documents
Praxisleitfaden Grenzüberschreitende Lieferungen

Praxisleitfaden Grenzüberschreitende Lieferungen

Documents
Geschäftsbericht 2016 · VEDES Konzern · Geschäftsbericht 2016 VEDES Konzern. Vorwort 6 Konzernportrait 12 Bericht des Aufsichtsrats 8 4 Inhalt. Impressum 82 38 ... Konzern relevanten

Geschäftsbericht 2016 · VEDES Konzern · Geschäftsbericht 2016 VEDES Konzern. Vorwort 6 Konzernportrait 12 Bericht des Aufsichtsrats 8 4 Inhalt. Impressum 82 38 ... Konzern relevanten

Documents
Grenzüberschreitende Einsätze in Belgien

Grenzüberschreitende Einsätze in Belgien

Documents
Grenzüberschreitende Verflechtungen im tertiären Sektor … · 2020. 6. 23. · Geographica Helvetica 1986-Nr. 4 Werner Mikus Grenzüberschreitende Verflechtungen im tertiären

Grenzüberschreitende Verflechtungen im tertiären Sektor … · 2020. 6. 23. · Geographica Helvetica 1986-Nr. 4 Werner Mikus Grenzüberschreitende Verflechtungen im tertiären

Documents
Grenzüberschreitende Lohnkoordinierung im Metallsektor Belgiens, Deutschlands und der Niederlande

Grenzüberschreitende Lohnkoordinierung im Metallsektor Belgiens, Deutschlands und der Niederlande

Documents
Grenzüberschreitende Scheidung und Unterhalt€¦ · Grenzüberschreitende Scheidung: Anwendbares Recht . 1. Einleitung . Die . VERORDNUNG DES RATES (EU) Nr. 1259/2010 vom 20. Dezember

Grenzüberschreitende Scheidung und Unterhalt€¦ · Grenzüberschreitende Scheidung: Anwendbares Recht . 1. Einleitung . Die . VERORDNUNG DES RATES (EU) Nr. 1259/2010 vom 20. Dezember

Documents
Der Tulikivi-Konzern

Der Tulikivi-Konzern

Documents
Silvano Möckli: Grenzüberschreitende regionale Demokratie. Geht das?

Silvano Möckli: Grenzüberschreitende regionale Demokratie. Geht das?

News & Politics
Geschäftsbericht 2015 - Splendid Medien AG · 62 Konzern-Gewinn- und Verlustrechnung 63 Konzern-Gesamtergebnisrechnung 63 Entwicklung des Konzern-Eigenkapitals 64 Konzern-Kapitalflussrechnung

Geschäftsbericht 2015 - Splendid Medien AG · 62 Konzern-Gewinn- und Verlustrechnung 63 Konzern-Gesamtergebnisrechnung 63 Entwicklung des Konzern-Eigenkapitals 64 Konzern-Kapitalflussrechnung

Documents
Grenzüberschreitende Ausschüttungen

Grenzüberschreitende Ausschüttungen

Documents
Konzernabschluss und Konzern-Lagebericht der Fresenius … · Konzern-Lagebericht 2 Konzern-Lagebericht GRUNDLAGEN DES KONZERNS GESCHÄFTSMODELL DES KONZERNS Fresenius ist ein weltweit

Konzernabschluss und Konzern-Lagebericht der Fresenius … · Konzern-Lagebericht 2 Konzern-Lagebericht GRUNDLAGEN DES KONZERNS GESCHÄFTSMODELL DES KONZERNS Fresenius ist ein weltweit

Documents
Grenzüberschreitende Regionalentwicklung Teil 4 Ein Rahmenkonzept

Grenzüberschreitende Regionalentwicklung Teil 4 Ein Rahmenkonzept

Documents
Bericht Grenzüberschreitende Investitionen und

Bericht Grenzüberschreitende Investitionen und

Documents
Vorstellung der Richtlinie Ausgleich für Einnahmeausfälle ... · Vorgangsbearbeitungssystem (VBS) Antragsteller Antrag Anlagen Kalk. Tabelle Antrag Datenübermittlung Sachbearbeiter

Vorstellung der Richtlinie Ausgleich für Einnahmeausfälle ... · Vorgangsbearbeitungssystem (VBS) Antragsteller Antrag Anlagen Kalk. Tabelle Antrag Datenübermittlung Sachbearbeiter

