Rechtmäßigkeit internationaler Datentransfers

ro
be
Michael Schmidl
-L
es
ep
Rechtmäßigkeit
internationaler Datentransfers
ro
be
ep
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie.
Detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
es
ISBN 978-3-8249-1481-4
-L
© by TÜV Media GmbH, TÜV Rheinland Group, 2011
Gesamtherstellung: TÜV Media GmbH, Köln
www.tuev-media.de
® TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group.
Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen.
Gesamtherstellung: TÜV Media GmbH, Köln 2011
Die Inhalte dieses Werks wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet
und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch
nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es
wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben
und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte
und Richtlinien sowie die einschlägige Rechtssprechung.
PRINCE2®, MSP®, M_o_R®, ITIL®, P3O®, P3M3™ sind eingetragene Marken des Office of Government Commerce (OGC), UK; COBIT® ist eine eingetragene Marke der Information Systems Audit and Control Association (ISACA®); Automotive SPICE®
ist eine eingetragene Marke des Verband der Automobilindustrie (VDA); MISRA® und
MISRA C® sind eingetragene Marken der MIRA Ltd.
Rechtmäßigkeit internationaler Datentransfers
Rechtmäßigkeit internationaler Datentransfers
Zum Inhalt
Einführung ........................... 2
2
2.1
Typische Konstellationen .... 5
Beispiele: Muttergesellschaft
in den USA oder in Deutschland...................................... 5
Typische Datentransfers in den
Beispielsfällen ..................... 7
es
Anwendbarkeit deutschen
Datenschutzrechts ............... 12
3.1 Sachlicher Anwendungsbereich ................................ 12
3.1.1 Handeln einer nicht öffentlichen
Stelle unter Einsatz von Datenverarbeitungsanlagen .......... 12
3.1.2 Erhebung, Verarbeitung und
Nutzung personenbezogener
Daten ................................... 15
3.1.3 Übermittlungen bei der Auftragsdatenverarbeitung? ...... 19
-L
3
-
Arbeitshilfen:
Übersicht wichtiger Adressen im Internet
Autor: Michael Schmidl
E-Mail: Michael.Schmidl
@bakermckenzie.com
3.1.4 Übermittlungen in
der Cloud? ...........................
3.2 Örtliche Anwendbarkeit des
BDSG ..................................
3.2.1 Geltung des BDSG im europäischen Kontext ................
3.2.2 Geltung des BDSG im
internationalen Kontext .......
ep
1
2.2
transfers auf den beiden für die Prüfung relevanten Stufen, insbesondere in Streitfällen, rechtmäßig gestaltet werden können.
ro
be
Dieses E-Book gibt einen Überblick über
die Voraussetzungen der Rechtmäßigkeit
internationaler Datentransfers. Anhand
typischer Szenarien werden die häufigsten
Fragen im Zusammenhang mit der Rechtmäßigkeit internationaler Datentransfers
besprochen. Die Analyse geht dabei
sowohl auf die sachliche als auch auf die
örtliche Anwendbarkeit deutschen Datenschutzrechts ein und zeigt auf dieser
Grundlage auf, wie internationale Daten-
© TÜV Media GmbH
22
25
25
32
4
Zulässigkeit der verschiedenen
Vorgänge ............................. 42
4.1 Einwilligung ........................ 42
4.2 Sonstige Rechtsvorschrift .... 49
4.2.1 Betriebsvereinbarung als
sonstige Rechtsvorschrift..... . 49
4.2.2 SOX als sonstige Rechtsvorschrift ............................. 54
4.3 Gesetzliche Erlaubnistatbestände ........................... 55
4.3.1 Prüfung auf zwei Stufen ...... 55
Seite 1
Rechtmäßigkeit internationaler Datentransfers
5
5.1
5.2
Besonderheiten beim Code
of Conduct ........................... 80
Hintergründe zu Codes of
Conduct ............................... 80
Codes of Conduct und internationale Datenübermittlung
........................... 81
-
4.3.2 Zweite Stufe ........................ 59
4.3.3 Grundsätzlich: Angemessenes
Schutzniveau ....................... 62
4.3.4 Stärkung der Rechte der Vertragsparteien durch SV II .... 67
4.4 § 4 Abs. 3 im Lichte von
§ 33 BDSG .......................... 77
Zusammenfassung ............... 90
ro
be
6
1 Einführung
Internationale Datentransfers sind aus einer zunehmend globalisierten und vernetzten Wirtschaft kaum noch wegzudenken.
