Internationale Datenschutzstandards

Unternehmen, die nicht Teil einer Unternehmensgruppe sind, nutzen häufig Auftragnehmer im Zuge von Outsourcingaktivitäten. Sie sind dabei regelmäßig Auftraggeber im Rahmen einer Auftragsdatenverarbeitung. Aus der Perspektive des internationalen Datenschutzrechts unproblematisch sind die Fälle, in denen der Auftragnehmer seinen Sitz innerhalb der EU hat, da insoweit ein homogenes Datenschutzniveau durch die Richtlinie 95/46/EG des Europäischen Parlaments erreicht wurde.
Wenn der Dienstleister im sogenannten Drittland, also einem Land außerhalb der EU sitzt, ist zu unterscheiden: Eine Übermittlung personenbezogener Daten, etwa Kunden- oder Mitarbeiterdaten, ist dann zulässig, wenn im Drittland ein dem in der EU herrschenden Standard vergleichbarer Datenschutz gewährleistet ist. Hinsichtlich einiger Länder hat die EU-Kommission dies verbindlich festgestellt (Argentinien, Guernsey, Isle of Man, Jersey, Kanada, Schweiz und Neuseeland), so dass ein Transfer grundsätzlich unproblematisch ist.
Ansonsten ist für den Einzelfall zu untersuchen, welche der rechtlich zur Verfügung stehenden Lösungen die adäquate ist – auch aus Erwägungen der Verhältnismäßigkeit für den Auftraggeber. So ist zu entscheiden, ob für den fraglichen Fall auf sogenannte EU-Standardvertragsklauseln, individuelle Verträge, Einwilligungslösungen durch die Betroffenen, die Zertifizierung durch den EU-U.S. Privacy Shield (zukünftig gültiger Nachfolger des vom EuGH für ungültig erklärten Safe Harbor Abkommens) oder eine der weiteren Alternativen zurückzugreifen ist. Es kommt hierbei darauf an,

• welche Datenkategorien übermittelt werden, ob dies dauerhaft geschieht,
• wie die nationalen Gesetze im Empfängerland beschaffen sind,
• zu welchem Zweck die Verarbeitung vorgenommen wird
• etc.

Aber auch die aufsichtsbehördliche Praxis muss bekannt sein, um die „richtige“ Entscheidung zu treffen.

Grundsätzlich ist die Situation im Konzern zum soeben geschilderten nicht sonderlich abweichend, was den internationalen Datentransfer betrifft – jedenfalls, was die Grundregeln betrifft. Schließlich profitieren die Unternehmen eines Konzerns datenschutzrechtlich gegenüber nicht verbundenen Unternehmen nur bedingt – es gibt kein sog. Konzernprivileg. Die Herausforderungen für die beteiligten Unternehmen ergeben sich zudem aus der Komplexität der Unternehmensstruktur selbst sowie der häufig zunächst gar nicht im Detail bekannten Unternehmens-Datenflüsse. Am Anfang eines gelungenen Datentransfer-Konzepts für einen Konzern oder für sonstige verbundene Unternehmen steht daher die möglichst genaue Kenntnis des Datentransfers:

• Woher kommen die betroffenen Daten? Welche Qualität haben sie?
• Welche Unternehmen können „in das System schauen“, sind also Empfänger?
• Welche Unternehmensbereiche müssen zwingend Zugriff haben?
• Werden in allen angeschlossenen Unternehmen tatsächlich dieselben Systeme verwendet oder
• kommt es zu lokalen Spezialitäten? usw.

In einem weiteren Schritt ist dann das optimale Schutzkonzept zu finden. Neben den bereits genannten (EU-Standardvertragsklauseln, individuelle Verträge etc.) gibt es einige Instrumente, die sich gerade für Konzerne anbieten. Insoweit ist die Rede von

• Binding Corporate Rules oder
• Codes of Conduct

Je nach Unternehmensgröße, Kernbereich des unternehmerischen Handelns und auch je nach Komplexität des tatsächlichen Datentransfers sollte entschieden werden, welches Instrument oder gegebenenfalls auch welche Kombination von Lösungsansätzen gewählt werden soll. Gegebenenfalls sind Dritte in den Prozess einzubeziehen, etwa Betriebsräte oder auch Aufsichtsbehörden.