Datenschutz-Studie Konzerninterner Datenaustausch

Transkript

1 Andreas Leonhardt Datenschutz-Studie Konzerninterner Datenaustausch Ergebnisse der Umfrage in Zusammenarbeit mit der

2 Inhalt 1 Vorwort 3 2 Geleitwort 4 3 Management Summary 5 4 Ergebnisse im Einzelnen Struktur der befragten Unternehmen Konzernweiter Austausch personenbezogener Daten Drittstaatentransfers Kontrolltätigkeit der Aufsichtsbehörden Management des konzernweiten Austausches personenbezogener Daten Implementierungspräferenzen 45 5 Fazit 47 6 Kontakt 48 7 Impressum Rechtsanwalt Andreas Leonhardt

3 Seite 3 1 Vorwort Weltweit tätige Konzerne stehen vor der Herausforderung, den allgegenwärtigen Austausch personenbezogener Daten zwischen international tätigen Konzerngesellschaften zu erfassen und rechtskonform zu organisieren. Bestehende Befragungen wie das GDD Privacy Panel, 1 die KPMG-Studie zur Auftragsdatenverarbeitung 2 und die 2B Advice-Studie zur Datenschutzpraxis legen bereits nahe, dass speziell der internationale Datenaustausch in vielen Unternehmen eine immer größere Rolle spielt. 4 Detaillierte empirische Erkenntnisse, die Konzerne zur Gewinnung von Best Practice-Ansätzen in diesem Bereich nutzen könnten, lagen jedoch bisher nicht vor. 5 Im Rahmen einer Masterarbeit im Studiengang Legal Management an der German Graduate School of Management and Law, Heilbronn, wurden die in diesem Themengebiet praxisrelevanten Fragestellungen identifiziert und in einen detaillierten Fragebogen überführt. Herrn Prof. Dr. Alfred Büllesbach und Herrn Prof. Dr. Martin Schulz, die die Arbeit wissenschaftlich betreut haben, gilt mein besonderer Dank. Die Befragung wurde in Zusammenarbeit mit der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD) im Oktober und November 2014 online durchgeführt. Die Teilnehmer 6 wurden gebeten, Fragen zu folgenden praxisrelevanten Themenkomplexen zu beantworten: Umsetzung der geltenden Anforderungen 7 zum internationalen Datenaustausch Umsetzung der Anforderungen der Aufsichtsbehörden an interne Kontrollen Prüfungstätigkeit der Aufsichtsbehörden Interne Organisation zur Umsetzung der Anforderungen Bei der GDD e.v. und allen Teilnehmern bedanke ich mich für die tatkräftige Unterstützung, ohne die diese Befragung nicht möglich gewesen wäre. Die Ergebnisse halten Sie nun in Ihren Händen. Ich hoffe, dass Ihnen diese bei der Bewältigung der Herausforderungen des konzerninternen Datenaustausches nützlich sind. Andreas Leonhardt 1 Das GDD Privacy Panel bildet eine jährlich aktualisierte Benchmark-Datenbank zu den wesentlichen Themenfeldern des Datenschutzbeauftragten, 2 Die KPMG-Studie (2012) beleuchtet die Umsetzung der Anforderungen an die Auftragsdatenverarbeitung infolge der Novellierung des BDSG, 3 2B Advice-Studie zur Datenschutzpraxis 2012, 2. Auflage 2012, GmbH-de/Studie-Datenschutzpraxis Vgl. GDD Privacy Panel (siehe Fn. 1 Zugriff auf Auswertungen nur mit Registrierung). 5 Das GDD Privacy Panel (a.a.o.) erfasst u.a. zur Frage Rahmenbedingungen für den Datenaustausch im Konzern den quantitativen Einsatz der Gestaltungsinstrumente Standardvertragsklauseln, Safe Harbor und BCR. Die 2B Advice-Studie identifiziert zwar bei den befragten Unternehmen 85% Unzufriedenheit mit den bestehenden Gesetzen zur internationalen Datenverarbeitung, geht jedoch nicht weiter ins Detail (siehe Fn. 3, S. 63). 6 81% der Teilnehmer sind selbst als Datenschutzbeauftragte (davon 17% als Konzerndatenschutzbeauftragte), 10% als Mitarbeiter des Datenschutzbeauftragten und 9% in anderer Funktion tätig (siehe Abschnitt ). 7 Zu den Anforderungen der Aufsichtsbehörden vgl. Beschluss des Düsseldorfer Kreises vom 11./

4 Seite 4 2 Geleitwort Die Studie Management des konzerninternen Datenaustausches hat als Zusatzerkenntnis verdeutlicht, dass bisherige Befragungsaktionen zwar unterstrichen haben, dass der internationale Datenaustausch in vielen Unternehmen eine immer größere Rolle spielt, brauchbare Hinweise zu Best Practice-Ansätzen blieben aber weitgehend offen. So lag es nahe, auf der Grundlage der Ergebnisse der Studie eine gemeinsame Befragung mit der Gesellschaft für Datenschutz und Datensicherheit e.v. im Herbst 2014 betreffend Konzerne und Unternehmensgruppen unterschiedlicher Größe und Struktur dafür zu nutzen, hierzu aussagekräftige Ergebnisse zu bekommen. Dies ist insofern gelungen, als die Befragungsaktion Hinweise gebracht hat, die für die Mehrzahl der beteiligten Unternehmen einschlägig sind. So freut mich besonders, dass den betrieblichen Datenschutzbeauftragten so viel Vertrauen entgegengebracht und so viel Kompetenz zuerkannt wird, denn diese deutsche Einrichtung ist ein zukunftsträchtiges Vorzeigemodell, das auch von den anderen EU-Ländern viel intensiver genutzt werden sollte. Gerne nehme ich auch zur Kenntnis, dass nach den Befragungsergebnissen den während meiner aktiven Zeit in der Artikel-29- Gruppe ausgehandelten Standardvertragsklauseln der EU von den Unternehmen ein so hoher Stellenwert eingeräumt wird und auch der Trend zu den Binding Corporate Rules (BCR) in den Unternehmen zunimmt. Überraschend ist wohl, dass die Safe-Harbour -Principles trotz ihres angeschlagenen Rufes eine so hohe Verbreitung haben. Dass die Unternehmen bei der Organisation ihrer Datenflüsse im Grunde genommen alle Möglichkeiten wie z.b. Datenverarbeitung im Auftrag, Betriebsvereinbarungen wie auch Einwilligungen und selbstverständlich auch die gesetzlichen Erlaubnistatbestände nutzen, ist beruhigend und auch die Konzentration der internen Kontrollen technischer und organisatorischer Maßnahmen vor Ort ist konsequent. Nachdenklich stimmen muss allerdings der Umstand, dass 90% der befragten Unternehmen keine Prüfung durch die Aufsichtsbehörden erwarten. Es bleibt zu hoffen, dass hierunter nicht das Bewusstsein und die Anstrengungen der Unternehmen, den datenschutzrechtlichen Anforderungen gerecht zu werden, leiden. Dem Verfasser der Studie und dieser Auswertung wünsche ich das Interesse für seine gut gelungene Arbeit, die sie verdient. Dr. Joachim Jacob Bundesbeauftragter für den Datenschutz a.d.

5 Seite 5 3 Management Summary Aus den Ergebnissen der Studie ergeben sich die folgenden Kernaussagen: Spektrum der Erlaubnistatbestände wird breit genutzt 81% der Konzerne tauschen Daten auf Grundlage gesetzlicher Erlaubnistatbestände aus, wie bspw. den 28, 32 BDSG (siehe ). Bei den vertraglichen Regelungen dominieren Verträge zur Datenverarbeitung im Auftrag. Diese werden von 78% der befragten Unternehmen konzernintern eingesetzt (siehe ). Bei 31% der Konzerne bestehen mehr als 50 Verträge, bei 2% sogar über Von Konzernen, die Beschäftigtendaten austauschen, können 72% die Übermittlungen zudem auf entsprechende Betriebsvereinbarungen stützen (siehe ). Knapp mehr als die Hälfte der Unternehmen (57%) setzt zudem auf die Einwilligung des Betroffenen (siehe ). Aller Bedenken hinsichtlich der Wirksamkeit im Beschäftigungsverhältnis zum Trotz legitimieren 79% dieser Konzerne mit der Einwilligung auch die Übermittlung von Mitarbeiterdaten (siehe ). Standardvertragsklauseln sind der Standard Das im internationalen Datenverkehr am häufigsten eingesetzte Instrument sind Standardvertragsklauseln der EU, 8 die 83% der Konzerne mit Drittstaatentransfers einsetzen (siehe ). Den Antworten in den offenen Fragen zufolge werden teilweise komplexe Strukturen mit Vertragsgeflechten sowohl von Controller-Controller- als auch von Controller-Processor-Verträgen abgebildet. 48% der Konzerne vereinbaren allerdings ergänzende datenschutzrelevante Klauseln (siehe ). 9 Gut die Hälfte der Konzerne (49%) versucht zudem, ein angemessenes Datenschutzniveau durch die Entwicklung eigener Vertragsklauseln sicherzustellen (siehe 4.3.4). BCR im Aufwind 21% der Konzerne mit konzerninternem Datenaustausch mit Drittstaaten setzen bereits Binding Corporate Rules (BCR) 10 ein (siehe ). 11 Die Aufsichtsbehörden verzichten offenbar weitgehend auf das Erfordernis von Einzelgenehmigungen. 12 Keiner der 16 Konzerne mit genehmigten BCR gibt an, dass Übermittlungen genehmigungspflichtig sind (siehe ). Von den 62% der Konzerne, die keine BCR einsetzen, wird das Genehmigungsverfahren überwiegend (77%) als zu aufwändig bzw. kostspielig angesehen. Bemerkenswert ist jedoch, dass sich BCR dennoch bereits bei 8 Bei unveränderter Übernahme sind diese genehmigungsfrei, vgl. Entscheidungen 2001/497/EG und 2004/915/EG sowie Beschluss 2010/87/EU der EU-Kommission. 9 Insbesondere bei Beschäftigtendaten, vgl. Abgestimmte Positionen der Aufsichtsbehörden in der AG Internationaler Datenverkehr am 12./13. Februar 2007 Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006 vom , S. 1 f. 10 Vgl. die Erläuterung der EU-Kommission unter international-transfers/bindingcorporate-rules/index_en.htm. 11 Mit zunehmender Unternehmensgröße steigt dieser Wert an: 31% der Konzerne mit mehr als Mitarbeitern setzen BCR ein, bei weiteren 24% sind diese in Vorbereitung. Bei kleinen Konzernen (bis Mitarbeiter) beträgt die Implementierungsrate 9%. 12 Vgl. die offizielle Übersicht der EU-Kommission, National filing requirements for authorisation of transfers on the basis of BCR, S. 17.

