Arbeitgeber

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats richtlinie) vorliegt oder wenn beim datenimportierenden Unternehmen ausreichende Datenschutzgarantien geschaffen werden.

Nach § 4 c Abs. 2 Satz 1 BDSG können sich diese Garantien „insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben".

Der bundesdeutsche Gesetzgeber hat also dem in der Europäischen Datenschutzrichtlinie52 beispielhaft genannten Instrument der Vertragsklauseln ein weiteres hinzugefügt. Die verbindliche Unternehmensregelung soll dazu führen, innerhalb eines global tätigen Unternehmens mit Tochter- (oder auch Mutter-) Gesellschaften in Drittländern ohne angemessenes Datenschutzniveau ausreichende Datenschutzgarantien auch dort zu schaffen. Da das deutsche Datenschutzrecht keinen „Konzerndatenschutz" kennt, sind die weltweit tätigen (Teil-)Unternehmen eines Konzerns rechtlich als selbständige Einheiten zu betrachten. Nach § 3 Abs. 7 BDSG ist der in Deutschland ansässige Teil eines Unternehmens verantwortliche Stelle. Dritter ist jede Stelle außerhalb der verantwortlichen Stelle (§ 3 Abs. 8 BDSG). Dies bedeutet, dass auch zwischen selbständigen Teilunternehmen internationaler Konzerne die Weitergabe von Daten als Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG anzusehen ist.

In der unternehmerischen Praxis wird anstelle des Begriffs „verbindliche Unternehmensregelung" gern und häufig der Begriff „Code of Conduct" genutzt, obgleich dies bei wörtlicher Übersetzung eher einem Verhaltenskodex oder einer Verhaltensregel gleichkommt. Diesen Begriff gebraucht das BDSG in § 38 a allerdings in einem anderen Zusammenhang und meint damit branchenspezifische Regelungen zum Datenschutz in einem bestimmten Sektor, beispielsweise innerhalb eines Berufsverbandes. Derartige Verhaltensregeln beinhalten nicht notwendigerweise Regelungen für den internationalen Datentransfer, erfordern andererseits aber einen „branchenspezifischen Mehrwert" an Datenschutz.

Problematisch ist die Rechtsnatur einer Unternehmensregelung. Da sie regelmäßig nicht als Vertrag des Mutterunternehmens mit den Tochtergesellschaften ausgestaltet ist, kann sie auch nicht als Vertrag zugunsten Dritter angesehen werden (aus dem der Betroffene unmittelbar eigene Rechte herleiten könnte). Dies ist jedoch kaum von Bedeutung. Für die Verbindlichkeit ist vielmehr maßgeblich, dass die Unternehmensregelung als Handlungsanweisung des Arbeitgebers gegenüber den Arbeitnehmern ausgestaltet wird. Die Unternehmensteile und alle Mitarbeiter müssen verpflichtet sein, die Unternehmensregelung einzuhalten. Dies sollte durch innerbetriebliche Disziplinarmaßnahmen vgl. bereits JB 2001, 4.

Die Form einer Unternehmensregelung sollte von den Gegebenheiten im Unternehmen, z. B. von der Art und Anzahl der unternehmerischen Aktivitäten und der Anzahl der Länder, in denen das Unternehmen Niederlassungen hat, abhängig gemacht werden. Ihre Ausgestaltung kann derart erfolgen, dass sie einen Mindestdatenschutzstandard vorsieht, den einzelne Unternehmensteile je nach Standort verschärfen dürfen. Das bietet sich an, wenn ein internationaler Konzern ein weltweit einheitliches Datenschutzniveau in allen Konzernniederlassungen anstrebt, unabhängig davon, ob die Daten aus den Unternehmensteilen in der Europäischen Union in Drittländer übermittelt werden oder aus anderen Drittländern übermittelt oder nur dort erhoben und verarbeitet werden. Dann könnte über den festgelegten Mindestdatenschutzstandard hinaus in einem weiteren Papier der europäische Mehrwert für Datenübermittlungen aus dem europäischen Raum festgelegt werden. Denkbar ist auch die Aufspaltung der Unternehmensregelung in einen allgemeinen Teil mit für alle Situationen geltenden Prinzipien und einen besonderen, bereichsspezifischen Teil, der Sonderanforderungen je nach Regelungsbereich z. B. für Personal-, Finanzoder Gesundheitsdaten beinhaltet. Ein Unternehmen kann als weitere Möglichkeit mehrere Unternehmensregelungen für einzelne Datenarten, z. B. Personaldaten einerseits, Kundendaten andererseits, schaffen.