Die internationale Datenübermittlung ist dabei nicht Selbstzweck, sondern notwendige Folge der Verwirklichung von aus
Sicht der beteiligten Unternehmen übergeordneten wirtschaftlichen Zielen. Die erstmalige Entfaltung oder der Ausbau vorhandener internationaler wirtschaftlicher Betätigungen ist für
viele deutsche Unternehmen eine Frage der Existenzsicherung.
Gemeinhin gilt es im Zusammenhang mit Expansionsvorhaben
eine Fülle betriebswirtschaftlicher und rechtlicher Fragen zu
klären, die unmittelbar mit der neuen Tätigkeit vor Ort zu tun
haben. Die Einholung von auf den Zielmarkt spezialisiertem
Rechtsrat ist dabei eine Selbstverständlichkeit. Im Zusammenhang mit der grenzüberschreitenden Expansion kommt es aber
zwangsläufig auch zu entsprechenden Datentransfers, die nicht
selten auch personenbezogene Daten betreffen und deren
Zulässigkeit in der Regel nach deutschem Recht zu beurteilen
ist. Die entsprechenden Fragen werden nicht immer mit der
gleichen Selbstverständlichkeit geklärt wie diejenigen, die mit
der neuen Tätigkeit im Zielland zu tun haben.
-L
es
ep
Expansion und
internationale
Datenübermittlung
Neugründung und
Akquisition
Seite 2
Grenzüberschreitende Datentransfers werden auch erforderlich,
wenn ein Unternehmen durch eine ausländische Muttergesellschaft in Deutschland neu gegründet oder ein bestehendes deut-
© TÜV Media GmbH
Rechtmäßigkeit internationaler Datentransfers
ro
be
-
sches Unternehmen nach dem Erwerb durch eine ausländische
Muttergesellschaft in einen international agierenden Konzern
eingebunden wird. Die Übermittlung von Mitarbeiterdaten
kann in diesen Fällen erforderlich sein, weil die ausländische
Muttergesellschaft bestimmte Personalsteuerungsfunktionen
innehat. Auch eine zentral bei der Muttergesellschaft betriebene
Unternehmensverwaltungssoftware kann Grund für entsprechende Übermittlungen von personenbezogenen Daten sein.
Einen weiteren wichtigen Grund für die Erforderlichkeit internationaler Datentransfers stellt die Zentralisierung der Datenverarbeitung in Konzernen dar. Vielfach wird die zentrale Datenverarbeitung, insbesondere in den Bereichen Personaldatenverwaltung und Controlling, von z. B. den USA aus betrieben. Mit der
Zentralisierung gehen signifikante Kostenvorteile, etwa für Software, Hardware und Rechenzentrumsleistungen, einher.
Grundfragen
internationaler
Datenübermittlung
Die internationale Datenübermittlung führt zu teilweise komplexen Sachverhaltskonstellationen, weil keine international
einheitlichen Grundsätze bestehen und erst recht kein einheitliches internationales Datenschutzrecht existiert. Daher divergieren die einzelnen nationalen Rechtsordnungen. Die für die
Beurteilung ihrer Rechtmäßigkeit erforderlichen rechtlichen
Überlegungen lassen sich jedoch auf zwei Grundfragen reduzieren. Diese korrespondieren mit den zwei Stufen der Überprüfung der Rechtmäßigkeit internationaler Datenübermittlungen. Auf der ersten Stufe und damit korrespondierend im Rahmen der ersten Grundfrage ist die nach §§ 4, 28 ff. Bundesdatenschutzgesetz (BDSG) zu prüfende Rechtmäßigkeit der
Datenübermittlung an sich zu betrachten. Auf der zweiten Stufe
und korrespondierend damit für die zweite Grundfrage kommt
es auf die nach §§ 4b, 4c BDSG zu beurteilende Angemessenheit des Datenschutzniveaus beim Empfänger an.