Documents
2003, BGBl. I S. 2954) (Artikel 1 des Gesetzes vom 24 ... · Datenübermittlung und Datenschutz § 50 Datenübermittlung § 51 Erhebung, Verarbeitung und Nutzung von Sozialdaten durch

2003, BGBl. I S. 2954) (Artikel 1 des Gesetzes vom 24 ... · Datenübermittlung und Datenschutz § 50 Datenübermittlung § 51 Erhebung, Verarbeitung und Nutzung von Sozialdaten durch

Documents
Grenzüberschreitende Berufsbildung Saar-Lor am Beispiel Metall

Grenzüberschreitende Berufsbildung Saar-Lor am Beispiel Metall

Documents
Rosenbauer Konzern

Rosenbauer Konzern

Documents
Der grenzüberschreitende Schienenpersonenverkehr in ... · 2 Der grenzüberschreitende Schienenpersonenverkehr in Luxemburg – eine komplizierte Erfolgsgeschichte (29. März 2012)

Der grenzüberschreitende Schienenpersonenverkehr in ... · 2 Der grenzüberschreitende Schienenpersonenverkehr in Luxemburg – eine komplizierte Erfolgsgeschichte (29. März 2012)

Documents
Www.thw.de Das Technische Hilfswerk Struktur und grenzüberschreitende Zusammenarbeit Andelfingen, August 2013

Www.thw.de Das Technische Hilfswerk Struktur und grenzüberschreitende Zusammenarbeit Andelfingen, August 2013

Documents
Grenzüberschreitende Regionalentwicklung Vorlesung

Grenzüberschreitende Regionalentwicklung Vorlesung

Documents
Grenzüberschreitende Geschäftsprozesse mit Microsoft SharePoint und BizTalk

Grenzüberschreitende Geschäftsprozesse mit Microsoft SharePoint und BizTalk

Technology
Grenzüberschreitende Zukunftsvision Kultur 2015-2020

Grenzüberschreitende Zukunftsvision Kultur 2015-2020

Documents
KONZERN- ZWISCHENBERICHT

KONZERN- ZWISCHENBERICHT

Documents
RZ ALNO 13001 GB 2012 GB D Inhalt 290413 · KONZERN-KENNZAHLEN KONZERN-KENNZAHLEN Konzern-Kennzahlen (IFRS) 2012 2011 2010 2009 2008 Konzern-Gewinn- und Verlustrechnung Umsatzerlöse

RZ ALNO 13001 GB 2012 GB D Inhalt 290413 · KONZERN-KENNZAHLEN KONZERN-KENNZAHLEN Konzern-Kennzahlen (IFRS) 2012 2011 2010 2009 2008 Konzern-Gewinn- und Verlustrechnung Umsatzerlöse

Documents
Grenzüberschreitende öV-Tarife im Rheintal

Grenzüberschreitende öV-Tarife im Rheintal

Documents
Konzern-Geschäftsbericht 2013

Konzern-Geschäftsbericht 2013

Investor Relations
Steuerliche Grundregeln für grenzüberschreitende ...zeppelinmedia.org/bureauplattner/SteuerlicheGrundregelnImmobilien... · DACHIF 2010 Steuerliche Grundregeln für grenzüberschreitende

Steuerliche Grundregeln für grenzüberschreitende ...zeppelinmedia.org/bureauplattner/SteuerlicheGrundregelnImmobilien... · DACHIF 2010 Steuerliche Grundregeln für grenzüberschreitende

Documents
4. Grenzüberschreitende Arbeiten - inter-uni.net · 4. Grenzüberschreitende Arbeiten Von der Universität Maribor/Slowenien und in der Folge vom Interuniversitären Kolleg eingeladen,

4. Grenzüberschreitende Arbeiten - inter-uni.net · 4. Grenzüberschreitende Arbeiten Von der Universität Maribor/Slowenien und in der Folge vom Interuniversitären Kolleg eingeladen,

Documents
Danube River Basin Monitoring: Grenzüberschreitende ... · Danube River Basin Monitoring: Grenzüberschreitende Koordination Philip Weller ICPDR Executive Secretary Essen, 23. September

Danube River Basin Monitoring: Grenzüberschreitende ... · Danube River Basin Monitoring: Grenzüberschreitende Koordination Philip Weller ICPDR Executive Secretary Essen, 23. September

Documents