Eine Unternehmensregelung muss die inhaltlichen Anforderungen erfüllen, die sich aus der Europäischen Datenschutzrichtlinie bzw. dem jeweiligen nationalen Datenschutzrecht ergeben. Dabei wird häufig verkannt, dass wesentlicher Regelungsgegenstand weniger die Kriterien für eine zulässige Datenübermittlung in Drittländer sind, denn diese Kriterien werden durch die Europäische Datenschutzrichtlinie vorgegeben. Wichtiger ist, dass mit der Unternehmensregelung ausreichende Datenschutzgarantien für die Verarbeitung im Drittland gegeben werden. Dabei sind die Kriterien zu berücksichtigen, die die Art. 29-Datenschutzgruppe in ihrem Arbeitspapier WP 12 vom 27. Juli 1998 entwickelt hat.

Die wesentlichen Grundsätze sind

- der Grundsatz der Beschränkung der Zweckbe53 so die Codes of Conduct der DaimlerChrysler AG; vgl. 4.7 und Anlagenband „Dokumente zu Datenschutz und Informationsfreiheit 2002", S. 38 „Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Art. 25 und 26 der Datenschutzrichtlinie der EU", vgl. Anlagenband „Dokumente zum Datenschutz 1998", S. 29 ff.

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats stimmung (keine Zweckerweiterung nach Übermittlung der Daten, es sei denn, dies ist mit der Zweckbestimmung der Übermittlung nicht unvereinbar);

- der Grundsatz der Datenqualität und Verhältnismäßigkeit (die Daten müssen sachlich richtig und aktuell und dürfen im Hinblick auf die Zweckbestimmung nicht exzessiv sein);

- der Grundsatz der Transparenz (der Betroffene ist über die Zweckbestimmung der Verarbeitung und die Identität des Datenimporteurs aufzuklären);

- der Grundsatz der Sicherheit (insbesondere sind die Daten vor dem Zugriff Unbefugter zu schützen);

- das Recht auf Zugriff, Berichtigung und Widerspruch (der Betroffene muss das Recht haben, Auskunft über die ihn betreffenden Daten zu erhalten, sowie das Recht auf Berichtigung dieser Daten, wenn sie falsch sind. In bestimmten Situationen muss er Widerspruch gegen die Verarbeitung einlegen können);

- die Beschränkung der Weiterübermittlung der Daten in andere Drittländer (Übermittlungen vom ursprünglichen Bestimmungsdrittland in ein anderes Drittland sind nur zulässig, wenn das zweite Drittland ebenfalls ein angemessenes Schutzniveau aufweist).

Daneben gibt es im WP 12 weitere Grundsätze für sensible Daten, für das Direktmarketing sowie für automatisierte Einzelentscheidungen.

Neben diese materiellen Anforderungen treten die verfahrensrechtlichen Voraussetzungen. Zum einen müssen die verantwortlichen Stellen eine gute Befolgungsrate der materiellen Normen gewährleisten. Darüber hinaus ist der Betroffene im Konfliktfall bei der Durchsetzung seiner Rechte zu unterstützen. Schließlich muss bei Verstoß gegen die Bestimmungen eine angemessene Entschädigung für die geschädigte Partei gewährleistet sein.

Eine gewisse Spezifizierung der Anforderungen (die das WP 12 unabhängig davon aufstellt, ob ein Drittland insgesamt auf die Angemessenheit des Schutzniveaus oder ob eine selbstregulierende Maßnahme der Wirtschaft auf ausreichende Datenschutzgarantien überprüft wird) erfolgt durch die Entscheidung der Europäischen Kommission hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer.