Aufsatz : Datenübermittlung im Konzern: Übertragung von Daten aus dem E-Mail-Account eines Mitarbeiters : aus der RDV 3/2023 Seite 141 bis 147
Ein internationaler Konzern hat weltweit Niederlassungen in verschiedenen Ländern, wobei sich mehrere dieser Niederlassungen u.a. in verschiedenen EU-Mitgliedstaaten befinden. Im Zuge einer unternehmensinternen Maßnahme soll ein Mitarbeiter des Konzerns, der bei einer EU-Niederlassung beschäftigt ist, zu einem Konzernunternehmen wechseln, das seinen Sitz innerhalb der EU (Variante 1) bzw. außerhalb der EU (Variante 2) hat. Damit dieser Wechsel möglichst reibungslos vollzogen werden kann, soll ein Teil der sich in dem E-Mail-Account des Mitarbeiters befindlichen Daten von dem abgebenden an das aufnehmende Konzernunternehmen übermittelt werden, damit diese Daten in den neuen E-Mail-Account des Mitarbeiters eingepflegt werden können. Zu diesem Zweck sollen die Daten aus dem Account des Mitarbeiters extrahiert und an das aufnehmende Unternehmen übermittelt werden. Zu den zu extrahierenden Daten zählen von dem Mitarbeiter versendete E-Mails sowie unternehmensbzw. konzerninterne E-Mails und geschäftliche Nachrichten von Dritten (so insbesondere von Kunden und Geschäftspartnern). Datenschutzrechtlich ist zu fragen, ob und unter welchen Voraussetzungen die Übermittlung dieser Daten bei einem Vorliegen von Personenbezug (Art. 4 Nr. 1 DS-GVO) auf der Grundlage und am Maßstab der Vorgaben der DS-GVO zulässig ist.
I. Konzernprivileg?
Bekanntermaßen sind bereits vor der Einführung der DS-GVO in globalen Konzernstrukturen personenbezogene Daten zwischen verschiedenen Niederlassungen (auch) grenzüberschreitend transferiert worden. Gleichwohl ist im Zuge der Konzeption und Verabschiedung der DS-GVO kein Konzernprivileg statuiert worden.[1] Die Datenübermittlung an ein anderes Konzernunternehmen steht somit der Datenübermittlung an Dritte gleich, selbst wenn der Konzern wirtschaftlich als eine Einheit anzusehen sein mag. Demnach sind auch bei entsprechenden Datenverarbeitungen im Konzernverbund die Vorgaben der DS-GVO einzuhalten. Dies bedeutet insbesondere, dass es für den Datentransfer stets einer Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DS-GVO bedarf.
Zugleich hat der europäische Gesetzgeber im Gesetzgebungsverfahren das praktische Bedürfnis von konzerninternen Datenübermittlungen anerkannt. Nach ErwG 48 DS-GVO wird daher angenommen, dass ein berechtigtes Interesse von Unternehmensgruppen (Art. 4 Nr. 19 DS-GVO) an der internen Übermittlung von personenbezogenen Daten besteht. Dies gilt allerdings nur für Datenverarbeitungen zu Verwaltungszwecken. Weiterhin ist zu beachten, dass die Erwägungsgründe zwar keine rechtlich verbindlichen Vorgaben enthalten; aber anerkanntermaßen bei der Auslegung der DS-GVO heranzuziehen sind.[2] Vor diesem Hintergrund kann unter bestimmten Umständen bei einer konzerninternen Datenübermittlung von einem berechtigen Interesse des Verantwortlichen an der Datenverarbeitung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO ausgegangen werden.[3]
II. Rechtsgrundlage für die Datenübermittlung
Jede Datenverarbeitung muss auf eine Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO gestützt werden können, wobei die Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO gleichwertig nebeneinander stehen. Der Verantwortliche ist somit grundsätzlich frei in der Entscheidung, welcher Erlaubnistatbestand für die betreffenden Datenverarbeitungen herangezogen wird.[4] Vorliegend ist allerdings zu hinterfragen, ob die Übermittlung der Daten auf dieselbe Rechtsgrundlage gestützt werden kann, die zuvor auch für die Erhebung dieser Daten herangezogen wurde.
1. Ursprüngliche Rechtsgrundlage der Datenverarbeitung
Zunächst ist zu beachten, dass es im zu beurteilenden Sachverhalt bei der Mitnahme von personenbezogenen Daten aus dem E-Mail-Account um die Übermittlung von bereits erhobenen Datensätzen geht. Diese Datenerhebung wird jeweils zu einem bestimmten Zweck erfolgt und auf eine Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO gestützt worden sein. Für die Rechtmäßigkeit der Übermittlung dieser Daten ist daher darauf abzustellen, ob die Übermittlung von dem ursprünglichen Zweck der Datenverarbeitung erfasst ist. Soweit dies der Fall ist, wird (auch) die nunmehrige Datenübermittlung auf die ursprüngliche Rechtsgrundlage gestützt werden können, da die Datenverarbeitung als ein übergreifender Zyklus bestehend aus einzelnen Verarbeitungsschritten zu verstehen ist. Dieser Zyklus endet erst mit der Löschung der Daten. Alle notwendigen Zwischenschritte der Datenverarbeitung können bis zur Löschung grundsätzlich auf dieselbe Rechtsgrundlage gestützt werden.
