Kurzbeitrag : Konzerninterner Datenaustausch in der Praxis – Ergebnisse der Online-Befragung : aus der RDV 2/2015, Seite 86 bis 89
Weltweit tätige Konzerne stehen vor der Herausforderung, den allgegenwärtigen Austausch personenbezogener Daten zwischen – international tätigen – Konzerngesellschaften zu erfassen und rechtskonform zu organisieren.
Bestehende Befragungen wie das GDD Privacy Panel[1], die KPMG-Studie zur Auftragsdatenverarbeitung[2] und die 2B Advice-Studie zur Datenschutzpraxis 2012[3] legen bereits nahe, dass speziell der internationale Datenaustausch in vielen Unternehmen eine immer größere Rolle spielt.[4] Detaillierte empirische Erkenntnisse, die Konzerne zur Gewinnung von Best Practice-Ansätzen in diesem Bereich nutzen könnten, lagen jedoch bisher nicht vor.[5]
Im Rahmen einer Masterarbeit im Studiengang Legal Management an der German Graduate School of Management and Law, Heilbronn, wurden die in diesem Themengebiet praxisrelevanten Fragestellungen identifiziert und in einen detaillierten Fragebogen mit 64 Einzelfragen[6] überführt. Im Anschluss wurde zusammen mit der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) im Oktober und November 2014 eine Online-Befragung[7] durchgeführt. Der Gegenstand der Befragung und die wesentlichen Ergebnisse[8] sollen im Folgenden kurz dargestellt werden.
I. Gegenstand der Befragung
Die Teilnehmer[9] wurden gebeten, Fragen zu folgenden praxisrelevanten Themen zu beantworten:
II. Ergebnisse
Für die Ergebnisdarstellung konnten die Antworten aus 141 Fragebögen ausgewertet werden. Davon waren 115 (d.h. 82% der Teilnehmer) Konzerne oder Unternehmensgruppen [12]unterschiedlicher struktureller Komplexität und Unternehmensgröße.[13]
1. Spektrum der Erlaubnistatbestände wird breit genutzt
81% der Konzerne tauschen Daten auf Grundlage gesetzlicher Erlaubnistatbestände aus, wie bspw. den §§ 28, 32 BDSG. Bei den vertraglichen Regelungen dominieren Verträge zur Datenverarbeitung im Auftrag. Diese werden von 78% der befragten Unternehmen konzernintern eingesetzt. Bei 31% der Konzerne bestehen mehr als 50 Verträge, bei 2% sogar über 1.000. Von Konzernen, die Beschäftigtendaten austauschen, können 72% die Übermittlungen zudem auf entsprechende Betriebsvereinbarungen stützen. Knapp mehr als die Hälfte der Unternehmen (56%) setzt zudem auf die Einwilligung des Betroffenen. Allen Bedenken hinsichtlich der Wirksamkeit im Beschäftigungsverhältnis zum Trotz legitimieren 79% dieser Konzerne mit der Einwilligung auch die Übermittlung von Mitarbeiterdaten.
2. Standardvertragsklauseln sind der „Standard“
Das im internationalen Datenverkehr am häufigsten eingesetzte Instrument sind Standardvertragsklauseln der EU,[14] die 83% der Konzerne mit Drittstaatentransfers einsetzen. Den Antworten in den offenen Fragen zufolge werden teilweise komplexe Strukturen mit Vertragsgeflechten sowohl von Controller-Controller- als auch von Controller-ProcessorVerträgen abgebildet. 48% der Konzerne vereinbaren allerdings ergänzende datenschutzrelevante Klauseln.[15] Gut die Hälfte der Konzerne (49%) versucht zudem, ein angemessenes Datenschutzniveau durch die Entwicklung eigener Vertragsklauseln sicherzustellen.
3. BCR im Aufwind
21% der Konzerne mit konzerninternem Datenaustausch mit Drittstaaten setzen bereits Binding Corporate Rules (BCR)[16] ein.[17] Die Aufsichtsbehörden verzichten offenbar weitgehend auf das Erfordernis von Einzelgenehmigungen.[18] Keiner der 16 Konzerne mit genehmigten BCR gibt an, dass Übermittlungen genehmigungspflichtig sind.
Von den 62% der Konzerne, die keine BCR einsetzen, wird das Genehmigungsverfahren überwiegend (77%) als zu aufwändig bzw. kostspielig angesehen. Bemerkenswert ist jedoch, dass sich BCR dennoch bereits bei weiteren 27% der Konzerne in Vorbereitung befinden.