-L
es
ep
Zentralisierung der
Datenverarbeitung
Kein
Konzernprivileg
© TÜV Media GmbH
Stellen mehrere Unternehmen, die demselben Konzern angehören, jeweils eine eigenständige rechtliche Einheit dar, so gelten bei Übermittlungen zwischen diesen auch die eben genann-
Seite 3
Rechtmäßigkeit internationaler Datentransfers
Gerade im Rahmen internationaler Datentransfers im Konzern
wird häufig versucht, die Datenübermittlungen ins Ausland
über das Zwischenschalten von Scheinempfängern in datenschutzrechtlich permissiveren Staaten dem Geltungsbereich des
deutschen Datenschutzrechts zu entziehen. Der Scheinempfänger wird dabei so gewählt, dass er sich innerhalb der Europäischen Union („EU“) oder des Europäischen Wirtschaftsraums
(„EWR“) befindet, um von der in § 4b Abs. 1 BDSG angeordneten Vermutung der Angemessenheit des Datenschutzniveaus
zu profitieren. Für die anschließende Weiterübermittlung an das
eigentliche Ziel der Übermittlung soll es dann nur noch auf das
für den Scheinempfänger geltende Recht ankommen. In der
ständigen Praxis der Aufsichtsbehörden werden solche Scheinempfänger aber jedenfalls dann ignoriert, wenn sich aus den
Gesamtumständen erkennen lässt, dass der Übermittelnde von
vornherein das eigentliche Übermittlungsziel erreichen wollte.
In derlei Fällen wird die Berücksichtigung des Datenschutzni-
-L
es
Tatsächlicher
Ablauf
entscheidend
ep
ro
be
-
ten Grundsätze des Datenschutzes. Für die Verarbeitung innerhalb eines Konzerns müssen die Zulässigkeitsvoraussetzungen
einer Datenübermittlung vorliegen. Das BDSG kennt (ungeachtet dahin gehender politischer Forderungen und entsprechender
Überlegungen auf europäischer Ebene noch immer) kein „Konzernprivileg“, das den Datenaustausch zwischen konzernangehörigen, aber rechtlich selbstständigen Unternehmen erleichtern oder unter weiteren Zulässigkeitsvoraussetzungen begünstigen würde, die unterhalb dessen liegen, was für eine „normale“ Datenübermittlung erforderlich ist. Ein Unternehmen innerhalb eines Konzerns darf mithin einem anderen Konzernunternehmen nur unter Beachtung der Erlaubnistatbestände des
BDSG oder anderer Gesetze Daten übermitteln. Demgegenüber
sind rechtlich unselbständige Konzernteile grundsätzlich keine
eigenständigen verantwortlichen Stellen, so dass die Übertragung von Daten vom Hauptteil des Unternehmens zu den
jeweiligen unselbständigen Teilen keine Übermittlung, sondern
lediglich eine Nutzung im Sinne von § 3 Abs. 5 BDSG darstellt.
Seite 4
© TÜV Media GmbH
Rechtmäßigkeit internationaler Datentransfers
ro
be
-
veaus beim Endempfänger dann im Rahmen der Interessenabwägung von § 28 Abs. 1 Satz 1 Nr. 2 BDSG oder § 32 Abs. 1
S. 1 BDSG, d. h. bei der Prüfung der ersten Stufe, erfolgen. Für
diese Betrachtung wird dem Übermittelnden die „gesamte
Strecke“ bis zum Endempfänger zugerechnet. Das Gleiche gilt
auch, wenn die Übermittlung dadurch erfolgt, dass dem Endempfänger der Zugriff auf Daten ermöglicht wird, die sich bei
dem Scheinempfänger befinden. Dies kann etwa in Betracht
kommen, wenn seitens der Muttergesellschaft angeordnet wird,
alle Landesgesellschaften mögen ihre Mitarbeiterdaten an eine
Landesgesellschaft übermitteln, die diese dann in einer Datenbank für den Zugriff der Muttergesellschaft bereithalten soll.