2. Zweckänderung
Ein zentrales Element des Datenschutzrechts bildet der Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b) DS-GVO). Demnach ist die nachträgliche Änderung des Verarbeitungszwecks grundsätzlich unzulässig. Etwas anderes gilt nach Art. 6 Abs. 4 DS-GVO dann, wenn die betroffene Person in die Zweckänderung eingewilligt hat, die Zweckänderung auf einer Rechtsvorschrift eines Mitgliedstaates oder der Union beruht oder wenn der neue Zweck mit dem ursprünglichen Zweck der Datenverarbeitung „vereinbar“ ist (sog. Kompatibilitätstest). Nach zutreffender Ansicht handelt es sich bei Art. 6 Abs. 4 DS-GVO allerdings nicht um eine eigenständige Rechtsgrundlage für die Datenverarbeitung, sondern (nur) um eine Modifikation des Zweckbindungsgrundsatzes aus Art. 5 Abs. 1 lit. b) DS-GVO.[5] Dementsprechend bedarf es für die Weiterverarbeitung wiederum einer eigenständigen Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DS-GVO, selbst wenn die Voraussetzungen für eine Zweckänderung nach Art. 6 Abs. 4 DS-GVO gegeben sind.
Soweit in der vorliegenden Konstellation die Übermittlung der Daten nicht von dem ursprünglichen Verarbeitungszweck gedeckt ist, müssen die Voraussetzungen des Art. 6 Abs. 4 DS-GVO gegeben sein. Eine Einholung der Einwilligung aller betroffenen Personen dürfte aufgrund des damit verbundenen Aufwandes in caso kaum praktikabel sein. Es ist daher im Einzelfall zu untersuchen, ob der geänderte Zweck mit dem ursprünglichen Zweck „vereinbar“ ist. Als Anhaltspunkt für die Prüfung dienen die nicht abschließenden Vorgaben aus Art. 6 Abs. 4 lit. a) – e) DS-GVO und ErwG 50 DS-GVO. Für die Bewertung, ob die Zweckänderung zulässig ist, kommt es demnach unter anderem darauf an, ob eine Verbindung zwischen den Zwecken besteht, ob die betroffenen Personen mit der Weiterverwendung der Daten rechnen konnten und um welche Art von personenbezogenen Daten es sich handelt.
Zwar lässt sich für die hier in Rede stehende Konstellation nicht pauschal die Frage nach der Zulässigkeit der Zweckänderung beantworten. Vorliegend sprechen aber gewichtige Argumente für eine grundsätzliche Vereinbarkeit des ursprünglichen Zwecks mit dem neuen Zweck, jedenfalls soweit die Übermittlung der Daten ein möglichst nahtloses Weiterarbeiten des Mitarbeiters bei dem aufnehmenden Konzernunternehmen ermöglichen soll. In einem solchen Fall besteht eine starke Verbindung zwischen dem ursprünglichen und dem neuen Verarbeitungszweck. Zudem wird es sich bei den zu übermittelnden Daten grundsätzlich um Informationen handeln, die sich ausschließlich oder jedenfalls vornehmlich auf die geschäftliche Sphäre sowohl der Mitarbeiter als auch der Dritten beziehen. Vor diesem Hintergrund dürften somit regelmäßig gerade nicht besonders grundrechtssensible Daten verarbeitet werden. Darüber hinaus wird es für die Mitarbeiter des Konzerns regelmäßig erwartbar sein, dass bei einem konzerninternen Wechsel die Daten aus dem E-Mail-Account des wechselnden Mitarbeiters extrahiert und an eine andere Konzernniederlassung übermittelt werden.
3. Rechtmäßigkeit der Datenverarbeitung nach Art. 6 Abs. 1 DS-GVO
Die Übermittlung der Daten könnte zwar grundsätzlich auf die Einwilligung der betroffenen Personen gestützt werden (Art. 6 Abs. 1 UAbs. 1 lit. a) DS-GVO). Ein solches Vorgehen ist aber, wie bereits dargelegt, regelmäßig wenig praktikabel und kaum umsetzbar. Hierbei ist auch zu beachten, dass zwar die Einwilligung des wechselnden Mitarbeiters ohne erheblichen Aufwand eingeholt werden könnte. Diese Einwilligung kann aber nur solche Datenverarbeitungen rechtfertigen, die ausschließlich personenbezogene Daten des jeweiligen Mitarbeiters betreffen. Bei den Daten aus dem E-Mail-Account wird es sich aber in der Regel gerade um Informationen mit doppeltem bzw. sogar mehrfachem Personenbezug handeln, da auch und gerade Informationen über Dritte enthalten sein werden. Die Einwilligung des wechselnden Mitarbeiters alleine reicht in diesen Konstellationen nicht aus, um die Verarbeitung von personenbezogenen Daten Dritter zu rechtfertigen.