4. Safe Harbor auf dem Rückzug?
Von den 73 Konzernen, die Daten mit Konzerngesellschaften in den USA austauschen, setzen 40% weiterhin auf das stark umstrittene[19] Abkommen. 51% dieser Konzerne haben allerdings Prüfungen[20] der Safe Harbor-Selbstzertifizierungen veranlasst und mit positivem Ergebnis abgeschlossen.
Die Gründe, warum Konzerne Safe Harbor nicht einsetzen, sind den Antworten in den offenen Fragen zufolge vielschichtig. Für einige Konzerne ist das Abkommen bereits aufgrund ihrer Branchenzugehörigkeit[21] nicht anwendbar, andere scheuen den Aufwand der Selbstzertifizierung. Die Anzeichen für eine Abkehr der Unternehmen vom Abkommen mehren sich. Zahlreiche Teilnehmer werten das Abkommen als untaugliche Rechtsgrundlage und setzen für den Datenaustausch mit den USA auf Instrumente wie BCR oder Standardvertragsklauseln.
5. Interne Kontrollen überwiegend vor Ort
Über zwei Drittel (69%) der Konzerne prüfen regelmäßig die technischen und organisatorischen Maßnahmen der konzernangehörigen Gesellschaften. Die interne Prüftätigkeit der Konzerne stützt sich dabei primär auf das Instrument der Vor-Ort-Kontrolle, das von 69 % der Konzerne eingesetzt wird. An zweiter Stelle steht die Auskunft per Fragebogen (56%) und an dritter Stelle die Einsichtnahme in Zertifikate (40%).[22] Der Datenschutzbeauftragte kontrolliert den Antworten in den offenen Fragen zufolge jedoch nicht immer selbst, sondern bedient sich konzerninterner Mittel, wie z.B. der Revision, oder lässt externe Dienstleister prüfen.
6. Prüfungen durch die Aufsichtsbehörde sind die Ausnahme
Erwartet zurückhaltend ist weiterhin die Aufsichtstätigkeit der Datenschutzbehörden. Weniger als ein Zehntel der befragten Konzerne (9%) ist bislang in Bezug auf den konzerninternen Datenaustausch geprüft worden. Nur 10% der Unternehmen rechnen daher in nächster Zeit (innerhalb von ein bis drei Jahren) mit einer Überprüfung.
Die Stichprobe der zehn geprüften Unternehmen lässt jedoch auf eine hohe Prüfungstiefe der Behörden schließen. Nur 30% der Unternehmen wurden ohne Beanstandungen geprüft. In mehr als der Hälfte der Fälle wurden Beanstandungen (11%) ausgesprochen oder Änderungen (44%) verlangt.
Dennoch hat nur weniger als ein Viertel (23%) der Konzerne mit Drittstaatentransfers die Instrumente zum konzerninternen Datenaustausch mit den Aufsichtsbehörden abgestimmt. Den Antworten aus den offenen Fragen zufolge bestehen bei den Konzernen teilweise Bedenken, dass die Behörden zu rigide und vor allem – für betriebliche Entscheidungsprozesse – zu langsam prüfen.
7. Interne Organisation – zentral oder dezentral?
Bei der überwiegenden Anzahl der Konzerne (66%) ist die Umsetzung der rechtlichen Anforderungen des konzerninternen Datenaustausches zentral organisiert.[23] Funktional verantworten deren Umsetzung entweder der Datenschutzbeauftragte (45%), die Fachabteilungen (27%) oder die Rechtsabteilung (23%).
Aufgrund der immensen praktischen Bedeutung der Auftragsdatenverarbeitung besteht bereits bei 89% der Konzerne ein konzernweit einheitliches Vertragsmuster.[24] Sofern dabei Unterauftragnehmer eingesetzt werden, verzichten 49% der Konzerne sogar auf eine ausdrückliche Zustimmung der konzerninternen Auftraggebergesellschaft.
III. Fazit
Den Herausforderungen des konzerninternen Datenaustausches begegnen die Konzerne mit unterschiedlichen Organisationsformen und Instrumenten. Im Sinne eines Best Practice-Ansatzes treffen die folgenden Aussagen für die Mehrzahl der Konzerne zu:
- Die Umsetzung der rechtlichen Anforderungen wird überwiegend vom (Konzern-)Datenschutzbeauftragten verantwortet. Mit steigender Größe und Anzahl der Konzerngesellschaften nehmen dezentrale Organisationsmodelle zu.