2 Typische Konstellationen
ep
2.1 Beispiele: Muttergesellschaft in den USA oder in
Deutschland
es
Internationale Datenübermittlungen können in den verschiedensten Sachverhaltskonstellationen erforderlich werden. Ohne
damit den Versuch einer abschließenden Aufzählung zu unternehmen, treten häufig folgende Szenarien auf:
Beispielsfall 1: Die Muttergesellschaft „Sample Inc.“ mit Sitz
in den USA hat sich einer Safe-Harbor-Zertifizierung (auf die
Kritik der deutschen Aufsichtsbehörden an Safe Harbor, vgl.
Stellungnahme des Düsseldorfer Kreises vom 29./30.04.2010,
sei hingewiesen) unterzogen und gründet in Deutschland eine
Tochtergesellschaft „Sample Deutschland GmbH“, die in
Deutschland Mitarbeiter anstellt (Arbeitsverträge mit der Sample Deutschland GmbH) und mit deren Hilfe den deutschen
Markt erschließen und entsprechende Vertriebstätigkeiten entfalten soll. Auf einer zentralen Human-Resources-Datenbank
(„HR-Datenbank“) bei der Muttergesellschaft in den USA sol-
-L
Beispiel 1:
Muttergesellschaft
in den USA
© TÜV Media GmbH
Seite 5
Rechtmäßigkeit internationaler Datentransfers
len sämtliche Mitarbeiterdaten verarbeitet und genutzt werden.
Die Muttergesellschaft hat Zugriff auf die bei der Tochtergesellschaft befindlichen IT-Systeme. Auch sonstige Tochtergesellschaften der Sample Inc. haben Zugriff auf die HR-Datenbank.
-
ro
be
In den gewählten Beispielsfällen lässt sich ohne Weiteres anstelle der jeweiligen Gesellschaftsgründung durch die Muttergesellschaft auch an den Erwerb einer Beteiligung oder an die
Übernahme einer bereits existierenden Gesellschaft mit anschließender Integration in den Konzern denken.
es
Beteiligungserwerb oder
Übernahme
Beispielsfall 2: Das seit Langem in Deutschland erfolgreich im
Bereich des Spezialmaschinenbaus tätige Unternehmen „Spezialmaschinenbau GmbH“ gründet in den USA eine eigene Niederlassung „Machines Inc.“, die in den USA mit amerikanischen (Arbeitsverträge mit der Machines Inc.), aber ebenso mit
entsendeten deutschen (Arbeitsverträge mit der Spezialmaschinenbau GmbH) Arbeitnehmern den amerikanischen Markt
erschließen und entsprechende Vertriebstätigkeiten entfalten
soll. Bei der Spezialmaschinenbau GmbH wird eine zentrale
HR-Datenbank betrieben, auf der sämtliche Mitarbeiterdaten
verarbeitet und genutzt werden sollen. Die Muttergesellschaft
hat Zugriff auf die bei der Tochtergesellschaft befindlichen ITSysteme. Sonstige Tochtergesellschaften haben Zugriff auf die
HR-Datenbank.
ep
Beispiel 2:
Muttergesellschaft in
Deutschland
In den gewählten Beispielsfällen wird sich die jeweilige Muttergesellschaft umfassende Kontrollrechte bezüglich ihrer
Tochtergesellschaften sichern. Häufig geht dies über eine Kontrolle der rein betriebswirtschaftlichen Messgrößen deutlich
hinaus. Vielmehr sollen neben den vollständigen persönlichen
Daten aller Arbeitnehmer (z. B. Ausbildungs- und Qualifikationsprofil) einschließlich ihrer Kontaktdaten und etwaiger
Notfallkontakte auch alle leistungsbezogenen Daten übermittelt
werden. Nicht selten umfassen die Datenkataloge, die sich bei
der Muttergesellschaft zu einem Mitarbeiter finden lassen,
-L
Typischerweise
betroffene
Datenkategorien
Seite 6
© TÜV Media GmbH
Rechtmäßigkeit internationaler Datentransfers
-
daher auch sämtliche Inhalte der Personalakte (z. B. Abmahnungen und Beurteilungen durch den Vorgesetzten) sowie Aussagen zum Krankheitsstand des Mitarbeiters, zu seiner Teilnahme an Schulungen und zu seiner Eignung für interne Förderungsprogramme (Programme für so genannte „High Potentials“).
ro
be
2.2 Typische Datentransfers in den Beispielsfällen
Die im Beispielsfall 1 denkbaren Datentransfers lassen sich
grafisch wie in Abbildung 1 dargestellt veranschaulichen.
Muttergesellschaft
in den USA
Y Transfer der Mitarbeiterdaten
\ Sondertransfers sowie Verar-
ep
beitung und Rückübermittlung
Tochtergesellschaft
in Deutschland
Z Weiterleitung von
[ Direktaustausch von
X Abschluss von Arbeits-
Mitarbeiterdaten
Mitarbeiterdaten
verträgen und Erfassung
der Mitarbeiterdaten
es
Dritte und Töchter in
anderen Ländern
(EU/EWR und andere)
Mitarbeiter1-n
-L
Abb. 1: Datentransfers im Beispielsfall 1
Empfänger
und Zwecke
im Beispielsfall 1
© TÜV Media GmbH
Im Beispielsfall 1 werden die beschriebenen Datenkategorien
nach Erhebung (�) über die deutschen Mitarbeiter in die USA
übertragen (�) und dort in der globalen HR-Datenbank gespeichert, um es der Muttergesellschaft zu ermöglichen, die deutschen Mitarbeiter zu beurteilen und in den Gesamtkontext der
globalen Belegschaft einordnen zu können. Auch die Entscheidung über die Teilnahme an Aktienprogrammen der Muttergesellschaft fällt auf Basis der übermittelten Daten in den USA.
Seite 7
Rechtmäßigkeit internationaler Datentransfers
Die Mitarbeiter der deutschen Tochtergesellschaft, die einen bei
der Muttergesellschaft angesiedelten direkten Fachvorgesetzten
haben, sind diesem gegenüber in aller Regel berichtspflichtig.
Mit dieser direkten Berichtspflicht korrespondiert regelmäßig
auch eine entsprechende Weisungsbefugnis des direkten Fachvorgesetzten. Die auf Grundlage der entsprechenden Berichtspflichten und Weisungsbefugnisse geschaffenen rechtsträgerübergreifenden und an funktionalen Zusammenhängen ausgerichteten Strukturen werden häufig auch als Matrixstrukturen
bezeichnet. Die innerhalb von Matrixstrukturen erforderlichen
Datentransfers gehen in der Regel in den unter Ziffer � geführten Datentransfers auf, d. h., es werden Daten von Mitarbeitern
der deutschen Tochtergesellschaft an die Muttergesellschaft in
den USA übermittelt. Befindet sich der direkte Fachvorgesetzte
(bisweilen auch als „Matrix-Vorgesetzter“ bezeichnet) nicht bei
der Muttergesellschaft in den USA, sondern bei einer Tochtergesellschaft, so wäre auch eine Matrixstruktur denkbar, die zu
Datentransfers zwischen der deutschen Tochtergesellschaft und
einer anderen Tochtergesellschaft führt. Zu diesen im Schaubild
unter Ziffer � geführten Datentransfers kann es beispielsweise
kommen, wenn die Muttergesellschaft eine Landesgesellschaft
als „European Headquarter“ eingerichtet und für diese länderübergreifende Zuständigkeiten vorgesehen hat. In solchen Fällen
-L
es
ep
Matrixstrukturen im
Beispielsfall 1
ro
be
-
Für die Ressourcenplanung will die Muttergesellschaft über
stets aktuelle Profile ihrer Mitarbeiter verfügen, um diese gegebenenfalls auch über Ländergrenzen hinweg einsetzen zu können. Dies zieht die Übermittlung von Mitarbeiterdaten seitens
der Muttergesellschaft an Dritte oder Tochtergesellschaften in
anderen Ländern nach sich (�). Häufig ist bei der Muttergesellschaft auch jeweils ein direkter Fachvorgesetzter für die
jeweiligen Mitarbeiter der deutschen Tochtergesellschaft angesiedelt oder zumindest die global für alle Mitarbeiter der nationalen Tochtergesellschaften zuständige Personalabteilung.
Schließlich kann es auch zu Datentransfers zwischen den einzelnen Tochtergesellschaften (�) kommen.
Seite 8
© TÜV Media GmbH