Für die vorliegende Konstellation kommt daher eine Rechtfertigung der Datenverarbeitung vor allem aufgrund einer Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO) und aufgrund des berechtigten Interesses des Verantwortlichen (Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO) in Betracht.
a) Erforderlichkeit für die Vertragserfüllung (Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO)
Eine Datenverarbeitung ist nach Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO zulässig, wenn sie zur Erfüllung eines Vertrages erforderlich ist. Erforderlich in diesem Sinne sind alle Datenverarbeitungen, die die Durchführung des gesamten Vertrages ermöglichen.[6] Hierzu zählen auch und gerade solche Verarbeitungen, die zur Abwicklung und Beendigung von Verträgen notwendig sind.[7] Vorliegend stellt die Übermittlung der Daten aus dem E-Mail-Account des Mitarbeiters einen Teil des Abwicklungsprozesses von dessen Arbeitsvertrag dar. Dabei ist aber zu beachten, dass die Daten übermittelt werden sollen, um den Beginn der Arbeit bei der neuen, aufnehmenden Niederlassung zu vereinfachen. Somit dürfte es sich im Zuge einer Gesamtbetrachtung regelmäßig gerade nicht um eine zur Beendigung des Arbeitsverhältnisses erforderliche Datenverarbeitung handeln.
Darüber hinaus ist auch an dieser Stelle hervorzuheben, dass die zu übermittelnden Daten zumeist einen doppelten bzw. mehrfachen Personenbezug aufweisen werden. In Bezug auf die in Rede stehenden personenbezogenen Daten Dritter spielt es keine Rolle, ob die Datenverarbeitung zur Beendigung des Arbeitsvertrages erforderlich ist. Vielmehr müsste die Verarbeitung der Daten gerade erforderlich für die Abwicklung bzw. Durchführung von Verträgen sein, an denen diese Dritten beteiligt sind.
b) Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO)
Gemäß Art. 6 Abs. 1 lit. f) DS-GVO ist die Datenverarbeitung zulässig, wenn sie erforderlich ist, um ein berechtigtes Interesse des Verantwortlichen oder eines Dritten zu verfolgen und die Interessen der betroffenen Person nicht überwiegen. Ob die Interessen des Verantwortlichen an der Datenverarbeitung in diesem Sinne gegenüber den Interessen der betroffenen Person überwiegen, ist durch eine dreistufige Prüfung zu ermitteln.[8]
aa) Berechtigtes Interesse
Zunächst muss ein berechtigtes Interesse des Verantwortlichen an der Datenverarbeitung bestehen. Zu den berechtigten Interessen im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO können anerkanntermaßen nicht nur rechtliche, sondern auch tatsächliche, ideelle und wirtschaftliche Interessen zählen.[9] Darüber hinaus hat der Gesetzgeber in den ErwG 47 und 48 DS-GVO konkrete Verarbeitungssituationen aufgeführt, bei denen von einem berechtigten Interesse des Verantwortlichen ausgegangen werden kann. Für den vorliegend zu beurteilenden Sachverhalt könnte die in ErwG 48 DS-GVO genannte Verarbeitungssituation einschlägig sein: Ein berechtigtes Interesse ist hiernach anzunehmen, wenn innerhalb einer Unternehmensgruppe die Datenübermittlung für interne Verwaltungszwecke erfolgen soll. Zur Verfolgung dieses Zwecks besteht nach ErwG 48 DS-GVO unter anderem auch ein berechtigtes Interesse an der Übermittlung von Kunden- und Beschäftigtendaten.
Vorliegend sollen die betreffenden personenbezogenen Daten übermittelt werden, damit der Mitarbeiter nach dem Wechsel der Niederlassung seine Arbeit für den Konzern möglichst reibungslos fortsetzen kann. Dieser Befund spricht, auch und gerade wenn die Übermittlung zu Verwaltungszwecken geschieht, für das Vorliegen eines berechtigten Interesses des Verantwortlichen bzw. der Konzernunternehmen.
bb) Erforderlichkeit
Im nächsten Schritt ist zu untersuchen, ob die konkrete Datenverarbeitung zur Wahrung dieser berechtigten Interessen erforderlich ist. Eine Datenverarbeitung ist hiernach erforderlich, wenn sie zur Wahrung der Interessen des Verantwortlichen (oder eines Dritten) geeignet ist und keine gleich effektive mildere Alternative besteht, die dem Verantwortlichen zumutbar ist.[10] In der vorliegenden Konstellation stellt den Zweck der Datenübermittlung dar, dass der Mitarbeiter mit den extrahierten E-Mails bei dem aufnehmenden Konzernunternehmen weiter arbeiten kann. Dieser Zweck könnte alternativ auch erreicht werden, indem dem Mitarbeiter ein externer Zugang zu den betreffenden E-Mails über den vormaligen E-Mail-Account auf dem Server seines vormaligen Unternehmens gewährt wird. Allerdings wird der Mitarbeiter nach dem Wechsel vielfach gerade nicht unter seiner vormaligen E-Mail-Adresse weiterarbeiten. Vor allem aber ist hier hervorzuheben, dass die Eröffnung externer Zugriffsmöglichkeiten das Risiko von unrechtmäßigen Datenabflüssen erheblich erhöht und damit die Datensicherheit beeinträchtigt zu werden droht. Ein milderes, der Datenübermittlung gleich geeignetes Mittel zur Zweckerreichung eines Weiterarbeitens mit den E-Mails auch bei dem neuen Konzernunternehmen ist vorliegend mithin nicht ersichtlich. Insgesamt wird die in Rede stehende Datenverarbeitung daher auch als erforderlich anzusehen sein.
cc) Interessenabwägung
Die Abwägung der widerstreitenden Interessen bildet den Kern des Rechtfertigungstatbestands aus Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO. Diese Interessenabwägung erfolgt in der Eigenverantwortung des Verantwortlichen.[11] Die Abwägung fällt zugunsten des Verantwortlichen aus, wenn nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Dabei hat der Verantwortliche alle Umstände des Einzelfalles zu berücksichtigen. Bei dieser Interessenabwägung kommt es auch und gerade darauf an, ob die betroffene Person mit der Datenverarbeitung rechnen konnte.[12] Hierfür spielt die Beziehung zwischen der betroffenen Person und dem Verantwortlichen eine zentrale Rolle.[13]
In der vorliegend zu bewertenden Konstellation erweist sich die Abwägung für den Verantwortlichen als besonders herausfordernd, da personenbezogene Daten von verschiedenen Personen gebündelt übermittelt werden sollen. Ob bei der Übermittlung sämtlicher Daten das Interesse der betroffenen Personen nicht gegenüber dem Interesse des Verantwortlichen bzw. der Konzernunternehmen überwiegt, lässt sich nicht pauschal bestimmen. Allerdings können jedenfalls einige belastbare Leitlinien und Orientierungspunkte aufgezeigt werden, anhand derer der Verantwortliche die Abwägung in der konkreten Situation vornehmen kann.
(1) „Kleines Konzernprivileg“?
Anhand der Wertung des ErwG 48 DS-GVO lässt sich – wie vorstehend bereits ausgeführt – ermitteln, ob ein berechtigtes Interesse an der Datenverarbeitung gegeben ist. Fraglich ist jedoch, ob die Wertung des ErwG 48 DS-GVO auch im Rahmen der Interessenabwägung im engeren Sinne zu beachten ist. Dies wird in der Literatur unterschiedlich bewertet: Zum Teil wird argumentiert, dass die Wertung des ErwG 48 DS-GVO im besonderen Maße zugunsten des Verantwortlichen zu berücksichtigten sein soll.[14] Demnach wäre eine Datenverarbeitung im Einzelfall nur dann unzulässig, wenn gewichtige Gründe dafür sprechen, dass der Schutz der personenbezogenen Daten durch die Übermittlung gefährdet wird. Eine andere Ansicht lehnt es demgegenüber ab, von einer pauschalen Zulässigkeit der Datenverarbeitung in diesen Fällen auszugehen.[15] Vielmehr solle es dabei bleiben, dass es einer sorgfältigen Abwägung der Interessen im Einzelfall bedarf.
Die erstgenannte Ansicht ist vorzugswürdig: Die Erwägungsgründe sind zwar bei der Auslegung der DS-GVO heranzuziehen. Da aber an das Tatbestandsmerkmal des berechtigten Interesses keine allzu hohen Anforderungen zu stellen sind, bedürfte es des ErwG 48 DS-GVO für die Auslegung dieses Merkmales nicht. Weiterhin bezieht sich ErwG 48 DS-GVO nur auf die Datenverarbeitung zu internen Verwaltungszwecken. Bei dieser Art von Datenverarbeitungen ist grundsätzlich von einem geringen Risiko für die Interessen und Grundrechte der betroffenen Personen auszugehen. Damit hat der Gesetzgeber einen Aspekt in ErwG 48 DS-GVO aufgenommen, der erst im Rahmen der Abwägung bei Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO relevant wird. Die Wertung des ErwG 48 DS-GVO bei der Abwägung zu berücksichtigen, entspricht überdies auch dem risikobasierten Schutzansatz der DS-GVO. Denn aufgrund des gering(er)en Risikos für die Rechte und Interessen der betroffenen Personen bei der Verarbeitung zu Verwaltungszwecken ist es zu rechtfertigen, dass die entsprechende Datenverarbeitung für die Verantwortlichen erleichtert wird. Dieses Ergebnis entspricht ferner dem in Art. 1 Abs. 3 DS-GVO niedergelegten zentralen Ziel der DS-GVO, den freien Datenverkehr in der Union nicht zu behindern.
(2) Erwartbarkeit der Datenübertragung
Bei der Abwägung der widerstreitenden Interessen ist weiterhin zu berücksichtigen, ob die Datenverarbeitung für die betroffenen Personen erwartbar ist. Insoweit kommt es insbesondere auf das Verhältnis zwischen der betroffenen Person und dem Verantwortlichen an. Vor diesem Hintergrund ist vorliegend in Ansehung des Kriteriums der Erwartbarkeit zwischen den Mitarbeitern des Konzerns und den Dritten zu differenzieren.
Die Mitarbeiter des Konzerns werden die internen Abläufe und Gepflogenheiten kennen. Ihnen wird deshalb bewusst sein, dass zwischen den Niederlassungen des Konzerns (auch) personenbezogene Daten ausgetauscht werden. Darüber hinaus ist es durchaus üblich und erwartbar, dass Mitarbeiter innerhalb des Konzerns die Niederlassung wechseln. Dass es im Zuge eines solchen Wechsels zur Übermittlung von Daten kommt, wird sodann die Regel sein. Nach alledem wird die Übermittlung der personenbezogenen Daten der Mitarbeiter des Konzerns für diese in der vorliegenden Konstellation als erwartbar einzustufen sein.
Fraglich ist, ob diese Einschätzung auch auf Dritte, sprich die Kunden und Geschäftspartner des Konzerns, zutrifft. In diesem Kontext kommt der Außendarstellung der einzelnen Niederlassungen eine gewichtige Rolle zu: Soweit es für Dritte klar erkennbar ist, dass die Niederlassung ein Teil einer Konzernstruktur ist, sprechen gewichtige Gründe für die Annahme, dass die Übermittlung der Daten auch für diese Dritten erwartbar ist. Denn Konzerne werden zumeist als wirtschaftliche Einheiten betrachtet, womit sich der Austausch von Daten innerhalb einer wirtschaftlichen Einheit aus der Sicht eines objektiven Dritten nicht als unüblich und überraschend darstellen wird.
(3) Art der personenbezogen Daten
Weiterhin ist bei der Abwägung der widerstreitenden Interessen zu berücksichtigen, welche Art von Daten verarbeitet werden sollen. Die DS-GVO differenziert grundsätzlich nur zwischen besonderen Kategorien von Daten (i.e. sensible Daten) und „normalen“ Daten. Sollen sensible Daten verarbeitet werden, müssen die erweiterten und erhöhten Anforderungen des Art. 9 DS-GVO beachtet werden. Die Verarbeitung von nicht sensiblen Daten richtet sich hingegen allein nach Art. 6 DS-GVO. Allerdings wird selbstverständlich auch bei solchen „regulären“ Daten nicht jede Datenverarbeitung im gleichen Maße grundrechtsrelevant bzw. -sensibel sein. In der vorliegenden Konstellation dürften regelmäßig keine sensiblen Daten im Sinne des Art. 9 Abs. 1 DS-GVO übermittelt werden. Die Datenverarbeitung wird sich vielmehr ganz überwiegend nur auf personenbezogene Daten von Mitarbeitern und Dritten beziehen, die der geschäftlichen Sphäre zuzuordnen sind. Zwar unterstehen auch diese Daten dem grundrechtlichen Schutzregime des Art. 8 GRCh, die Daten betreffen aber gerade die geschäftliche Sphäre. Aus solchen Daten werden sich somit nicht ohne Weiteres relevante Rückschlüsse auf das Privatleben der betroffenen Personen ziehen lassen.
dd) Zwischenergebnis
Unter Berücksichtigung der vorangegangenen Ausführungen sprechen gewichtige Argumente dafür, dass sich die in Rede stehende Übermittlung der Daten auf die Rechtsgrundlage des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stützen lässt.
III. Datenübermittlung an Drittländer
Wechselt der Mitarbeiter nicht zwischen Niederlassungen innerhalb der EU, sondern in eine Niederlassung im NichtEU-Ausland, so sind bei der Übermittlung der Daten zudem die Vorgaben der Artt. 44 ff. DS-GVO einzuhalten. Sinn und Zweck der Artt. 44 ff. DS-GVO ist es, für den Fall des Datentransfers an ein Drittland ein angemessen hohes Datenschutzniveau zu gewährleisten.[16]
1. Geeignete Garantien
Dementsprechend ist eine Datenübermittlung an ein Drittland gemäß Art. 46 Abs. 1 DS-GVO grundsätzlich nur zulässig, wenn der Verantwortliche geeignete Garantien zum Schutz der personenbezogenen Daten vorgesehen hat. Art. 46 Abs. 2 DS-GVO nennt Beispiele, wie diese Garantien ausgestaltet werden können, so etwa durch die Implementierung der von der Kommission erlassenen Standardvertragsklauseln[17] gemäß Art. 46 Abs. 2 lit. c) DS-GVO. Für die Datenübermittlung innerhalb einer Unternehmensgruppe gibt es ferner die Möglichkeit der Implementierung verbindlicher interner Datenschutzvorschriften, falls die Daten an eine Niederlassung mit Sitz in einem Drittland transferiert werden sollen, vgl. Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO.
2. Angemessenheitsbeschluss
Eine Datenübermittlung an ein Drittland kann aber auch unabhängig von den Vorgaben des Art. 46 DS-GVO zulässig sein, wenn die EU-Kommission gemäß Art. 45 Abs. 3 DS-GVO für den Datentransfer in das Empfängerland einen sog. Angemessenheitsbeschluss erlassen hat. Durch diesen Kommissionsbeschluss wird festgestellt, dass in dem Empfängerland ein angemessenes Datenschutzniveau gegeben ist. Für die Praxis bedeutet dies, dass, bevor eine Datenübermittlung in ein Drittland vorgenommen wird, zunächst zu prüfen ist, ob ein entsprechender Angemessenheitsbeschluss vorliegt. Falls dies nicht der Fall ist, müssen die Vorgaben des Art. 46 DS-GVO eingehalten werden.