- Bei der Organisation der Datenströme wenden die meisten Konzerne ein Bündel verschiedener Instrumente bestehend aus gesetzlichen Erlaubnistatbeständen, (Konzern-)Betriebsvereinbarungen, Einwilligungen und Ver trägen zur Datenverarbeitung im Auftrag an.
- Interne Kontrollen technischer und organisatorischer Maßnahmen erfolgen überwiegend vor Ort, stützen sich jedoch ebenso auf Fragebogenverfahren und die Einsichtnahme in Zertifikate.
- 90% der Konzerne erwartet in den nächsten drei Jahren keine Prüfung durch die Aufsichtsbehörden.
- Bei den 67% der Konzerne, die Daten mit Konzerngesellschaften in Drittstaaten austauschen, bestehen bei den Instrumenten für den internationalen Datenaustausch folgende Implementierungspräferenzen:
- Die Standardvertragsklauseln der EU werden von den meisten Konzernen bevorzugt. Fast die Hälfte der Konzerne setzt zusätzlich auf eigene Vertragsgestaltungen. Bei großen und komplexen Konzernen mit zahlreichen Konzerngesellschaften zeigt sich zudem ein starker Trend zu BCR.[25]
- Der schlechte Ruf der Safe Harbor Principles hält Konzerne zunehmend davon ab, diese als Grundlage für ihre Datenströme in die USA einzusetzen. Die Verbreitung ist jedoch weiterhin hoch.
Welche Organisationsformen und Instrumente für den jeweiligen Konzern in Frage kommen, bedarf einer Beurteilung des Einzelfalls. Anhaltspunkte können – aufgeschlüsselt nach Unternehmensgröße und struktureller Komplexität der Konzerne – der detaillierten Gesamtauswertung[26] der Befragung entnommen werden.
* Der Autor ist Informatik-Betriebswirt (VWA) und als Syndikusanwalt im Datenschutz tätig.
[1] Das GDD Privacy Panel bildet eine jährlich aktualisierte BenchmarkDatenbank zu den wesentlichen Themenfeldern des Datenschutzbeauftragten, https://www.gdd.de/privacy-panel.
[2] Die KPMG-Studie (2012) beleuchtet die Umsetzung der Anforderungen an die Auftragsdatenverarbeitung infolge der Novellierung des BDSG, http://www.kpmg.de/Presse/29142.htm.
[3] 2B Advice-Studie zur „Datenschutzpraxis 2012“, 2. Auflage 2012, https://www.2b-advice.com/ws/GmbH-de/Studie-Datenschutzpraxis-2012.
[4] Vgl. GDD Privacy Panel (siehe Fn. 1) Auswertung Abschnitt „Konzernspezifische Fragen“ (Zugriff auf Auswertungen nur mit Registrierung).
[5] Das GDD Privacy Panel (siehe Fn. 1) erfasst u.a. zur Frage „Rahmenbedingungen für den Datenaustausch im Konzern“ den quantitativen Einsatz der Gestaltungsinstrumente Standardvertragsklauseln, Safe Harbor und BCR. Die 2B Advice-Studie identifiziert zwar bei den befragten Unternehmen 85% Unzufriedenheit mit den bestehenden Gesetzen zur internationalen Datenverarbeitung, geht jedoch nicht weiter ins Detail (siehe Fn. 3, S. 63).
[6] Im Fragebogen waren Filterregeln hinterlegt, so dass nicht relevante Fragen automatisch ausgeblendet wurden.
[7] Die Befragungsdaten wurden anonym erhoben bzw. bei freiwilligen personenbezogenen Angaben für die Auswertung anonymisiert.
[8] Die detaillierte Gesamtauswertung der Befragung kann auf der Website der GDD e.V. unter https://www.gdd.de/aktuelles/news/ergebnisse-der-umfrage-zu-internationalen-datenuebermittlungen abgerufen werden.
[9] 81% der Teilnehmer sind selbst als Datenschutzbeauftragte (davon 17% als Konzerndatenschutzbeauftragte), 10% als Mitarbeiter des Datenschutzbeauftragten und 9% in anderer Funktion tätig.
[10] Zu den Anforderungen der Aufsichtsbehörden vgl. Beschluss des Düsseldorfer Kreises vom 11./12.09.2013.