6 Seite 6 weiteren 27% der Konzerne in Vorbereitung befinden (siehe ). Safe Harbor auf dem Rückzug? Von den 73 Konzernen, die Daten mit Konzerngesellschaften in den USA austauschen, setzen 40% weiterhin auf das stark umstrittene 13 Abkommen (siehe ). 51% dieser Konzerne haben allerdings Prüfungen der Safe Harbor-Selbstzertifizierungen veranlasst und mit positivem Ergebnis abgeschlossen ( ). Die Gründe, warum Konzerne Safe Harbor nicht einsetzen, sind den Antworten in den offenen Fragen zufolge vielschichtig. Für einige Konzerne ist das Abkommen bereits aufgrund ihrer Branchenzugehörigkeit 14 nicht anwendbar, andere scheuen den Aufwand der Selbstzertifizierung (siehe ). Die Anzeichen für eine Abkehr der Unternehmen vom Abkommen mehren sich. Zahlreiche Teilnehmer werten das Abkommen als untaugliche Rechtsgrundlage und setzen für den Datenaustausch mit den USA auf Instrumente wie BCR oder Standardvertragsklauseln. Interne Kontrollen überwiegend vor Ort Über zwei Drittel (69%) der Konzerne prüfen regelmäßig die technischen und organisatorischen Maßnahmen der konzernangehörigen Gesellschaften (siehe ). Die interne Prüftätigkeit der Konzerne stützt 13 So hatte u.a. das EU-Parlament bereits Anfang vergangenen Jahres die sofortige Aussetzung des Abkommens gefordert, vgl. Nr. 38 der Entschließung vom , eu- ropa.eu/sides/getdoc.do?pubref=- //EP//TEXT+TA+P7-TA DOC+XML+V0//DE. Die Zweifel haben inzwischen auch den EuGH erreicht. In der Rechtssache Maximilian Schrems v. Data Protection Commissioner C-362/14 verhandelt das Gericht über einen Vorlagebeschluss des irischen High Courts, der die Vereinbarkeit der Safe Harbor Principles mit Unionsrecht in Zweifel gezogen hatte. sich dabei primär auf das Instrument der Vor-Ort-Kontrolle, das von 69% der Konzerne eingesetzt wird. An zweiter Stelle steht die Auskunft per Fragebogen (56%) und an dritter Stelle Einsichtnahme in Zertifikate (40%). 15 Der Datenschutzbeauftragte kontrolliert den Antworten in den offenen Fragen zufolge jedoch nicht immer selbst, sondern bedient sich konzerninterner Mittel, wie z.b. der Revision, oder lässt externe Dienstleister prüfen (siehe ). Prüfungen durch die Aufsichtsbehörde sind die Ausnahme Erwartet zurückhaltend ist weiterhin die Aufsichtstätigkeit der Datenschutzbehörden. Weniger als ein Zehntel der befragten Konzerne (9%) ist bislang in Bezug auf den konzerninternen Datenaustausch geprüft worden (siehe ). Nur 10% der Unternehmen rechnen daher in nächster Zeit (innerhalb von ein bis drei Jahren) mit einer Überprüfung (siehe 4.4.2). Die Stichprobe der zehn geprüften Unternehmen lässt jedoch auf eine hohe Prüfungstiefe der Behörden schließen. Nur 30% der Unternehmen wurde ohne Beanstandungen geprüft. In mehr als der Hälfte der Fälle wurden Beanstandungen (11%) ausgesprochen oder Änderungen (44%) verlangt (siehe ). Der Ausgang des Verfahrens ist ungewiss. Nach dem derzeitigen Verfahrensgang werden die Schlussanträge des Generalanwalts am erwartet. 14 Unternehmen, die nicht der Regulierung von FTC oder DoT unterliegen (u.a. Finanzinstitute, Luftverkehrs- und Telekommunikationsunternehmen), sind von der Zertifizierung ausgeschlossen, vgl Es waren Mehrfachnennungen möglich. An vierter und fünfter Stelle folgen externe Audits (36%) und andere Vorgehensweisen (26%), siehe Rechtsanwalt Andreas Leonhardt

7 Seite 7 Dennoch hat nur weniger als ein Viertel (23%) der Konzerne mit Drittstaatentransfers die Instrumente zum konzerninternen Datenaustausch mit den Aufsichtsbehörden abgestimmt (siehe ) Den Antworten aus den offenen Fragen zufolge bestehen bei den Konzernen teilweise Bedenken, dass die Behörden zu rigide und vor allem für betriebliche Entscheidungsprozesse zu langsam prüfen (siehe ) Interne Organisation zentral oder dezentral? Bei der überwiegenden Anzahl der Konzerne (66%) ist die Umsetzung der rechtlichen Anforderungen des konzerninternen Datenaustausches zentral organisiert. 16 Funktional verantworten deren Umsetzung entweder der Datenschutzbeauftragte (45%), die Fachabteilungen (27%) oder die Rechtsabteilung (23%, siehe ). Aufgrund der immensen praktischen Bedeutung der Auftragsdatenverarbeitung besteht bereits bei 89% der Konzerne ein konzernweit einheitliches Vertragsmuster. 17 Sofern dabei Unterauftragnehmer eingesetzt werden, verzichten 49% der Konzerne sogar auf eine ausdrückliche Zustimmung der konzerninternen Auftraggebergesellschaft (siehe ). 16 Bei zunehmender Konzerngröße besteht ein Trend zur Dezentralisierung. Während 92% der kleinen Unternehmen (bis MA weltweit) zentral organisiert sind, sind 63% der großen Unternehmen (mehr als MA weltweit) dezentral aufgestellt, siehe % verwenden ein eigenes Muster, 37% setzen auf das Muster der GGD e.v. und 12% auf das des BITKOM e.v. Keinen Anklang haben die Muster des Hessischen Landesdatenschutzbeauftragten und des Bayerischen Landesamts für Datenschutzaufsicht gefunden, siehe und

8 Seite 8 4 Ergebnisse im Einzelnen Für die Ergebnisdarstellung konnten die Antworten aus 141 Fragebögen ausgewertet werden. Im Fragebogen waren Filterregeln hinterlegt, so dass nicht relevante Fragen automatisch ausgeblendet wurden. Angaben zu einzelnen Fragestellungen waren nicht verpflichtend und konnten übersprungen werden. 18 Zur Orientierung ist die Gesamtzahl der Antworten zur entsprechenden Frage bei der jeweiligen Abbildung vermerkt (n=anzahl der Antworten). Soweit Mehrfachnennungen zugelassen waren, ist dies gesondert vermerkt. 4.1 Struktur der befragten Unternehmen Ist Ihr Unternehmen ein Konzern/eine Unternehmensgruppe? 82% der beantworteten Fragebögen (d.h. 115 der Teilnehmer) sind Konzernen oder Unternehmensgruppen 19 unterschiedlicher struktureller Komplexität und Unternehmensgröße zuzuordnen. Abbildung 1: Unternehmensgruppeneigenschaft Auf welchen Kontinenten ist Ihr Unternehmen vertreten? Die Antworten zeichnen einen starken Grad der Internationalisierung. Haupttätigkeitsschwerpunkt der Unternehmen ist zwar Europa, es folgen jedoch Asien und Nord-Amerika (davon 96% in den USA, siehe nachfolgende Frage 4.1.3), in denen zwei Drittel der Unternehmen vertreten sind. Geringere Bedeutung haben die Kontinente der Südhalbkugel. Weniger als die Hälfte der Unternehmen ist in Afrika und Australien vertreten. 20 Abbildung 2: Internationale Vertretung (Mehrfachnennungen möglich) 18 Die Anzahl der Antworten ist daher je nach Fragestellung unterschiedlich. Sofern nicht in den Abbildungen gesondert angegeben, handelt es sich bei den dargestellten Werten um relative Werte (%), bei denen nicht beantwortete Fragen nicht gewertet wurden. 19 Aufgrund der vergleichbaren Interessenlage wurden in die Befragung auch Unternehmensgruppen einbezogen, die keine verbundenen Unternehmen i.s.d. 15 ff. AktG sind. Der im Datenschutzrecht vereinfachend gebrauchte Begriff des Konzerns soll im Folgenden auch für die Unternehmensgruppe gelten. 20 Die Staaten dieser Kontinente sind weniger stark in den Welthandel eingebunden, vgl. WTO World Trade Report 2012, S. 24ff., vgl.

9 Seite Ist Ihr Unternehmen auch in den USA tätig? Die Tätigkeit in Nord-Amerika schließt für 96% der Unternehmen die Tätigkeit in den USA mit ein. Mit den so genannten Safe Harbor Principles 21 bestehen Sonderregeln für die Übermittlung personenbezogener Daten von Unternehmen innerhalb der EU an Stellen in den USA (vgl. dazu die Antworten in Abschnitt 4.3.3). Abbildung 3: Tätigkeit in den USA In welchem Staat ist die Muttergesellschaft Ihres Konzerns/Ihrer Unternehmensgruppe ansässig? Die Muttergesellschaft von fast zwei Dritteln der Konzerne ist in der BRD ansässig. Bereits an zweiter Stelle stehen die USA (20 Unternehmen), gefolgt von Drittländern mit angemessenem Schutzniveau. 22 Geringere Bedeutung haben noch sonstige Drittländer (z.b. Japan, China, Indien etc.). Abbildung 4: Sitz der Muttergesellschaft Hat Ihr Unternehmen einen Konzern-/Gesamtbetriebsrat? In 66 Konzernen besteht darüber hinaus ein Konzern- oder Gesamtbetriebsrat ( 47ff. BetrVG), dessen Mitwirkungsrechte beim Umgang mit Beschäftigtendaten innerhalb des Konzerns zu berücksichtigen sind (im deutschen Recht ist der Abschluss entsprechender Betriebsvereinbarungen üblich, vgl. dazu die Antworten in Abschnitt 4.2.2). Abbildung 5: Konzern- oder Gesamtbetriebsrat 21 Vgl. Entscheidung der EU-Kommission 2000/520/EG unter 22 Die Auswahlmöglichkeit EU-Land wurde im Fragenbogen nicht zur Verfügung gestellt. Den Rückmeldungen in den Anmerkungen zufolge wurde die Frage von drei betroffenen Unternehmen daher nicht beantwortet.

10 Seite Tauschen Ihre Unternehmen personenbezogene Daten mit konzern-/gruppenangehörigen Unternehmen in Drittstaaten aus? 77 Konzerne (67%) tauschen personenbezogene Daten mit konzernangehörigen Unternehmen in so genannten Drittstaaten (Nicht-EU-Ländern) aus. Für diese Datentransfers gelten besondere Anforderungen. 23 Die Antworten zu den mit dieser Thematik verknüpften Fragestellungen sind im Abschnitt Drittstaatentransfers aufbereitet (vgl. Abschnitt 4.3). Abbildung 6: Datenaustausch mit Drittstaaten Wie viele Mitarbeiter beschäftigt Ihr Unternehmen weltweit? Bei der Betrachtung der Unternehmensgröße haben 112 der 115 Konzerne Angaben zur Anzahl der von ihnen weltweit beschäftigten Mitarbeiter gemacht. Bei der Auswertung fällt auf, dass auch bei kleineren Unternehmen (mit bis zu Mitarbeitern) Konzernstrukturen nicht unüblich sind, so dass es zu einer ausgewogenen Verteilung der Teilnehmerunternehmen in der Befragung kommt. Bemerkenswert ist, dass unter den teilnehmenden Unternehmen auch 19 Großunternehmen mit mehr als Mitarbeitern vertreten sind. Abbildung 7: Anzahl Mitarbeiter weltweit Wie viele Mitarbeiter beschäftigt Ihr Unternehmen davon in Deutschland? Richtet sich der Blick ausschließlich auf Deutschland, ergibt sich ein differenzierteres Bild. Von den 115 relevanten Konzernen haben 113 Angaben zur Anzahl der in Deutschland beschäftigten MA gemacht. Mehr als Mitarbeiter beschäftigen nur zwei Unternehmen. Ein großer Teil (45%) der teilnehmenden Konzerne beschäftigt in Deutschland weniger als MA. Abbildung 8: Anzahl Mitarbeiter in Deutschland 23 Vgl. dazu u.a. den Beschluss des Düsseldorfer Kreises vom 11./ , Fn Rechtsanwalt Andreas Leonhardt

11 Seite Sie haben angegeben, dass Ihr Unternehmen ein Konzern/eine Unternehmensgruppe ist. Aus wie vielen rechtlich selbständigen Unternehmen (verantwortlichen Stellen i.s.d. BDSG) besteht Ihr Konzern/Ihre Unternehmensgruppe? Ein weiteres Kriterium zur Beschreibung der Unternehmensgröße ist die Anzahl der Konzerngesellschaften (GES). Von den relevanten 115 Konzernen haben dazu 96 Angaben gemacht (vgl. Abbildung 9). Rund drei bis 500 GES; 5; 5% Viertel der teilnehmenden Konzerne bestehen danach aus 50 oder weniger GES. Im verbleibenden Viertel zählen 10% der Konzerne sogar mehr als 100 bis teilweise über GES. bis 1000 oder mehr GES; 4; 4% bis 100 GES; 18; 19% bis 10 GES; 43; 45% bis 50 GES; 26; 27% Abbildung 9: Anzahl (Konzern-) Gesellschaften (GES) Sie haben angegeben, dass Ihre Muttergesellschaft in Deutschland ansässig ist. Welche Behörde ist für die Datenschutzaufsicht zuständig? Für über 65% der teilnehmenden Unternehmen ist eine Aufsichtsbehörde aus den wirtschaftsstarken Bundesländern Nordrhein- Westfalen, Baden-Württemberg und Bayern zuständig. Die datenschutzrechtliche Aufsicht für den nicht-öffentlichen Bereich ist föderal organisiert. Zuständig ist die Landesbehörde in dem das Unternehmen seinen Sitz hat. 24 In den meisten Ländern ist dies der Landesdatenschutzbeauftragte Die Bundesländer bestimmen die zuständige Landesaufsichtsbehörde, vgl. 38 Abs. 6 BDSG. Sonderzuständigkeiten beim Bundesbeauftragten für den Datenschutz (Bund) bestehen im nicht-öffentlichen Bereich u.a. für Telekommunikations- und Postunternehmen oder privaten Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen, vgl Eine Ausnahme besteht u.a. in Bayern mit dem Landesamt für Datenschutzaufsicht (LDA). Eine Übersicht der zuständigen Behörden kann auf der Internetseite der Bundesbeauftragten für den Datenschutz abgerufen werden:

12 Seite 12 Abbildung 10: Zuständige Datenschutzaufsichtsbehörde Bei Konzernen mit mehreren verantwortlichen Stellen in verschiedenen Bundesländern können daher mehrere Aufsichtsbehörden zuständig sein. Da die Behörden unabhängig sind, besteht daher grundsätzlich die Möglichkeit, dass sie Sachverhalte des konzerninternen Datenaustausches unterschiedlich beurteilen. 26 Der Entwurf der EU- Kommission zur Datenschutzgrundverordnung sieht eine stärkere Vereinheitlichung und Koordinierung der Tätigkeit der Aufsichtsbehörden vor In welcher Funktion sind Sie in Ihrem Unternehmen tätig? 91% der Fragbogenbearbeiter sind selbst Datenschutzbeauftragte (88 Teilnehmer) oder sogar Konzerndatenschutzbeauftragte (24 Teilnehmer), d.h. für die Koordinierung des Datenschutzes in mehr als einer Konzerngesellschaft verantwortlich, bzw. Mitarbeiter des Datenschutzbeauftragten (14 Teilnehmer). Abbildung 11: Funktion der Teilnehmer Werden nur Antworten der Teilnehmer berücksichtigt, deren Unternehmen konzernangehörig sind, steigt die Bedeutung der Konzernbeauftragten im Verhältnis noch an. Von den 115 relevanten Konzernen haben 113 Angaben zur Funktion des Fragebogenbearbeiters gemacht (vgl. Abbildung 12). 21% der Bearbeiter sind als Konzernbeauftragte tätig. 26 Wenngleich die Behörden bemüht sind, wichtige Entscheidungen für die Privatwirtschaft im so genannten Düsseldorfer Kreis zu koordinieren, vgl So genanntes One-Stop-Shop -Verfahren gemäß Art. 51 DS-GVO (E). Danach ist nur noch eine Aufsichtsbehörde für Unternehmen mit mehreren rechtlich unselbständigen Niederlassungen in unterschiedlichen Mitgliedsstaaten zuständig. Im Gesetzgebungsverfahren wird eine Ausweitung auf selbständige Niederlassungen erörtert Rechtsanwalt Andreas Leonhardt

13 Seite 13 Andere Funktion; 8; 7% Mitarbeiter des DSB; 13; 12% Konzernbeauftragter; 24; 21% Datenschutzbeauftragter; 68; 60% Abbildung 12: Funktion des Fragebogenbearbeiters (Konzerne) Dieses Ergebnis repräsentiert den hohen Anteil von Datenschutzbeauftragten unter den Mitgliedern der GDD. Aufgrund des hohen Anteils fachkundiger Fragebogenbearbeiter kann allerdings auch eine erhöhte Validität der Antworten der weiteren Fragebogenabschnitte zu Grunde gelegt werden Sie haben angegeben, dass Sie in anderer Funktion tätig sind. Welche ist dies? Kategorie Die Teilnehmer, die eine andere Funktion ausüben, hatten darüber hinaus die Möglichkeit, in einem Freitextfeld die Bezeichnung ihre Funktion anzugeben (vgl. nach Kategorien gegliedert in Tabelle 1): Stellungnahme Teilnehmer Leitung der verantwortlichen Stelle Andere Bereiche - Vorstand - Geschäftsführung (zwei Nennungen) - Personalleitung - Interne Revision (zwei Nennungen) - Vertrieb und DSB in Teilzeit - Controller und Finanzchef - Qualitätsmanagement (zwei Nennungen) - Rechtsabteilung Tabelle 1: Andere Funktionen der Teilnehmer (Antworten teilweise gekürzt) Die hohe Quote sachkundiger Teilnehmer setzt sich auch bei denjenigen Teilnehmern fort, die nicht selbst Datenschutzbeauftragte oder Mitarbeiter des Datenschutzbeauftragten sind. Von den zwölf Teilnehmern, die bei ihrer Funktion das Feld Andere ausgewählt haben, sind drei in der Leitung der verantwortlichen Stelle und die übrigen Teilnehmer überwiegend aus Fachabteilun-

14 Seite 14 gen mit Querschnitts- oder Kontrollfunktionen wie der Rechtsabteilung oder Controlling, Qualitätsmanagement oder Revision tätig. 4.2 Konzernweiter Austausch personenbezogener Daten Austausch auf Grundlage von gesetzlichen Erlaubnistatbeständen Da es für den Austausch personenbezogener Daten zwischen konzernangehörigen Unternehmen keinen speziellen Erlaubnistatbestand (fehlendes Konzernprivileg 28 ) gibt, bedürfen Übermittlungen einer Rechtfertigung nach den gesetzlichen Erlaubnistatbeständen, wie sie auch für Datenübermittlungen zwischen fremden Unternehmen gelten Tauschen Ihre Unternehmen personenbezogene Daten zwischen konzern-/ gruppenangehörigen Unternehmen auf Grundlage von gesetzlichen Erlaubnistatbeständen aus (bspw. 28, 32 BDSG)? 81% der Konzerne stützen den konzerninternen Austausch personenbezogener Daten auf gesetzliche Erlaubnistatbestände. Abbildung 13: Datenaustausch auf Basis gesetzlicher Erlaubnistatbestände Sie haben angegeben, dass Ihr Unternehmen personenbezogene Daten zwischen konzern-/ gruppenangehörigen Unternehmen auf Grundlage von gesetzlichen Erlaubnistatbeständen austauscht. Auf welchen Rechtsgrundlagen erfolgt der Austausch? Im Vordergrund (88%) stehen Erlaubnistatbestände, die das Erheben, Verarbeiten und Nutzen personenbezogener Daten zur Vertragsdurchführung gestatten. Ein nicht geringer Teil der Konzerne (74%) stützt sich auch auf eine Interessenabwägung zwischen den berechtigten Interessen des Unternehmens und den schutzwürdigen Interessen der Betroffenen. Abbildung 14: Rechtsgrundlagen für den Datenaustausch (Mehrfachnennungen möglich) 28 Vgl. Gola/Schomerus, BDSG, 27 Rdnr Rechtsanwalt Andreas Leonhardt

15 Seite Sie haben angegeben, dass Ihr Unternehmen personenbezogene Daten zwischen konzern-/ gruppenangehörigen Unternehmen auch auf Grundlage von anderen gesetzlichen Erlaubnistatbeständen austauscht. Welche Rechtsgrundlagen sind dies? Die Konzerne, die weitere Rechtsgrundlagen heranziehen, hatten die Möglichkeit, diese in Kategorie einem Freitextfeld zu benennen (vgl. kategorisierte Darstellung in Tabelle 2): Stellungnahme Teilnehmer 28 Abs. 1 S. 1 Nr. 3 BDSG - Daten sind öffentlich zugänglich 4a BDSG - Einwilligung des Betroffenen (drei Nennungen) Betriebsvereinbarungen Regulatorische Anforderungen - Konzernbetriebsvereinbarungen - lokale Betriebsvereinbarungen - Compliance-Vorgaben - Europäische und internationale regulatorische Verpflichtungen Tabelle 2: Andere Erlaubnistatbestände (Zuordnung zu Rechtsnormen: Autor. Antworten teilweise gekürzt) Die Antworten greifen teilweise bereits den nachfolgenden Fragen (Einsatz von Betriebsvereinbarungen, Abschnitt 4.2.2, und Einsatz der Einwilligung, Abschnitt 4.2.3) vor. Deutlich wird auch, dass europäische und internationale regulatorische Verpflichtungen und Compliance-Vorgaben in der Praxis zahlreiche konzerninterne Datenübermittlungen erfordern können (z.b. im Rahmen der Geldwäscheprävention), wenngleich eine genaue Zuordnung zu einzelnen Rechtsgrundlagen aufgrund der Knappheit der Antworten nicht möglich ist Welche Personengruppen sind betroffen? Betroffen vom konzerninternen Datenaustausch auf Grundlage gesetzlicher Erlaubnistatbestände sind in erster Linie Beschäftigte (91%) gefolgt von Kunden (70%), Lieferanten (54%) und anderen (8%). Abbildung 15: Betroffene Personengruppen (Mehrfachnennungen waren möglich) Die häufige Nennung von Beschäftigten mag zunächst verwundern, ist der Beschäftigte doch zunächst in seiner Arbeitgeberkonzerngesellschaft beschäftigt und dort zur Erbringung seiner Arbeitsleistung verpflichtet. In der Konzernrealität ist es gleichwohl so,

16 Seite 16 dass häufig funktionale Aufgabenzuweisungen, z.b. für Personalangelegenheiten, an so genannten Service-Gesellschaften anzutreffen sind, die neben weit verbreiteten so genannten Matrixstrukturen mit konzerngesellschaftsübergreifenden Berichtslinien einen konzerninternen Austausch von Beschäftigtendaten notwendig machen Einsatz von Betriebsvereinbarungen Sie haben angegeben, dass Sie Beschäftigtendaten konzern-/gruppenintern auf Grundlage von gesetzlichen Erlaubnistatbeständen übermitteln. Haben Sie dazu Betriebsvereinbarungen im Sinne des BetrVG geschlossen? Der überwiegende Teil der Unternehmen (72%), die Beschäftigtendaten konzernintern übermitteln, haben entsprechende Betriebsvereinbarungen abgeschlossen (vgl. dazu auch bereits die Antworten in Abschnitt ). Unternehmen ohne Betriebsrat (9%) steht diese Möglichkeit nicht offen. Abbildung 16: Bestehen von Betriebsvereinbarungen Sie haben angegeben, dass Ihr Unternehmen zum Austausch von Beschäftigtendaten Betriebsvereinbarungen geschlossen hat. Umfassen diese auch Regelungen zur Übermittlung in Drittstaaten i.s.d. BDSG? Zu einem großen Teil (64%) sofern relevant umfassen die Betriebsvereinbarungen auch Regelungen zur Übermittlung von Beschäftigtendaten in Drittstaaten. Abbildung 17: Drittstaatenrelevanz von Betriebsvereinbarungen Aufgrund der großen Anzahl von 38% der Konzerne, deren Muttergesellschaft ihren Sitz in einem Drittland hat (vgl ), dürfte für viele Unternehmen das Verhan- deln entsprechender Drittstaatenregelungen zu einem wichtigen Bestandteil des konzerninternen Datenschutzmanagements gehören Teilweise werden Betriebsvereinbarungen für Übermittlungen in Drittstaaten als nicht wirksam abgelehnt, vgl. Forst in Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl., München 2014, 17 Rdnr Rechtsanwalt Andreas Leonhardt

17 Seite Sie haben angegeben, dass Ihr Unternehmen zum Austausch von Beschäftigtendaten keine Betriebsvereinbarungen verwendet. Welche Gründe bestehen dafür? Bei den Konzernen, die keine Betriebsvereinbarungen einsetzen, stehen andere Regelungsinstrumente im Vordergrund (60%) o- der bestehen andere Gründe gegen einen Einsatz (40%). Keine Rolle spielt eine evtl. Verweigerung einer Einigung durch den Betriebsrat. Abbildung 18: Gründe für die Nichtanwendung von Betriebsvereinbarungen Wird die Verbindlichkeit von Betriebsvereinbarungen durch eine Unterwerfungsklausel" des konzern-/gruppenangehörigen Unternehmens im Drittland sichergestellt? Wenn Betriebsvereinbarungen drittlandbezogene Regelungen enthalten, sieht knapp die Hälfte dieser von den befragten Konzernen getroffenen Vereinbarungen eine Unterwerfungserklärung des Konzernunternehmens im Drittland vor, die die Verbindlichkeit der Betriebsvereinbarung zugunsten der betroffenen Beschäftigten sicherstellt. 30 Abbildung 19: Verwendung von Unterwerfungsklauseln Einsatz der Einwilligung Tauscht Ihr Unternehmen personenbezogene Daten zwischen konzern-/ gruppenangehörigen Unternehmen auf Grundlage der Einwilligung des Betroffenen aus? 57% der Konzerne stützen den Austausch personenbezogener Daten auf die Einwilligung des Betroffenen. Abbildung 20: Datenaustausch auf Grundlage der Einwilligung 30 So auch der Düsseldorfer Kreis, Abgestimmte Positionen der Aufsichtsbehörden in der AG Internationaler Datenverkehr am 12./13. Februar 2007 Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006, vom , nen/entschliessungssammlung/duesseldorfer- Kreis/April07IntDatenverkehr.html.

18 Seite Sie haben angegeben, dass Ihr Unternehmen personenbezogene Daten zwischen konzern-/ gruppenangehörigen Unternehmen auf Grundlage der Einwilligung des Betroffenen austauscht. Welche Personengruppen sind betroffen? Zum überwiegenden Teil (79%) willigen Beschäftigte der jeweiligen Unternehmen in Datenübermittlungen an andere konzernangehörige Unternehmen ein. Bei zwei Dritteln (67%) der Unternehmen betreffen Einwilligungen Kunden und ein weiteres Drittel Lieferanten. Abbildung 21: Betroffene Personengruppen (Mehrfachnennungen waren möglich) Hinsichtlich der breiten Anwendung der Einwilligung bei Beschäftigtendaten verwundert dieser Befund, da die Einwilligung im Beschäftigungsverhältnis auf breiter Front kritisiert 31 und häufig als unpraktikabel eingestuft wird. Für welche Übermittlungen im Einzelfall die Unternehmen die Einwilligung einsetzen, wurde im Rahmen der Befragung allerdings nicht erhoben, so dass der genaue Einsatzzweck für eine differenzierte Beurteilung noch näher zu beleuchten wäre Einsatz von Verträgen zur Datenverarbeitung im Auftrag Setzt Ihr Unternehmen für den Austausch personenbezogener Daten zwischen konzern-/ gruppenangehörigen Unternehmen Verträge zur Datenverarbeitung im Auftrag ein? Der Einsatz von Verträgen zur Datenverarbeitung im Auftrag für den konzerninternen Datenaustausch ist sehr verbreitet. Diese werden von 78% der Unternehmen eingesetzt. Abbildung 22: Einsatz von Verträgen zur Datenverarbeitung im Auftrag Sie haben angegeben, dass Ihr Unternehmen für den Austausch personenbezogener Daten zwischen konzern-/gruppenangehörigen Unternehmen Verträge zur Datenverarbeitung im Auftrag einsetzt. Wie viele Verträge bestehen? Überwiegend (47%) bestehen bis zu zehn Verträge. Bei 22 % der Konzerne bestehen bis zu 50, bei weiteren 17% bis zu hundert 31 Vgl. Nachweise bei Simitis/Simitis, BDSG, 4a Rdnr Rechtsanwalt Andreas Leonhardt

19 Seite 19 Verträge. Jeweils 5 Unternehmen (6%) setzen bis zu 500 bzw und zwei Konzerne (2%) in der Spitze mehr als Verträge ein. Abbildung 23: Anzahl Verträge zur Datenverarbeitung im Auftrag Für welche Auftragsgegenstände setzen Sie für den Austausch personenbezogener Daten zwischen konzern-/gruppenangehörigen Unternehmen Verträge zur Datenverarbeitung im Auftrag ein? Entsprechend vielfältig sind die Einsatzgebiete der Auftragsdatenverarbeitung. 97% der Konzerne verwenden diese für IT-Services. Es folgen Aufgaben der Personalverwaltung (73%), des Rechnungswesens (65%) und des Recruitings und der Personalentwicklung (56%). Abbildung 24: Auftragsgegenstände der Datenverarbeitung im Auftrag Der Einsatz von Verträgen zur Datenverarbeitung im Auftrag setzt immer voraus, dass der Auftragsgegenstand in zulässiger Weise als Auftragsdatenverarbeitung im Sinne des 11 BDSG gestaltet werden kann. 32 Üblicherweise erfolgt eine Abgrenzung zur so genannten Funktionsübertragung, 33 die im Zusammenhang mit den oben genannten gesetzlichen Erlaubnistatbeständen zu sehen ist (vgl. Abschnitt ). Den Antworten in den allgemeinen Anmerkungen zur Umfrage zufolge werden von den Unternehmen je nach Konstellation Leistungen entweder als Auftragsdatenverarbeitung oder als Funktionsübertragung (Übermittlung) gestaltet. 32 Anhaltspunkte dazu gibt die Broschüre des Landesamts für Datenschutzaufsicht Bayern, Auftragsdatenverarbeitung nach 11 BDSG, Stand Januar 2014, S. 2f Vgl. dazu das Merkblatt des Landesbeauftragten für den Datenschutz Baden-Württemberg, Auftragsdatenverarbeitung und Funktionsübertragung, Stand , S. 3 ff., Funktions%C3%BCbertragung.pdf.

20 Seite Sie haben angegeben, dass Ihre Unternehmen für den Austausch personenbezogener Daten zwischen konzern-/gruppenangehörigen Unternehmen Verträge zur Datenverarbeitung im Auftrag für weitere Auftragsgegenstände einsetzen. Welche sind diese? Kategorie Die Teilnehmer der 34% der Konzerne (vgl. Abbildung 24), die Verträge zur Datenverarbeitung im Auftrag konzernintern für weitere Auftragsgegenstände einsetzen, konnten diese in einem Freitextfeld angeben (kategorisiert dargestellt in Tabelle 3): Stellungnahme Teilnehmer Kundenservice Shared Services Customer Relation Management Marketing/Vertrieb Fulfillment IT-Services - Consumer Services (2 Nennungen). - Service Line. - Legal Services. - Business Travel Management, Projektplanungs- Tools. - Postservices, Scandienste, einfache Sachbearbeitung. - Konzernweites Adressverzeichnis, sog. RCD - Telefonzentrale. - Druckdienstleistungen. - Consumer Relationship Management. - Marketing (4 Nennungen). - Vertrieb (3 Nennungen). - Vertriebstool salesforce.com (2 Nennungen). - Auftragsausführung gegenüber Endkunden (Versand etc.). - Bestellabwicklung. - Datenerfassung zu Abrechnungszwecken. - IT-Infrastruktur: Active Directory, Exchange, Lync, SharePoint. - Cloud Services. - Standard-Applikationen wie SAP Rechtsanwalt Andreas Leonhardt

21 Seite 21 Kategorie Stellungnahme Teilnehmer Sonstige - Einkauf (3 Nennungen). - Videotechnik. - Facility Management. - Entwicklung, gemeinsamer Zugriff auf Datenbanken. - Produktmanagement. - Materialwirtschaft. - Logistik. - Instandhaltung. - Vertrags- und Schadenbearbeitung. Tabelle 3: Weitere Auftragsgegenstände (Antworten teilweise gekürzt) Am Umfang und der thematischen Bandbreite zeigt sich die hohe Praxisrelevanz der Datenverarbeitung im Auftrag nicht nur für klassische Fälle des Outsourcings an konzernfremde Unternehmen, sondern auch für den konzerninternen Datenaustausch. Betrachtet man die teilweise hohe Anzahl von tausend oder mehr Verträgen in einzelnen Konzernen (vgl. Abbildung 23) ist das Management der Auftragsdatenverarbeitungsverhältnisse ein wesentlicher Baustein für datenschutzkonforme Datentransfers (vgl. dazu auch den Abschnitt 4.5 Management des konzernweiten Austausches personenbezogener Daten ) Werden seitens des beauftragten konzern-/gruppenangehörigen Unternehmens Unterauftragnehmer eingesetzt? Knapp drei Viertel (74%) der Konzerne lässt durch die als Auftragnehmer tätigen konzernangehörigen Unternehmen ihrerseits Unterauftragnehmer einsetzen. Abbildung 25: Einsatz von Unterauftragnehmern Werden Sie regelmäßig über eingesetzte Unterauftragnehmer informiert? Bei mehr als zwei Dritteln der Konzerne besteht beim Einsatz von Unterauftragnehmern ein regelmäßiger Informationsfluss an den Datenschutzbeauftragten bzw. für den Datenschutz verantwortliche Stellen (zur Zusammensetzung der Teilnehmer vgl. Frage ). Abbildung 26: Information über Unterauftragnehmer

22 Seite Ist für die Beauftragung der Unterauftragnehmer Ihre Zustimmung erforderlich? Nur eine knappe Mehrheit (51%) sieht bei der Einsetzung von Unterauftragnehmern ein Zustimmungserfordernis des Datenschutzbeauftragten vor. Abbildung 27: Zustimmungserfordernis für Unterauftragnehmer 4.3 Drittstaatentransfers Einsatz von EU-Standardvertragsklauseln Setzen Ihre Unternehmen für den Austausch personenbezogener Daten zwischen konzern-/ gruppenangehörigen Unternehmen in Drittstaaten EU-Standardvertragsklauseln ein? Überragende Bedeutung im internationalen Datenaustausch mit Drittstaaten haben EU- Standardvertragsklauseln 34, die in 83% der Unternehmen mit Drittstaatentransfers eingesetzt werden. Abbildung 28: Einsatz von EU-Standardvertragsklauseln Werden zusätzliche datenschutzrelevante Klauseln vereinbart? Fast die Hälfte der relevanten Unternehmen vereinbart bei der Verwendung von Standardvertragsklauseln weitere datenschutzrelevante Klauseln. Abbildung 29: Vereinbarung zusätzlicher datenschutzrelevanter Klauseln Maßgeblich dürften dafür die von den Aufsichtsbehörden geforderten Ergänzungen der Verträge sowohl bzgl. der Übermittlung von Beschäftigtendaten als auch bzgl. der bei Controller-Processor-Verhältnissen zu erfüllenden Anforderungen des 11 Abs. 2 S. 2 BDSG sein. 35 In einem Freitextfeld konnten die Befragungsteilnehmer Angaben machen, welche Vgl. dazu Fn Rechtsanwalt Andreas Leonhardt

23 Seite 23 Gründe gegen den Einsatz von Standardvertragsklauseln in ihrem Konzern sprechen (vgl. nachfolgende Tabelle 4): Kategorie Stellungnahme Teilnehmer Strategische Gründe Zu hoher Aufwand Vorrangige Instrumente - Sind in Entwicklung suchen nach einer Konzernlösung. - Zeit, Aufwand, Kosten. - Zu umständlich. - BCR, Einwilligung oder anderer Erlaubnistatbestand. - Wir nutzen die BCR, daher nicht erforderlich. - BCR: Mit Aufsichtsbehörde bereits in Abstimmungsgesprächen. Offizielle Einreichung zur Genehmigung wird in den nächsten Tagen erfolgen. Bis zur Genehmigung durch die Behörde werden die Regelungen der BCR als interne Richtlinie bindend für die Konzernunternehmen eingesetzt. - Konzerninterne Datenflüsse werden durch BCR abgesichert - Bisher nur Austausch mit US-Mutter, die Safe Harbor-zertifiziert ist. Keine EU-Standardvertragsklauseln erforderlich. Tabelle 4: Gründe gegen Einsatz von Standardvertragsklauseln (Antworten teilweise gekürzt) Zusammenfassend zeigt sich, dass gegen den Einsatz ebenfalls strategische Gründe, wie die Implementierung einer konzernweiten Strategie, oder ein als zu hoch empfundener Aufwand (allerdings mit einer geringeren Nennungshäufigkeit) angeführt werden. Wesentlicher Grund, auf Standardvertragsklauseln zu verzichten, ist jedoch das Bestehen konkurrierender Instrumente wie den Safe Harbor Principles und BCR.

24 Seite Einsatz von Binding Corporate Rules Setzt Ihr Unternehmen für den Austausch personenbezogener Daten zwischen konzern-/ gruppenangehörigen Unternehmen Binding Corporate Rules (BCR) ein? Eine deutlich geringere Verbreitung als EU- Standardvertragsklauseln weisen BCR auf, die von 21% der Unternehmen eingesetzt werden. Überraschend ist die hohe Anzahl von Konzernen, bei denen sich entsprechende Regelungen in Vorbereitung befinden (27%). Abbildung 30: Einsatz von BCR Dies deutet darauf hin, dass BCR langfristig weiter an Akzeptanz gewinnen und möglicherweise bald zum Standardrepertoire in großen Unternehmen aufsteigen könnten (vgl. dazu auch die Ausführungen im Abschnitt 4.6 Implementierungspräferenzen ) Sie haben angegeben, dass Ihr Unternehmen keine BCR einsetzt. Welche Überlegungen liegen dieser Entscheidung zu Grunde? Dies ändert gleichwohl nichts daran, dass der überwiegende Teil der Unternehmen (59%) BCR weiterhin nicht einsetzt und auch nicht deren Einführung plant. 77% dieser Unternehmen halten das Verfahren für zu aufwändig bzw. kostspielig. 8% tauschen keine Daten mit Drittstaaten aus. 15% nennen andere Gründe für einen Verzicht auf den Einsatz von BCR. Abbildung 31: Gründe gegen BCR Sie haben angegeben, dass Ihr Unternehmen aus anderen Gründen keine BCR einsetzt. Welche Gründe sind dies? In einem Freitextfeld konnten die Befragungsteilnehmer, die die Auswahl Andere Gründe getroffen hatten, weitere Angaben machen (vgl. nachfolgende Tabelle 5): 2015 Rechtsanwalt Andreas Leonhardt

25 Seite 25 Kategorie Entscheidung durch Unternehmensspitze Zu hoher Aufwand Strategische Gründe Stellungnahme Teilnehmer - Es liegen pb-daten auf dem Server der Muttergesellschaft in USA, die teilweise von HR-Abteilungen anderer Tochtergesellschaften in Drittländern einsehbar sind. - Das Thema wurde erst kürzlich auf Konzernebene aufgegriffen und ist noch nicht entschieden. - Zu aufwändig, zeitnahe praktikable Lösung war erforderlich. - Zu umständlich. - Unterschiedliche Auffassungen und Bedarfe. Tabelle 5: Gründe gegen Einsatz von BCR (Antworten teilweise gekürzt) Im Unterschied zu den Safe Harbor Principles kommen Bedenken gegen die Rechtmäßigkeit von BCR nicht auf. Allerdings bestätigt sich auch in den Antworten der Befragungsteilnehmer der als Nachteil festgestellte hohe Implementierungsaufwand Sie haben angegeben, dass Ihr Unternehmen für den konzern-/gruppeninternen Austausch personenbezogener Daten BCR einsetzt. Müssen Sie einzelne Datenübermittlungen trotz bestehender BCR zusätzlich bei der zuständigen Aufsichtsbehörde genehmigen lassen? Abbildung 32: Genehmigungspflichtigkeit von Einzelübermittlungen Keine Rolle spielt offenbar bei den befragten Unternehmen die Genehmigungspflichtigkeit einzelner Datenübermittlungen bei BCR. Worauf dies zurückzuführen ist, lässt sich nur für zwei der Konzerne nachvollziehen, da diese Angaben zu der für sie zuständigen Aufsichtsbehörde gemacht haben (vgl. Abbildung 33).

26 Seite 26 Nein Bund; 1; 10% Nein Nordrhein- Westfalen; 1; 10% Nein (Leer); 8; 80% Abbildung 33: Zuständige Genehmigungsbehörden Allerdings sind für diese mit dem Bundesbeauftragten für den Datenschutz (1 Nennung) und dem Landesbeauftragten für den Datenschutz NRW (1 Nennung) Aufsichtsbehörden zuständig, die eine Genehmigungspflicht vorsehen. 36 Dieses Ergebnis ist aus sich heraus nicht erklärlich. Es könnte sowohl auf eine weniger restriktive Haltung der genannten Aufsichtsbehörden als auch auf eine differenzierte Umsetzung des Genehmigungserfordernisses durch die betroffenen Unternehmen und die Aufsichtsbehörden hindeuten Sie haben angegeben, dass Ihr Unternehmen für den konzern-/gruppeninternen Austausch personenbezogener Daten BCR einsetzt. Sind alle Unternehmen den BCR beigetreten bzw. sind diese für alle Unternehmen verbindlich eingeführt worden? Da die Gültigkeit für einzelne Konzerngesellschaften von der Verbindlichkeitserklärung der jeweiligen Gesellschaft abhängt, haben Konzerne die Möglichkeit, BCR nur für einzelne Konzerngesellschaften einzuführen. Davon haben die Konzerne teilweise Gebrauch gemacht. Abbildung 34: Verbindlichkeit von BCR 36 Vgl. dazu das Dokument der EU-Kommission mit Nachweis in Fn Rechtsanwalt Andreas Leonhardt

27 Seite Sie haben angegeben, dass nicht alle Unternehmen den BCR beigetreten sind bzw. die BCR nicht für alle Unternehmen verbindlich eingeführt wurden. Welche Gründe bestehen dafür? Bei den beiden Konzernen, bei denen noch nicht alle Gesellschaften beigetreten sind, ist bei einem Unternehmen der Beitritt noch nicht abgeschlossen und ein anderes für den Austausch personenbezogener Daten mit Drittstaaten nicht relevant. Abbildung 35: Gründe für Nichtbeitritt von GES Einsatz von Safe Harbor Sie haben angegeben, dass Ihre Unternehmen auch in den USA vertreten sind. Sind Ihre Unternehmen nach dem Safe Harbor-Abkommen des US-Handelsministeriums mit der EU zertifiziert? 40% der Konzerne mit Vertretung in den USA setzen auf die Safe Harbor Principles. Abbildung 36: Safe Harbor-Zertifizierung Sie haben angegeben, dass Ihre Unternehmen in den USA nicht nach dem Safe Harbor-Abkommen des US-Handelsministeriums mit der EU zertifiziert sind. Welche Überlegungen haben Sie zu Grunde gelegt? Die Konzerne der Befragungsteilnehmer, die keine Safe Harbor Principles einsetzen, hatten die Möglichkeit, in einem Freitextfeld Kategorie die Gründe für diese Entscheidung mitzuteilen. Die Gründe sind in der nachfolgenden Übersicht nach Kategorien zusammengestellt (vgl. Tabelle 6): Stellungnahme Teilnehmer Entscheidung durch Unternehmensspitze - Gründe unbekannt (mehrere Nennungen). - Business Entscheidung. Bringt ja nur etwas für die USA, nicht aber für andere Länder.