IV. Datenverarbeitung durch den Datenempfänger
Einen wesentlichen Teil des vorliegend zu beurteilenden Datenübermittlungsprozesses bildet die Speicherung der personenbezogenen Daten bei dem aufnehmenden Konzernunternehmen. Hierbei handelt es sich um eigenständige rechtfertigungsbedürftige Datenverarbeitungen gemäß Art. 4 Nr. 2 DS-GVO. Das aufnehmende Konzernunternehmen muss deshalb die jeweilige Datenverarbeitung auf eine Rechtsgrundlage aus dem abschließenden Katalog des Art. 6 Abs. 1 DS-GVO stützen können. Dies gilt allerdings nur, falls die Vorschriften der DS-GVO überhaupt anwendbar sind.
1. Räumlicher Anwendungsbereich der DS-GVO
Gemäß Art. 3 Abs. 1 DS-GVO ist der räumliche Anwendungsbereich eröffnet, wenn die Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung des Verantwortlichen in der Union erfolgt. Werden die personenbezogenen Daten aus dem E-Mail-Account innerhalb der EU transferiert, so ist die DS-GVO somit stets räumlich anwendbar. Werden die betreffenden Daten hingegen in ein Drittland übermittelt, muss untersucht werden, ob die DS-GVO zur Anwendung berufen ist. Grundsätzlich endet der Geltungsbereich des Unionsrechts an den Grenzen der EU. Beim Datenschutzrecht ist ein derart starrer territorialer Anwendungsbereich allerdings nicht zielführend, denn in Ansehung der dynamischen technologischen Entwicklung kann der Ort der Datenverarbeitung vielfach weitgehend frei gewählt werden. Gemäß Art. 3 Abs. 1 DS-GVO spielt es daher keine Rolle, ob die Datenverarbeitung innerhalb oder außerhalb der EU vorgenommen wird. Allerdings hat die Union keine Legislativkompetenz, rechtsverbindliche Regelungen für Drittländer zu erlassen. Die DS-GVO sucht hier einen Ausgleich, indem der räumliche Anwendungsbereich sich nach dem Sinn und Zweck der Datenverarbeitung richtet. Dementsprechend ist die DS-GVO räumlich anwendbar, wenn gemäß Art. 3 Abs. 1 DS-GVO die Datenverarbeitung im Rahmen der Tätigkeit einer EU-Niederlassung erfolgt oder nach Art. 3 Abs. 2 DS-GVO Unionsbürgern mit der Datenverarbeitung Waren oder Dienstleistungen angeboten werden sollen bzw. das Verhalten von Unionsbürgern beobachtet werden soll (Marktortprinzip).
a) Im Rahmen der Tätigkeit
Den normativen Ausgangspunkt für die Auseinandersetzung der Eröffnung des räumlichen Anwendungsbereiches bildet Art. 3 Abs. 1 DS-GVO. Um einen wirksamen Schutz der betroffenen Personen zu gewährleisten, darf die Vorschrift anerkanntermaßen nicht zu eng ausgelegt werden.[18] Hierbei ist zu beachten, dass die DS-GVO keine ausdrücklichen Vorgaben zur Beurteilung der Frage enthält, ob die Verarbeitung „im Rahmen der Tätigkeit“ der EU-Niederlassung erfolgt.[19] Es wird daher zumeist abgestellt auf das Maß und den Umfang der Beteiligung der Niederlassung an den Aktivitäten, in deren Rahmen die personenbezogenen Daten verarbeitet werden.[20] Allerdings werden in diesem Zusammenhang – insbesondere in Ansehung von internationalen Konzernstrukturen – nicht ausschließlich juristische Kriterien zu berücksichtigen sein.[21]
b) Untrennbarkeit
Vor diesem Hintergrund geht der EDSA davon aus, dass der räumliche Anwendungsbereich der DS-GVO selbst dann eröffnet sein kann, wenn die betreffende EU-Niederlassung bei der konkreten Datenverarbeitung keine Rolle spielt, soweit die Tätigkeiten der Niederlassungen innerhalb und außerhalb der EU „untrennbar“ miteinander verbunden sind.[22] Ob eine solche „Untrennbarkeit“ der Tätigkeit der Niederlassungen gegeben ist, muss anhand der tatsächlichen Gegebenheiten im Einzelfall bestimmt werden.[23] Vorliegend bietet es sich an, zwischen den personenbezogenen Daten der Mitarbeiter und den Daten von Dritten zu differenzieren. Ob die Speicherung der Mitarbeiterdaten in den räumlichen Anwendungsbereich der DS-GVO fällt, hängt von der konzerninternen Praxis des Datentransfers ab. Daher kann an dieser Stelle keine pauschal gültige Aussage darüber getroffen werden, ob eine Untrennbarkeit zwischen den Niederlassungen des Konzerns besteht, welche die Anwendbarkeit der DS-GVO rechtfertigen würde.
c) Daten Dritter
Hinsichtlich der personenbezogenen Daten von Dritten kann die räumliche Anwendbarkeit der DS-GVO aber auch unabhängig von einer etwaigen Untrennbarkeit der Tätigkeiten der Niederlassungen gegeben sein. Anknüpfungspunkt ist hier Art. 3 Abs. 2 lit. a) DS-GVO, wonach die DS-GVO auch für Verantwortliche in Drittländern anwendbar ist, wenn die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen innerhalb der Union erfolgt. Nach dem Unionsgesetzgeber liegt in Ansehung von ErwG 23 S. 2 DS-GVO ein solches Anbieten nur dann vor, wenn der Verantwortliche „offensichtlich beabsichtigt“, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Allein die Zugänglichkeit von Angeboten des Verantwortlichen reicht daher nicht aus.[24] Für die vorliegende Konstellation hängt die Anwendbarkeit der DS-GVO bei der Speicherung der Daten von den Kunden bzw. Geschäftspartnern somit davon ab, zu welchem Zweck die betreffenden personenbezogenen Daten verarbeitet werden.
2. Rechtmäßigkeit der Datenverarbeitung
Unter der Prämisse der Anwendbarkeit der DS-GVO stellt sich sodann die Frage nach der Rechtmäßigkeit der Datenverarbeitung. Dabei lassen sich die wesentlichen Erwägungen hinsichtlich der Rechtmäßigkeit der Datenübermittlung durch den Datenübermittler auf die Rechtmäßigkeit der Speicherung dieser Daten durch den Datenempfänger übertragen. Denn es wäre widersprüchlich, zunächst die Übermittlung der Daten als zulässig anzusehen, die Speicherung dieser Daten bei dem Empfänger im Anschluss jedoch als unzulässig einzustufen. Vor diesem Hintergrund sprechen gewichtige Argumente dafür, dass im vorliegenden Fall die Speicherung der empfangenen Daten auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO gestützt werden kann. Im Rahmen der Abwägung sind dabei auch und gerade die Wertungen aus ErwG 48 DS-GVO betreffend interne Verwaltungszwecke in Konzernverbünden zu berücksichtigen.
V. Weitere risikomindernde/erforderliche Maßnahmen
Neben den Voraussetzungen für die Zulässigkeit der konkreten Datenverarbeitung enthält die DS-GVO auch allgemeine Vorgaben, die der Verantwortliche bei der Verarbeitung von personenbezogenen Daten zu beachten hat (so etwa die Informationspflichten aus Artt. 13, 14 DS-GVO oder die Implementierung von technischen und organisatorischen Maßnahmen – TOM, Art. 25 DS-GVO). Ein Verstoß gegen diese Vorschriften hat zwar nicht zwingend die Rechtswidrigkeit der Datenverarbeitung zur Folge, kann aber gleichwohl bußgeldbewehrt sein, Art. 83 DS-GVO. Darüber hinaus steht es dem Verantwortlichen offen, überobligatorische Maßnahmen zu treffen, um den Schutz der personenbezogenen Daten zu erhöhen oder das Risiko eines datenschutzrechtlichen Verstoßes zu minimieren.
1. Technische und organisatorische Maßnahmen (TOM)
Nach Art. 25 Abs. 1 DS-GVO ist der Verantwortliche verpflichtet, technische und organisatorische Maßnahmen zu treffen, um die Einhaltung der Datenschutzgrundsätze aus Art. 5 Abs. 1 DS-GVO zu gewährleisten und die betroffenen Personen zu schützen. Als eine solche Maßnahme benennt Art. 25 Abs. 1 DS-GVO die Pseudonymisierung (Art. 4 Nr. 5 DS-GVO) personenbezogener Daten. Welche Maßnahmen im Einzelfall getroffen werden müssen, kann zwar nicht pauschal festgestellt werden. Es kommt hierbei aber jedenfalls vor allem auch auf den Stand der Technik an, die Implementierungskosten und die Risiken für die betroffenen Personen. In diesem Sinne wird als technische Maßnahme zum Schutz der Daten insbesondere die Verschlüsselung der Informationen während des gesamten Datenverarbeitungsvorgangs in Betracht zu ziehen sein.
2. Transparenz
Der Verantwortliche hat bei der Verarbeitung von Daten die Transparenzvorschriften einzuhalten, so insbesondere betreffend die Informationspflichten aus Artt. 13 und 14 DS-GVO. Für die vorliegende Fallkonstellation muss der Verantwortliche bei der Erhebung von Daten sowohl der Mitarbeiter als auch von Dritten diese darüber informieren, dass die Daten an andere Niederlassungen des Konzerns übermittelt werden können (Art. 13 Abs. 1 lit. e) DS-GVO) und dass die Daten womöglich an ein Drittland übermittelt werden (Art. 13 Abs. 1 lit. f) DS-GVO). Die Einhaltung dieser Informationspflichten kommt dabei auch dem Verantwortlichen zugute, denn hieraus lassen sich Argumente ableiten, ob eine Zweckänderung im Sinne des Art. 6 Abs. 4 DS-GVO vorliegt.