[11] So wird von den Aufsichtsbehörden bspw. eine Prüfung und Dokumentation der Safe Harbor-Kriterien durch das datenexportierende Unternehmen verlangt, vgl. Beschluss des Düsseldorfer Kreises vom 28./29.10.2010
[12] Aufgrund der vergleichbaren Interessenlage wurden in die Befragung auch Unternehmensgruppen einbezogen, die keine verbundenen Unternehmen i.S.d. §§ 15 ff. AktG sind. Der im Datenschutzrecht vereinfachend gebrauchte Begriff des „Konzerns“ soll im Folgenden auch für die Unternehmensgruppe gelten.
[13] Drei Viertel der Konzerne bestehen aus bis zu 50, ein weiteres Fünftel aus bis zu 100 und in der Spitze aus 500 oder mehr Konzerngesellschaften. 17% der Konzerne beschäftigen weltweit mehr als 100.000 Mitarbeiter.
[14] Bei unveränderter Übernahme sind diese genehmigungsfrei, vgl. Entscheidungen 2001/497/EG und 2004/915/EG sowie Beschluss 2010/87/EU der EU-Kommission.
[15] Insbesondere bei Beschäftigtendaten, vgl. „Abgestimmte Positionen der Aufsichtsbehörden in der AG ‚Internationaler Datenverkehr‘ am 12./13. Februar 2007 – Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006“ vom 28.03.2007, S. 1 f.
[16] Vgl. die Erläuterung der EU-Kommission unter http://ec.europa.eu/justice/data-protection/document/international-transfers/bindingcorporate-rules/index_en.htm.
[17] Mit zunehmender Unternehmensgröße steigt dieser Wert an: 31% der Konzerne mit mehr als 100.000 Mitarbeitern setzen BCR ein, bei weiteren 24% sind diese in Vorbereitung. Bei kleinen Konzernen (bis 1.000 Mitarbeiter) beträgt die Implementierungsrate 9%.
[18] Vgl. die offizielle Übersicht der EU-Kommission, “National filing requirements for authorisation of transfers on the basis of BCR”, http://ec.europa.eu/justice/data-protection/document/international-transfers/files/table_nat_admin_req_en.pdf, S. 17.
[19] So hatte u.a. das EU-Parlament bereits Anfang vergangenen Jahres die „sofortige Aussetzung“ des Abkommens gefordert, vgl. Nr. 38 der Entschließung vom 12.03.2014, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0230+0+DOC+XML+V0//DE.
[20] Vgl. Fn. 11.
[21] Unternehmen, die nicht der Regulierung von FTC oder DoT unterliegen (u.a. Finanzinstitute, Luftverkehrs- und Telekommunikationsunternehmen), sind von der Zertifizierung ausgeschlossen, vgl. http://www.export.gov/safeharbor/index.asp.
[22] Es waren Mehrfachnennungen möglich. An vierter und fünfter Stelle folgen externe Audits (36%) und andere Vorgehensweisen (26%).
[23] Bei zunehmender Konzerngröße besteht ein Trend zur Dezentralisierung. Während 92% der kleinen Unternehmen (bis 1.000 MA weltweit) zentral organisiert sind, sind 63% der großen Unternehmen (mehr als 100.000 MA weltweit) dezentral aufgestellt.
[24] 45% verwenden ein eigenes Muster, 37% setzen auf das Muster der GGD e.V. und 12% auf das des BITKOM e.V. Keinen Anklang haben überraschender Weise die Muster des Hessischen Landesdatenschutzbeauftragten und des Bayerischen Landesamts für Datenschutzaufsicht gefunden.
[25] Weitere Erleichterungen können sich diese von der Datenschutzgrundverordnung versprechen, die mit dem verpflichtenden Kohärenzverfahren gemäß Art. 57 ff. des Kommissionsentwurfs (KOM (2012) 11 endgültig) die Aufsichtsbehörden der Mitgliedsstaaten zur Zusammenarbeit verpflichtet. Es wird erwartet, dass dies zu einer stärkeren Vereinheitlichung der Rechtsanwendung durch die Aufsichtsbehörden führen wird. Vgl. dazu Filip, ZD 2013, S. 51.
[26] Die Gesamtauswertung enthält auch eine Aufschlüsselung zur Größe der Datenschutzabteilungen. Zum Bezug siehe Fn. 8.