Arbeitsbericht der adhoc Arbeitsgruppe Konzerninterner Datentransfer Auswirkungen
Wenn sich in Europa nur unselbständige Niederlassungen eines Unternehmens mit Sitz in einem Drittstaat befinden, ergibt sich eine besondere Problematik. Hier käme möglicherweise in Betracht, dass die ggf. erforderliche Genehmigung von dem zu bestellenden Inlandsvertreter (§ 1 Abs. 5 Satz 3 BDSG) beantragt und diesem zugestellt würde.
Arbeitsbericht der ad-hoc Arbeitsgruppe "Konzerninterner Datentransfer" Auswirkungen bzw. Bedeutung und Umsetzung der Ergebnisse beim Drittstaatentransfer
Im Jahr 2004 hat sich eine ad-hoc-Arbeitsgruppe aus Vertretern der Aufsichtsbehörden und der Wirtschaft mit der Frage befasst, unter welchen Voraussetzungen der Austausch von Mitarbeiterdaten innerhalb eines Konzerns zulässig ist. Diese Arbeitsgruppe hat sich auf die Problematik der sog. 1. Stufe beschränkt, also die Fragen des Drittstaatentransfers (2. Stufe) ausgeklammert (siehe 18. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständige n Aufsichtsbehörden - Drs. 16/4752 - unter Ziff. 10). Der vom Regierungspräsidium Darmstadt verfasste und mit den Teilnehmern abgestimmte Abschlussbericht ist von der Internetseite des Regierungspräsidiums Darmstadt abrufbar ("http://www.rp-darmstadt.hessen.de ").
Die ad-hoc-Arbeitsgruppe kam zu dem Ergebnis, dass der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. des § 28 Abs. 3 Nr. 1 BDSG nur erfüllt sein kann, wenn folgende Voraussetzungen vorliegen: - Die Übermittlung darf nicht dazu führen, dass andere Konzernunternehmen die Daten in einer Weise nutzen, die dem Arbeitgeber selbst verwehrt wäre.
- Die Übermittlung darf nur mit klarer Festlegung der Zweckbindung erfolgen und nur, wenn und soweit die personenbezogenen Daten für die von anderen Konzernunternehmen jeweils übernommene Funktion erforderlich sind.
- Der Konzern muss grundsätzlich besondere Maßnahmen ergreifen, um den Interessen der Betroffenen Rechnung zu tragen (Position der Aufsichtsbehörden). Dazu gehört
- ein konzernweites Datenschutzkonzept,
- dass das Arbeitgeber-Unternehmen - zusätzlich - umfassend datenschutzrechtlicher Ansprechpartner für seinen Arbeitnehmer bleibt, z.B. betreffend Schadensersatz, Auskunft etc.,
- dass die entsprechenden Regelungen intern (im Konzern) und extern (gegenüber den Betroffenen) verbindlich sind.
Sofern diese Anforderungen im konkreten Fall einer Datenübermittlung gelten und diese Übermittlung in einen Drittstaat erfolgt, stellt sich die Frage, wie diese Anforderungen erfüllt werden können bzw. inwieweit es "Konflikte" mit den spezifischen Regelungen für den Drittstaatentransfer gibt.
Das Regierungspräsidium Darmstadt sieht hier folgende Möglichkeiten:
a) Betriebsvereinbarungen
Während Konzern-Betriebsvereinbarungen bei Datenübermittlungen innerhalb Deutschlands gut geeignet sind, die o. g. Anforderungen umzusetzen, sind sie beim Drittstaatentransfer insofern unzureichend, als die Konzernstellen im Drittstaat nicht per se daran gebunden sind.
Wenn sich diese jedoch der Betriebsvereinbarung unterwerfen, können damit die o. g. Voraussetzungen erfüllt werden.
b) Standardvertrag vom 15. Juni 2001
Dieser Standardvertrag enthält Regelungen, die mit den o. g.