3. Datenübermittlungsverträge
Der Abschluss von Datenübermittlungsverträgen mit Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c) DS-GVO, konkret in der Konstellation „Verantwortlicher-Verantwortlicher“, kann eine geeignete Garantie für die Übermittlung von personenbezogenen Daten an Drittländer darstellen. Der Abschluss von Datenübermittlungsverträgen zwischen Konzernunternehmen kann überdies auch für den konzerninternen Datentransfer vorteilhaft sein, selbst wenn die Vorgaben von Art. 46 Abs. 1 DS-GVO nicht eingehalten werden müssen. Werden in diesem Vertrag die Zwecke der Datenverarbeitung, die Speicherdauer, die Befugnisse des Datenempfängers etc. festgelegt, so kann sich diese Festlegung positiv auf die Interessenabwägung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO auswirken.[25]
4. Rechenschaftspflicht
Der Verantwortliche muss gemäß Art. 5 Abs. 2 DS-GVO die Einhaltung der Grundsätze der Datenverarbeitung nachweisen können. Hieraus wird zutreffenderweise gefolgert, dass der Verantwortliche im Rahmen des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO die Beweislast dafür trägt, dass die Interessen der betroffenen Personen nicht überwiegen.[26] Vor diesem Hintergrund ist es dem Verantwortlichen zu empfehlen, den bei Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO vorgenommenen Abwägungsprozess sorgfältig und ausführlich zu dokumentieren.
Prof. Dr. Boris P. Paal, M.Jur. (Oxford) ist Inhaber des Lehrstuhls für Bürgerliches Recht und Informationsrecht, Daten- und Medienrecht sowie Direktor des Instituts für Medien- und Datenrecht sowie Digitalisierung der Universität Leipzig, Of Counsel der Kanzlei Nikol & Goetz.
Matthias Götz, LL.M. (Cambridge) ist Rechtsanwalt und Solicitor (England & Wales). Als solcher berät er nationale und internationale Unternehmen zu sämtlichen Fragen des Datenschutzrechts. Er ist Partner der Rechtsanwaltskanzlei Nikol & Goetz.
[1] Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., 2019, § 1 Rn. 43; Schulz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl., 2022, Art. 6 Rn. 131; Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., 2019, DS-GVO, Art. 26, Rn. 2.
[2] Die DS-GVO verzichtet auf einen Konzernbegriff; Schild, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.11.2022, Art. 4 Rn. 160
[3] Hierzu ausführlich Hess, Europäisches Zivilprozessrecht, 2. Aufl., 2021, § 4 Rn. 4.58 f.
[4] Hierzu unter C.II.2.
[5] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 22.
[6] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 183; Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.11.2022, Art. 6, Rn. 98 f
[7] Schwartmann/Klein, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., 2020, DS-GVO, Art. 6 Rn. 58; Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 6 Rn. 14.
[8] Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.11.2022, Art. 6 Rn. 43; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 33.
[9] Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 6 Rn. 27; Buchner/ Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 146
[10] Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 6 Abs. 1, Rn. 98; Schwartmann/Klein, in: Schwartmann/Jaspers/ Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., 2020, Art. 6, Rn. 145; Buchner/ Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 6 Rn. 146a.
[11] Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 434; Arning, in: Moos/ Schefzig/Arning, Die neue Datenschutz-Grundverordnung, 2018, Kap. 5 Rn. 28
[12] Taeger, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, DS-GVO, Art. 6 Rn. 142; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, DS-GVO, Art. 6 Rn. 149
[13] Vgl. ErwG 47 S. 3 DS-GVO.
[14] Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.05.2022, DS-GVO, Art. 6 Rn. 72.
[15] Taeger, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 6 Rn. 137; Schöttle, in: Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl., 2019, Teil C., IV. Rn. 1
[16] V.d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, 2. Aufl., 2019, Kap. 3, Rn. 57; Laue/Kremer, Das neue Datenschutz in der betrieblichen Praxis, 2. Aufl., 2019, § 1 Rn. 46
[17] Klug, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl., 2022, Art. 44 Rn. 1.
[18] Aktuelle Version dieser Klauseln: https://eur-lex.europa.eu/legal-content/DE/ TXT/PDF/?uri=CELEX:32021D0914&from=DE.
[19] EDSA, Leitlinie 03/18, S. 8; Klar, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 3, Rn. 55; Piltz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl., 2022, Art. 3 Rn. 18.
[20] Ennöckl, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl., 2022, Art. 3 Rn. 8.
[21] Klar, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 3 Rn. 55; Schmidt, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 3 Rn. 12
[22] n diese Richtung auch Ennöckl, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl., 2022, Art. 3 Rn. 8.
[23] EDSA, Leitlinie 03/18, S. 9, in Anlehnung der Rechtsprechung des EuGH in der Rechtssache C-131/12 (Google Spain).
[24] Als Beispiel hierfür nennt der EDSA einen Marktforschungsstandort in der EU, welcher Daten erhebt, auf deren Grundlage sodann ein chinesisches Unternehmen Entscheidungen trifft, EDSA, Leitlinie 03/18, S. 9.
[25] So auch Piltz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl., 2022, Art. 3 Rn. 38.
[26] Voigt, in: v. d. Bussche/Voigt, Konzerndatenschutz, 2. Aufl., 2019, Kap. 5, B. Rn. 11.