28 Seite 28 Kategorie Keine relevanten Datenflüsse Ungeeignet für Branche Wird als unzulässig angesehen Zu hoher Aufwand Vorrangige Instrumente Stellungnahme Teilnehmer - Nur Datenrückfluss in die USA. - Kein Datenaustausch. - Austausch mit den USA restriktiv. - Für Finanzbranche nicht geeignet. - Safe Harbor-Zertifizierung bedeutet nicht Einhaltung der Vorschriften. Das Zertifikat an und für sich steht nicht mehr für Einhaltung des Datenschutzes. - Unzulässig. - Unsicher/wird in Frage gestellt. - Das Abkommen ist nach internen Überlegungen keine ausreichende Grundlage zur Übermittlung personenbezogener Daten in die USA. - Erhöhter organisatorischer Aufwand die Selbstzertifizierung" der US-Unternehmen nachzuhalten etc. - Verfahren zu aufwändig. US-Gesellschaften scheuen Aufwand und sehen auch keine Notwendigkeit, nur um den europäischen Regelungen Rechnung zu tragen, da mit den Standardvertragsklauseln auch alternative Wege zur Verfügung stehen. - EU-Standardklauseln (mehrere Nennungen) - Rechte der Betroffenen unter Niveau der Model Clauses. - Datenschutzniveau wird über EU-Standardvertragsklauseln und den von den Aufsichtsbehörden genehmigten BCR erreicht. TOMs gelten weltweit und werden regelmäßig überprüft. - Konzern-Unternehmen mit Sitz in USA haben sich auf die BCR des Konzerns verpflichtet. - Wir nutzen die BCR, daher nicht erforderlich. - Auch die US-Konzerngesellschaften unterliegen der Beitrittspflicht zu den BCR; der Schutzstandard der BCR ist höher als Safe Harbor. Tabelle 6: Gründe gegen Einsatz von Safe Harbor (Antworten teilweise gekürzt) Wie die Auswertung der Antworten zeigt, haben sich die breit geäußerten Bedenken gegen die Safe Harbor Principles auch in der Praxis niedergeschlagen, die die Konzerne veranlassen, dieses Instrument zu meiden. Ein Unternehmen aus der Finanzbranche kann sich aufgrund des begrenzten 2015 Rechtsanwalt Andreas Leonhardt

29 Seite 29 Anwendungsbereichs 37 bereits aus formellen Gründen nicht der Grundsätze bedienen. Bestehen nicht bereits grundsätzliche Vorbehalte, zeigen sich Bedenken der Fragebogenbearbeiter gegen die Praktikabilität infolge der erhöhten Anforderungen bzgl. der Prüfung der Selbstzertifizierung. Weiterhin wird auf eine direkte Konkurrenzsituation zu anderen Instrumenten wie den Standardvertragsklauseln oder BCR hingewiesen, wenn diese bereits konzernweit eingesetzt werden Sie haben angegeben, dass Ihre Unternehmen in den USA nach dem Safe Harbor-Abkommen des US-Handelsministeriums mit der EU zertifiziert sind. Haben Sie infolge des Beschlusses des Düsseldorfer Kreises vom 28./29. April 2010, wonach das übermittelnde Unternehmen nachweisen lassen muss, dass die Safe Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden, entsprechende Prüfungen durchgeführt? Über die Hälfte der Konzerne (52 %) haben entsprechende Prüfungen bereits mit positivem Ergebnis umgesetzt bzw. planen Prüfungen durchzuführen (22 %, vgl. Abbildung 37). Ein negatives Ergebnis einer Prüfung wurde bei keinem Konzern festgestellt. Abbildung 37: Safe Harbor-Überprüfung Dieses Ergebnis mag angesichts der Galexia- Studie 38, die nur von einem Bruchteil positiver Ergebnisse ausgeht, überraschen. Im Konzernumfeld sind jedoch zumindest zwei Erklärungsansätze denkbar. Zum einen besteht immer die Möglichkeit einer nicht objektiven Prüfung durch konzerninterne Stellen, die zu einer Verfälschung in Form einer Schönung der Prüfungsergebnisse führen könnte. Zum anderen und dies ist naheliegender können die Anforderungen der Safe Harbor Principles für Konzerngesellschaften leichter durchgesetzt werden, als dies bei externen Unternehmen der Fall ist. 37 Vgl. Fn Galexia-Studie, The US Safe Harbor Fact or Fiction? (2008),

30 Seite Sie haben angegeben, dass Ihre Unternehmen infolge des Beschlusses des Düsseldorfer Kreises vom 28./29. April 2010, wonach das übermittelnde Unternehmen nachweisen lassen muss, dass die Safe Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden, keine entsprechenden Prüfungen durchgeführt haben. Welche Überlegungen haben Sie zu Grunde gelegt? Die sieben Befragungsteilnehmer, die innerhalb ihres Konzerns keine Prüfungen vorgesehen haben, konnten zu den Hintergründen wiederum Angaben in einem Freitextfeld machen (vgl. Tabelle 7): Kategorie Stellungnahme Teilnehmer Bereits vorliegende Bestätigungen Vorrangige Instrumente Fehlende Durchsetzungsmöglichkeit - Bestätigung des CEO. - Es liegen externe Auditberichte vor, die die Implementierung der beschriebenen TOMs bestätigen. - Es kommen bei Übermittlung von personenbezogenen Daten in die USA immer EU-Standardverträge zum Einsatz. - Mangelndes Verständnis der Konzernmutter. Tabelle 7: Gründe für nicht durchgeführte Sonderprüfungen (Antworten teilweise gekürzt) Die Angaben zu den Hintergründen zeichnen eine vielfältige Motivkarte. Zum einen bestanden bereits im Vorfeld Bestätigungen, die eine erneute Überprüfung entbehrlich machen. Trotz Safe Harbor-Zertifizierung der Konzerngesellschaften in den USA kommen für den konzerninternen Datenaustausch gleichwohl vorrangige Gestaltungsinstrumente wie Standardvertragsklauseln zum Einsatz. Die Gegenthese zu der oben aufgestellten Auffassung zum Befund vieler positiver Prüfungsergebnisse im Konzernumfeld ist ebenfalls enthalten: Fehlt das Verständnis der Konzernmutter, können entsprechende Prüfungshandlungen nicht stattfinden. Die letzte Antwort illustriert, dass teilweise entsprechende Prüfungen auch grundlos ausbleiben können. Dieser Befund kann auf ein möglicherweise ungenügendes Datenschutz-Management und evtl. unentdeckt bleibende Compliance-Risiken beim konzerninternen Datenaustausch mit den USA hinweisen Rechtsanwalt Andreas Leonhardt

31 Seite Einsatz eigener Vertragsklauseln Sie haben angegeben, dass Ihre Unternehmen personenbezogene Daten mit konzern-/gruppenangehörigen Unternehmen in Drittstaaten austauschen. Nach Beschluss des Düsseldorfer Kreises vom 11./12. September 2013 ist im Anwendungsbereich des deutschen Bundesdatenschutzgesetzes bei Übermittlungen in einen Drittstaat stets zu prüfen, ob ein angemessenes Datenschutzniveau besteht. Wurde versucht, das angemessene Datenschutzniveau durch die Entwicklung eigener Vertragsklauseln herzustellen ( 4c Abs. 2 S. 1 BDSG)? Ein verhältnismäßig großer Anteil (49%) der Konzerne setzt bei Drittstaatentransfers auf selbst entwickelte Vertragsklauseln. Diese unterliegen in Deutschland allerdings einer Genehmigungspflicht durch die Aufsichtsbehörden ( 4c Abs. 2 S. 1 BDSG). Abbildung 38: Einsatz eigener Vertragsklauseln Angesichts des Umstands, dass nur 23% der Unternehmen (17 Teilnehmer) die Regelungen zum Datenaustausch mit den zuständigen Aufsichtsbehörden für den Datenschutz abgestimmt haben (vgl. Abbildung 55), verwundert der hohe Anteil von 49% (35 Teilnehmer) grundsätzlich genehmigungspflichtiger eigener Klauseln. Möglicherweise erklärt sich das Antwortbild aus Überschneidungen mit den Antworten der Teilnehmer, die BCR (vgl. Abschnitt 4.3.2) oder EU-Standardvertragsklauseln (vgl. Abschnitt 4.3.1) einsetzen, die als Unterfall des 4c Abs. 2 S. 1 BDSG aufgefasst werden können. Sind z.b. Modifikationen an den EU-Standardvertragsklauseln durch zusätzliche datenschutzrelevante Klauseln aufgrund der Anforderungen der deutschen Aufsichtsbehörden erforderlich, wie sie 48% der Konzerne vornehmen (vgl. Abbildung 29), kann nach überwiegender Auffassung die Vorlagepflicht gegenüber den Aufsichtsbehörden entfallen, wenn entsprechende geschäftsbezogene Klauseln in Hauptverträge oder Nebenabreden aufgenommen und die Standardvertragsklauseln selbst nicht verändert werden Vgl. Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/2010 vom , S. 72; ders., Umsetzung des 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, drittstaaten.htm.

32 Seite Kontrolltätigkeit der Aufsichtsbehörden Prüfung durch die Aufsichtsbehörden Wurden Ihre Unternehmen von einer Aufsichtsbehörde hinsichtlich des konzern-/unternehmensgruppeninternen Austausches personenbezogener Daten überprüft? Nur 10 (9%) der befragten Unternehmen wurden hinsichtlich des konzerninternen Datenaustausches bereits von einer Aufsichtsbehörde geprüft. Abbildung 39: Prüfung durch Aufsichtsbehörden Bezogen auf die Unternehmensgröße lässt sich aus den Ergebnissen ablesen, dass Kontrollen des konzerninternen Datenaustausches durch die Aufsichtsbehörden weiterhin eher die Ausnahme als die Regel darstellen (vgl. Abbildung 40). Bei kleinen Konzernen mit einer Größe von bis zu MA ist bislang nur ein Unternehmen (3%) von einer Kontrolle betroffen gewesen. Wesentlich häufiger werden jedoch große Konzerne mit mehr als MA kontrolliert. Fast jeder sechste Konzern (16%) musste sich bereits einer Kontrolle unterziehen. Mehr als Ja Nein Bis Ja Nein Bis Ja Nein Bis Ja Nein 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bis Bis Bis Mehr als Ja Nein Abbildung 40: Kontrolldurchdringung nach Unternehmensgröße (MA weltweit) 2015 Rechtsanwalt Andreas Leonhardt

33 Seite Sie haben angegeben, dass Ihre Unternehmen von einer Aufsichtsbehörde hinsichtlich des konzern-/unternehmensgruppeninternen Austausches personenbezogener Daten geprüft wurde. Mit welchem Ergebnis wurde die Prüfung abgeschlossen? Die Befragungsteilnehmer der zehn bereits von einer Kontrolle betroffenen Unternehmen konnten anschließend beantworten, mit welchem Ergebnis die Kontrolle abgeschlossen wurde. Davon haben neun Teilnehmer Gebrauch gemacht. Abbildung 41: Prüfungsergebnisse Nur ein Drittel der Prüfungen (33%) wurde ohne Beanstandungen abgeschlossen. In den übrigen Fällen wurden entweder Beanstandungen ausgesprochen (1 Fall) oder Änderungsbedarf angemahnt (4 Fälle). Fristen oder gar Bußgelder wurden nicht gesetzt bzw. verhängt Prüfungserwartung Sie haben angegeben, dass Ihre Unternehmen von einer Aufsichtsbehörde hinsichtlich des konzern- /unternehmensgruppeninternen Austausches personenbezogener Daten bisher nicht geprüft wurden. Wann rechnen Sie mit einer Überprüfung? Abbildung 42: Prüfungserwartung Die Befragungsteilnehmer konnten zudem angeben, wann sie das nächste Mal mit einer Kontrolle rechnen. Danach gehen 90% nicht von einer demnächst anstehenden Prüfung aus, während die verbleibenden Befragungsteilnehmer mit einer Kontrolle im nächsten Jahr (zwei Fälle) bzw. in den nächsten zwei bis drei Jahren rechnen (acht Fälle). Zusammenfassend lässt sich festhalten, dass die Kontrolldichte der Aufsichtsbehörden erwartungsgemäß weiterhin sehr dünn ist. Die Erwartungen künftiger Kontrollen liegen daher mit 10% auf einem realistischen Niveau. Die Wahrscheinlichkeit einer Kontrolle steigt jedoch mit zunehmender Konzerngröße an (vgl. Abbildung 40). Wenn die Behörden prüfen, nehmen sie ihre Aufgabe allerdings ernst: In fast zwei Dritteln der Fälle hat die Aufsichtsbehörde Beanstandungen ausgesprochen oder Änderungsbedarf angemahnt (vgl. Abbildung 41).