Anforderungen korrespondieren. In Klausel 6 Abs. 2 ist die gesamtschuldnerische Haftung des Datenexporteurs und des Datenimporteurs vorgesehen. Nach Klausel 4d verpflichtet sich der Datenexporteur, Anfragen der betroffenen Personen bzgl. der Datenverarbeitung durch den Datenimporteur zu beantworten. Damit bleibt der Arbeitgeber, wenn er Datenexporteur ist, Ansprechpartner für den Betroffenen. Wesentliche der oben unter Punkt 3 genannten Anforderungen sind damit erfüllt. Anlage 2 Nr. 1 regelt die Zweckbindung, ebenso
Anlage 3 Nr. 1. Wenn beim Ausfüllen des Anhangs 1 die Zweckbestimmung und die Zugriffsbefugnisse detailliert geregelt werden, kann damit den o. g. Anforderungen unter Punkt 1 und 2 Rechnung getragen werden. Dies ka nn aber auch durch eine zusätzliche Betriebsvereinbarung geschehen, auf die im Anhang 1 Bezug genommen wird oder der sich der Datenimporteur separat unterwirft (s. o.). Selbstverständlich wäre auch eine gesonderte vertragliche Regelung möglich. Somit ist der Standardvertrag vom 15. Juni 2001, der ja an sich nur die Anforderungen der 2. Stufe betrifft, geeignet, zugleich wesentliche Anforderungen der 1. Stufe zu erfüllen. Grundsätzlich ist zu beachten, dass eine separate Betrachtung der beiden Stufen jedenfalls nicht zu einem Wertungswiderspruch führen darf. Beim Standardvertrag vom 15. Juni 2001 besteht eine solche Gefahr nur bzgl. der werblichen Nutzung und Verarbeitung von Arbeitne hmerdaten.
Bei der Nutzung von Arbeitnehmerdaten zu Werbezwecken ist grundsätzlich eine Einwilligung erforderlich (1. Stufe), während der Standardvertrag vom 15. Juni 2001 nur ein Widerspruchsrecht (in Anlage 2 Nr. 8) bzw. gar keine Regelung (in Anlage 3, die nach Klausel 5 b alternativ zu Klausel 2 gewählt werden kann) enthält. Hier müsste daher entweder der Standardvertrag bzw. konkret die Anlagen entsprechend geändert oder eine Zusatzvereinbarung unter Berücksichtigung des Einwilligungserfordernisses geschlossen werden. Da eine entsprechende Änderung des Standardvertrags eindeutig zugunsten des Betroffenen erfolgen würde, entsteht nach Auffassung der Aufsichtsbehörde keine Genehmigungspflicht nach § 4c Abs. 2 BDSG für Datenübermittlungen auf dieser Grundlage. Bei der Aufsichtsbehörde ist aber zu erfragen, ob der geänderte Vertrag zur Prüfung im vorgenannten Sinne vorzulegen ist.
c) Standardvertrag vom 27. Dezember 2004 ("alternativer Standardvertrag")
Bei diesem Standardvertrag ist das Problem eines Wertungswiderspruchs in besonderem Maße gegeben: Nach Klausel III a besteht keine gesamtschuldnerische Haftung. Der Datenexporteur haftet grundsätzlich nur für die Schäden, die er verursacht hat. Klausel 1d sieht grundsätzlich keine Auskunftspflicht des Datenexporteurs bzgl. der Datenverarbeitung beim Datenimporteur vor. Nach Klausel III b kann der Betroffene seine Rechte grundsätzlich nur gegenüber dem Datenimporteur geltend machen, wenn er diesem eine Vertragsverletzung vorwirft. Diese Regelungen stehen im Widerspruch zu den o. g.
Anforderungen.
Ein weiteres Problem ist auch hier, dass in Anhang A Nr. 7 nur ein opt-out (Widerspruchsrecht) beim Direktmarketing vorgesehen ist.
Die Anerkennung der Standardverträge durch die EU-Kommission betrifft nur die 2. Stufe. Die Anforderungen der 1. Stufe (materielle Zulässigkeit nach nationalem Recht) dürften nicht durch den Abschluss von Regelungen auf der 2. Stufe umgangen werden. Dass auch die Europäische Kommission von der zweistufigen Prüfung bei Verwendung der Standardverträge ausgeht, ergibt sich aus den Erwägungsgründen (6) und (15) ihrer Entscheidung vom 15. Juni 2001.
Falls die Prüfung der 1. Stufe ergibt, dass die eingangs genannten Anforderungen gelten, ist daher der Abschluss des Standardvertrags vom Dezember 2004 problematisch. Der Standardvertrag vom Juni 2001 wäre vorzuziehen. Gegebenenfalls ist nach Auffassung der Aufsichtsbehörde darüber nachzudenken, den alternativen Standardvertrag dergestalt zu ergä nzen bzw. zu ändern, dass seine Verwendung für Arbeitnehmerdaten ermöglicht wird. Teilweise wird von Unternehmen vorgetragen, die dargestellte Problematik stelle sich nicht, weil sich bereits aus der Fürsorgepflicht des Arbeitgebers ergebe, dass er umfassend für Datenschutzverstöße einzustehen und Auskünfte zu erteilen habe. Allerdings ist die Reichweite der Fürsorgepflicht fraglich. Solange nicht durch fundierte arbeitsrechtliche Bewertungen belegt ist, dass sich die Fürsorgepflicht des Arbeitgebers auch auf datenschutzwidrige Verarbeitungen beim Datenimporteur erstreckt, kann die Aufsichtsbehörde daher dieser Argumentation nicht folgen.