34 Seite Management des konzernweiten Austausches personenbezogener Daten Organisation und Verantwortlichkeit Wie ist in Ihrem Unternehmen die Umsetzung der rechtlichen Anforderungen beim konzern-/unternehmensinternen Austausch personenbezogener Daten organisiert? Bei zwei Dritteln der befragten Unternehmen ist die Umsetzung der rechtlichen Anforderungen zum konzerninternen Datenaustausch zentral organisiert. Abbildung 43: Organisationsform Mit zunehmender Organisationsgröße steigt die Dezentralisierung der Aufgaben jedoch stark an. Bei Unternehmen mit mehr als MA weltweit sind bereits fast zwei Drittel der Konzerne dezentral organisiert. Bei kleinen Unternehmen mit bis zu MA ist dies weniger als jedes zehnte Unternehmen (vgl. Abbildung 44). Mehr als Dezentral Zentral Bis Dezentral Zentral Bis Dezentral Zentral Bis Dezentral Zentral 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bis Bis Bis Mehr als Dezentral Zentral Abbildung 44: Organisationsform nach Unternehmensgröße (MA weltweit) Dieser Befund ist nicht verwunderlich, da mit zunehmender Organisationsgröße die Verantwortlichkeiten für einzelne Datenübermittlungen möglicherweise zunehmend nicht mehr effektiv und effizient wahrgenommen werden können, sei es durch fehlende Einbindung der zentralen Stelle oder lange Berichtslinien. Den Angaben in den allgemeinen Anmerkungen zur Umfrage ist zu entnehmen, dass in größeren Konzernen 2015 Rechtsanwalt Andreas Leonhardt

35 Seite 35 auch Mischformen anzutreffen sind. So werden teilweise Datenschutzorganisationen in Teilkonzernen gebildet, die zentral organisiert sind, während der Gesamtkonzern aus Sicht der Konzernmutter eine dezentrale Organisationsform aufweist Wer ist in Ihrem Unternehmen für die Umsetzung rechtlicher Anforderungen beim konzern- /unternehmensinternen Austausch personenbezogener Daten verantwortlich? Die Befragungsteilnehmer waren ferner aufgefordert, anzugeben, wer im Unternehmen für den konzerninternen Austausch personenbezogener Daten verantwortlich ist. Im überwiegenden Teil der Unternehmen ist dies der Datenschutzbeauftragte (45%), jedoch sind Zuständigkeiten auch in der Rechtsabteilung (23%) und den jeweiligen Fachabteilungen (27%) verortet. Abbildung 45: Verantwortlichkeit innerhalb des Konzerns Sie haben angegeben, dass in Ihrem Unternehmen für die Umsetzung rechtlicher Anforderungen beim konzern-/unternehmensinternen Austausch personenbezogener Daten andere als die genannten Stellen verantwortlich sind. Welche Stellen sind dies? Die Teilnehmer, in deren Unternehmen eine andere Verantwortlichkeit besteht, konnten diese in einem Freitextfeld aufführen (kategorisiert dargestellt in Tabelle 8): Kategorie Stellungnahme Teilnehmer Geschäftsführung/Compliance Gemischte Zuständigkeiten - Geschäftsführung (zwei Nennungen). - IT-Compliance, Compliance Privacy. - Die Fachabteilungen mit Unterstützung durch legal und Group Data Protection. - Umsetzung in der Verantwortung der Fachabteilung; Vorlagen durch Datenschutzbeauftragten, Rechtsabteilung. Tabelle 8: Andere Zuständigkeiten (Antworten teilweise gekürzt) Signifikante Unterschiede bzgl. der gewählten Organisationsform ergeben sich aus der Zuweisung der Verantwortlichkeit (vgl. Abbildung 45) nicht. Zwar ergibt sich bei Zuständigkeit des Datenschutzbeauftragten (vgl. Abbildung 46) im Verhältnis zur Zuständigkeit der Rechtsabteilung (vgl. Abbildung 47) eine leichte Verschiebung hin zu einer Dezentralisierung. Angesichts der eingeschränkten Datenbasis ist jedoch Vorsicht

36 Seite 36 bei der Ableitung allgemeingültiger Schlüsse geboten. Mehr als Dezentral Zentral Bis Dezentral Zentral Bis Dezentral Zentral Bis Dezentral Zentral 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bis Bis Bis Mehr als Dezentral Zentral Abbildung 46: Organisationform bei Zuständigkeit Datenschutzbeauftragter Mehr als Dezentral Zentral Bis Dezentral Zentral Bis Dezentral Zentral Bis Zentral 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bis Bis Bis Mehr als Dezentral Zentral Abbildung 47: Organisationsform bei Zuständigkeit der Rechtsabteilung Wie viele Mitarbeiter beschäftigen sich in Ihrem Unternehmen unmittelbar mit dem Thema Datenschutz? Die Befragungsteilnehmer konnten darüber hinaus Angaben zur Anzahl der unmittelbar mit dem Thema Datenschutz beschäftigten Personen machen (vgl. Abbildung 48). Die Nennungen im Freitextfeld wurden zum Zweck der besseren Auswertbarkeit zu einem Raster zusammengeführt Rechtsanwalt Andreas Leonhardt

37 Seite 37 Bis 50; 5; 5% Bis 100; 2; 2% Bis 200; 1; 1% 500; 1; 1% Bis 20; 5; 5% 1; 29; 29% Bis 10; 14; 14% Bis 5; 43; 43% Abbildung 48: Anzahl der im Datenschutz tätigen Mitarbeiter Die Summe der Angaben im Freitextfeld ergibt bei den befragten Unternehmen eine Anzahl von ca unmittelbar im Datenschutz beschäftigten Mitarbeitern. Diese verteilen sich ungleich auf die Unternehmen. 29% der Datenschützer sind danach Einzelkämpfer. In der Spitze (ein Fall) sind sogar 500 MA unmittelbar im Datenschutz beschäftigt. Übertragen auf die Unternehmensgröße ergibt sich folgendes Bild (vgl. Abbildung 49):

38 Seite 38 Mehr als Bis 5 Bis 10 Bis 20 Bis 50 Bis 100Bis 200 Bis 50 Bis 100 Bis Bis 5 Bis 10 Bis 20 Bis Bis 5 Bis 10 Bis Bis 5 Bis % 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bis Bis Bis Mehr als Bis Bis Bis Bis Bis Bis Abbildung 49: Verhältnis Datenschutz-MA zur Unternehmensgröße (MA weltweit) Wenig überraschend nimmt die Anzahl der Datenschutz-Mitarbeiter mit steigender Unternehmensgröße zu. Ein Ausreißer ist das Unternehmen mit 500 im Datenschutz tätigen Mitarbeitern, das insgesamt nur bis zu Mitarbeiter beschäftigt. Nach einem Datensatzabgleich handelt es sich entweder um eine irrtümliche Angabe oder um eines der Unternehmen mit Sitz in Baden-Württemberg, das sich ausschließlich der Verarbeitung personenbezogener Daten widmet. Eine ähnliche Verteilung ergibt sich auch bei einer Ordnung nach der Anzahl der Konzerngesellschaften (vgl. Abbildung 50): 2015 Rechtsanwalt Andreas Leonhardt

39 Seite 39 bis 1000 oder mehr GES Bis 5 Bis 10 Bis 50 bis 500 GES Bis 5 Bis 20 Bis 50 Bis 200 Bis 50 Bis 100 bis 100 GES 1 Bis 5 Bis 10 Bis 20 Bis 10 Bis 100 bis 50 GES 1 Bis 5 Bis 20 Bis 20 Bis 50 bis 10 GES 1 Bis 5 Bis 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% bis 10 GES bis 50 GES bis 100 GES bis 500 GES bis 1000 oder mehr GES Bis Bis Bis Bis Bis Bis Abbildung 50: Verhältnis Datenschutz-MA zu Anzahl GES Bis zur Größe von 500 Konzerngesellschaften ist ein stetiger Anstieg der Anzahl der mit dem Datenschutz befassten Mitarbeiter festzustellen. Der scheinbare Trendbruch bei den Konzernen mit oder mehr GES ist vermutlich auf die geringe Auswertungsbasis zurückzuführen und daher nur eingeschränkt repräsentativ Einsatz von Vertragsmustern zur Datenverarbeitung im Auftrag Sie haben angegeben, dass Sie für den Austausch personenbezogener Daten zwischen konzern-/gruppenangehörigen Unternehmen Verträge zur Datenverarbeitung im Auftrag verwenden. Setzen Sie ein unternehmensweit einheitliches Muster ein? Wie bereits im Abschnitt dargestellt, kommt Verträgen zur Datenverarbeitung im Auftrag für den konzerninternen Datenaustausch erhebliche Bedeutung zu. 74% der Unternehmen setzten dieses Instrument ein. Dabei verwenden 89% der Unternehmen ein unternehmensweit einheitliches Muster. Abbildung 51: Einsatz von Vertragsmustern

40 Seite 40 Gerade bei Konzernen mit einer großen Anzahl von Verträgen (teilweise bestehen über tausend Verträge, vgl. Abbildung 23) stellt dies eine wichtige Maßnahme zur Standardisierung dar, die zu einer Effizienzsteigerung führen kann. Ein weiterer Vorteil ist die Möglichkeit, die Vertragsmuster im Rahmen des unternehmensinternen Wissensmanagements innerhalb einer dezentralen Struktur mit verteilten Verantwortlichkeiten zentral zur Verfügung zu stellen (vgl. Abschnitt Organisation und Verantwortlichkeit) Beruht Ihr unternehmensinternes Muster zur Auftragsdatenverarbeitung auf Vorschlägen von Behörden und/oder Verbänden? Bei den Vertragsmustern greifen die Unternehmen in erster Linie auf selbst erstellte Vertragstexte zurück (45%). Großen Anklang findet das Muster der GDD e.v. (37%). 40 Nicht unbedeutend ist das Muster des BITKOM e.v. (12%). 41 5% setzen auf ein Muster anderer Herkunft. Abbildung 52: Herkunft der Vertragsmuster Keine Bedeutung für den konzerninternen Datenaustausch kommt nach den Ergebnissen dieser Umfrage den Mustern des LDA Bayern 42 und des Hessischen Datenschutzbeauftragten 43 zu. Dies ist auf den ersten Blick verwunderlich, da 19% der befragten Unternehmen in Bayern und Hessen ansässig sind. Die Verwendung der Muster würde in diesen Bundesländern für ein hohes Maß an Rechtssicherheit bei der formellen Gestaltung der Verträge bewirken. Bei näherer Betrachtung ist jedoch anzumerken, dass das Muster des LDA zum Zeitpunkt der Befragung (Oktober/November 2014) erst seit kurzem veröffentlicht war (Stand Januar 2014). Viele Unternehmen haben ihre Vertragsmuster jedoch bereits im Anschluss an die Novelle des 11 BDSG zum angepasst GDD e.v., Muster zur Auftragsdatenverarbeitung, muster-zur-auftragsdatenverarbeitung-gemas-a7-11-bdsg. Das Muster steht auch in englischer Sprache zur Verfügung: 41 BITKOM e.v., Version , Das Muster steht auch in englischer Sprache zur Verfügung. 42 Landesamt für Datenschutzaufsicht Bayern, Auftragsdatenverarbeitung nach 11 BDSG, siehe Fn Hessischer Datenschutzbeauftragter, Stand , 44 Vgl. KPMG-Studie zur Auftragsdatenverarbeitung, siehe Fn. 2, S Rechtsanwalt Andreas Leonhardt