Aber selbst wenn dies belegt werden könnte, bliebe das Problem der Widersprüchlichkeit zu den Regelungen des alternativen Standardvertrags.
d) Safe Harbor
Die in Form von "häufig gestellten Fragen" (FAQ) gefassten Leitlinien zur Umsetzung der Safe Harbor-Grundsätze enthalten spezielle Ausführungen betreffend Personaldaten (FAQ 9). Hierin ist zur Frage der Rechtsdurchsetzung (F 4) ausgeführt, dass in erster Linie die in der EU ansässige Organisation verantwortlich bleibe, soweit Personaldaten nur im Rahmen des Beschäftigungsverhältnisses verwendet würden. Die Aufsichtsbehörde ist der Ansicht, dass diese Ausführungen nur deklaratorische Bedeutung und keine konstitutive Wirkung haben, also Rechte gegen den Arbeitgeber in Deutschland/der EU weder begründen noch beschränken können, sondern nur das Verständnis der US-Seite bzgl. des EU -Rechts wiedergeben. Die Aufsichtsbehörde sieht daher die Darlegungslast bezüglich der Arbeitnehmerrechte bzw. der eingangs dargestellten Anforderungen der
1. Stufe, die sicherzustellen sind, bei den Unternehmen (vgl. oben zu c).
Datenverarbeitungsdienstleistung in Deutschland für einen Auftraggeber im Drittstaat
Wenn ein in Deutschland ansässiger Datenverarbeitungsdienstleister (DVDienstleister) personenbezogene Daten im Auftrag eines in einem Drittstaat ansässigen Unternehmens verarbeitet, stellt sich die Frage, welche datenschutzrechtlichen Pflichten für diese beiden Unternehmen jeweils gelten.
Insbesondere stellt sich die Frage, ob bei der Datenweitergabe durch den DV-Dienstleister in Deutschland an seinen Auftraggeber im Drittstaat die Anforderungen der §§ 4b, 4c BDSG gelten. Diese Problematik kann sich bei folgenden Fallgruppen ergeben:
A. Ein in Deutschland ansässiges Unternehmen beauftragt einen im Drittstaat ansässigen DV-Dienstleister mit der Verarbeitung personenbezogener Daten und schließt mit diesem den Standardvertrag vom Dezember 2001 (Controller - Processor) oder einen entsprechenden individuellen Vertrag.
Der DV-Dienstleister im Drittstaat schaltet einen DV-Dienstleister in Deutschland ein, welcher die Daten nach Erledigung des Auftrags an das Unternehmen im Drittstaat rücktransferiert.
B. Ein in Deutschland ansässiges Unternehmen übermittelt Daten an ein Unternehmen im Drittstaat und schließt mit diesem den Standardvertrag vom Juni 2001 oder Dezember 2004 (Controller Controller) oder einen entsprechenden individuellen Vertrag. Das Unternehmen im Drittstaat schaltet einen DV-Dienstleister in Deutschland ein, welcher die Daten nach Erledigung des Auftrags an das Unternehmen im Drittstaat rücktransferiert.
C. Fallgestaltung wie B., aber zwischen dem in Deutschland ansässigen Unternehmen und dem Unternehmen im Drittstaat wird kein "Drittstaatenvertrag" nach § 4c Abs. 2 BDSG abgeschlossen, weil eine der Katalogausnahmen des § 4c Abs. 1 BDSG gegeben ist.
D. Ein in Deutschland ansässiger DV-Dienstleister wird von einem in einem Drittstaat ansässigen Unternehmen beauftragt, in Deutschland personenbezogene Daten zu erheben und zu verarbeiten und dann an den Auftraggeber im Drittstaat zu transferieren.
E. Ein in Deutschland ansässiger DV-Dienstleister wird von einem in einem Drittstaat ansässigen Unternehmen beauftragt, personenbezogene Daten zu verarbeiten und danach an den Auftraggeber zu transferieren. Die Daten stammen aus der EU/EWR, sie wurden hier entweder vom Auftraggeber selbst oder in dessen Auftrag von einem anderen DV-Dienstleister erhoben.
F. Fallgestaltung wie Buchst. E, aber die Daten stammen nicht aus der EU/EWR. G. Fallgestaltung wie Buchst. A, B, C, E oder F, aber der EU/EWR Dienstleister erhält die Daten in verschlüsselter Form und kann von dem Inhalt keine Kenntnis nehmen (Black Box).