41 Seite Interne Prüfungen Überprüfen Sie regelmäßig die technischen und organisatorischen Maßnahmen der konzern-/gruppenangehörigen Unternehmen? Die Teilnehmer wurden ferner gefragt, ob sie die technischen und organisatorischen Maßnahmen der Konzerngesellschaften regelmäßig prüfen. Dies ist bei zwei Dritteln der Unternehmen der Fall (vgl. Abbildung 53). Abbildung 53: Interne Prüftätigkeit Sie haben angegeben, dass Sie die technischen und organisatorischen Maßnahmen der konzern-/gruppenangehörigen Unternehmen regelmäßig prüfen. Wie nehmen Sie diese Überprüfungen wahr? Zur Art und Weise der Prüfungen befragt (Mehrfachantworten waren möglich), zeigt sich eine differenzierte Vorgehensweise (vgl. Abbildung 54). Der überwiegende Teil der befragten Unternehmen setzt jedoch vor allen anderen Maßnahmen auch auf Vor- Ort-Prüfungen. Abbildung 54: Art der Prüfung Sie haben angegeben, dass Sie ein anderes Vorgehen gewählt haben. Welches ist dies? Unternehmen, die ein anderes Vorgehen zur Durchführung der Kontrollen wählen, konnten die Maßnahmen in einem Freitextfeld angeben (vgl. nachfolgende Tabelle 9).

42 Seite 42 Kategorie Angaben zur Methodik Allgemeine Angaben zum Vorgehen Stellungnahme Teilnehmer - Internal Audit und externe Zertifizierung. - Einsicht in Berichte des internal IT Audit. - Monitoring adherence Group Wide Information Security und Data Privacy Standards. - Internationale, verbindliche Standardisierung von Software und Hardware. - Interne Audits und regelmäßige Kontrollberichte (mehrere Nennungen). - Zentrales Rechenzentrum in DE wird von Konzernrevision geprüft. - Die auslagernden Bereiche und der Zentraleinkauf sind verantwortlich, die nach Risikoklassen eingeteilten (konzern-internen/externen) Dienstleister nach unseren (Datenschutz-) Vorgaben (ggf. gemeinsam mit uns) zu prüfen. - Zentrales IT Security Team, welches diese Überprüfung regelmäßig durchführt. - Prüfung durch Interne Revision (mehrere Nennungen). - Nutzung von z.b. interner Revision, Qualitätsoder IT-Sicherheitsabteilung - Eigenes Audit. - Jede Änderung von TOMs unterliegt einer Vorabkontrolle nach standardisierten Policies. Tabelle 9: Andere Maßnahmen zur Kontrolle (Antworten teilweise gekürzt) Aus den Antworten ist ersichtlich, dass die Befragungsteilnehmer sowohl eigene Audits durchführen als auch zu einem großen Teil auf interne Strukturen, wie z.b. Revision, IT- Sicherheitsabteilungen und Qualitätssicherheitsabteilungen, oder externe Dienstleister zurückgreifen. Häufig wird auch eine (Papier-)Kontrolle der entsprechenden Berichte genannt Zusammenarbeit mit den Aufsichtsbehörden Sie haben angegeben, dass Ihre Unternehmen personenbezogene Daten mit konzern-/gruppenangehörigen Unternehmen in Drittstaaten austauschen. Haben Sie die entsprechenden Regelungen zum Datenaustausch mit den zuständigen Aufsichtsbehörden für den Datenschutz abgestimmt? Die Befragungsteilnehmer konnten zudem Angaben zur Zusammenarbeit mit den Aufsichtsbehörden außerhalb von Kontrollen machen (vgl. Abbildung 55). Danach macht nur knapp ein Viertel der befragten Unter Rechtsanwalt Andreas Leonhardt

43 Seite 43 nehmen (23%) von der Möglichkeit Gebrauch, konzerninterne Regelungen mit den Aufsichtsbehörden abzustimmen. Abbildung 55: Abstimmung mit den Datenschutzbehörden Sie haben angegeben, dass Sie Ihre unternehmensinternen Regelungen zum Austausch personenbezogener Daten mit konzern-/gruppenangehörigen Unternehmen in Drittstaaten nicht mit den zuständigen Aufsichtsbehörden für den Datenschutz abgestimmt haben. Welche Gründe bestehen dafür? Die Gründe für die Zurückhaltung konnten Kategorie in einem Freitextfeld dargelegt werden (vgl. Tabelle 10): Stellungnahme Teilnehmer Geringe Sensibilität/Umfang der Daten Einsatz von EU-Standardverträgen - Geringe Sensibilität der Daten, Verpflichtung der Empfänger - Datenaustausch eher gering. - Originalton Aufsichtsbehörde: Wenn Sie Standardvertragsklauseln unverändert einsetzen, brauchen Sie nicht für jede Übermittlung anzufragen. Wir behalten uns jedoch eine Prüfung vor. - Wir verwenden die EU-Standardvertragsklauseln (11 Nennungen). Einsatz von BCR - Die BCR wurden vom zuständigen Branchendachverband mit einer Aufsichtsbehörde abgestimmt. - Datenschutzniveau wird über EU-Standardvertragsklauseln und den von den Aufsichtsbehörden genehmigten BCR erreicht. TOMs gelten weltweit und werden regelmäßig überprüft. Vertrauen auf internen/externen Sachverstand - Die entsprechenden Unternehmen unterstehen der Aufsicht des Gruppendatenschutzbeauftragten. Er prüft regelmäßig in den Unternehmen die Einhaltung der Vorgaben. - Unser externer Datenschutzbeauftragter hat die Regelungen abgesegnet. - Da wir einen Datenschutzbeauftragten haben, der hier sozusagen als Aufsichtsbehörde fungiert. Sollte die Aufsichtsbehörde dies prüfen,

44 Seite 44 Kategorie Stellungnahme Teilnehmer können die entsprechenden Regelungen vorgelegt werden. - Expertise inhouse vorhanden. - Beratung durch Fachanwälte ist flexibler. Keine Notwendigkeit - Wir haben eine zentrale security policy und gehen davon aus, dass damit ein ausreichendes Datenschutzniveau erreicht wird. - Machen das nur, wenn unbedingt erforderlich. Hoher Aufwand - Notwendigkeit wird nicht gesehen, zu kompliziert - Aufwand in Relation zum übertragenen Datenvolumen und dem damit einhergehenden Risiko. -...die mutmaßlich zeitraubende Abstimmung. Bedenken gegen Aufsichtsbehörde - Bedenken beim Ansprechen der Behörde - Zuständige AB ist zu langsam in den Antwortzeiten und hat zum Teil praxisferne Ansichten. - Keine unnötige Aufmerksamkeit erregen. Tabelle 10: Zusammenarbeit mit den Aufsichtsbehörden (Antworten teilweise gekürzt) Aus den Antworten sind zwei Hauptmotive ersichtlich. Zum einen wird allgemein kein Abstimmungsbedarf bei als genehmigungsfrei empfundenen (Standardvertragsklauseln) oder bereits genehmigten Instrumenten (BCR) gesehen. Die in den Antworten enthaltene Auffassung stützt auch den bereits oben (vgl. oben unter ) ermittelten Befund, dass Unternehmen mit BCR offenbar der Ansicht sind, keiner weitergehenden Genehmigungspflicht für Einzelübermittlungen zu unterliegen. Zum anderen bestehen offen geäußerte Bedenken gegen die Arbeitsweise und die Praxisorientierung der Aufsichtsbehörden, indem mehrfach das zeitraubende Verfahren und praxisferne Ansichten gerügt werden Rechtsanwalt Andreas Leonhardt

45 Seite Implementierungspräferenzen Aus den vorliegenden Daten lassen sich Implementierungspräferenzen der Konzerne bzgl. bestimmter Gestaltungsinstrumente für den konzerninternen Datenaustausch ableiten. Die Präferenzen der Konzerne sind nach Anzahl der Konzerngesellschaften (vgl. Abbildung 56) und nach Unternehmensgröße (vgl. Abbildung 57) aufgeführt. bis 1000 oder mehr GES Safe Harbor BCR Standardklauseln bis 500 GES Safe Harbor BCR Standardklauseln bis 100 GES Safe Harbor BCR Standardklauseln bis 50 GES Safe Harbor Standardklauseln bis 10 GES Safe Harbor BCR Standardklauseln 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% bis 10 GES bis 50 GES bis 100 GES bis 500 GES bis 1000 oder mehr GES Safe Harbor BCR Standardklauseln Abbildung 56: Gestaltungsinstrumente nach Anzahl GES

46 Seite 46 Mehr als Safe Harbor BCR Standardklauseln Bis Safe Harbor BCR Standardklauseln Bis Safe Harbor BCR Standardklauseln Bis Safe Harbor Standardklauseln 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bis Bis Bis Mehr als Safe Harbor BCR Standardklauseln Abbildung 57: Gestaltungsinstrumente nach Unternehmensgröße (MA weltweit) Die Einsatzhäufigkeit von Standardvertragsklauseln ist beinahe bei allen Konzerngrößen einheitlich bei rund 50% angesiedelt; bei kleineren Unternehmen bis MA auch deutlich darüber. Ab der Marke von 100 Konzerngesellschaften bzw MA nimmt zudem die Bedeutung von BCR zulasten von Safe Harbor zu. Bei kleineren Konzernen sind BCR hingegen nur vereinzelt (eine Nennung) anzutreffen. Sie werden erst ab einer Größe von mehr als 50 GES bzw. ab MA verbreitet eingesetzt (zu den Gründen siehe Abschnitt 4.3.2) Rechtsanwalt Andreas Leonhardt

47 Seite 47 5 Fazit Den Herausforderungen des konzerninternen Datenaustausches begegnen die Konzerne mit unterschiedlichen Organisationsformen und Instrumenten. Im Sinne eines Best Practice-Ansatzes treffen die folgenden Aussagen für die Mehrzahl der Konzerne zu: Die Umsetzung der rechtlichen Anforderungen wird überwiegend vom (Konzern-) Datenschutzbeauftragten verantwortet. Mit steigender Größe und Anzahl der Konzerngesellschaften nehmen dezentrale Organisationsmodelle zu. Bei der Organisation der Datenströme wenden die meisten Konzerne ein Bündel verschiedener Instrumente bestehend aus gesetzlichen Erlaubnistatbeständen, (Konzern-) Betriebsvereinbarungen, Einwilligungen und Verträgen zur Datenverarbeitung im Auftrag an. Interne Kontrollen technischer und organisatorischer Maßnahmen erfolgen überwiegend vor Ort, stützen sich jedoch ebenso auf Fragebogenverfahren und die Einsichtnahme in Zertifikate. Bei den 67% der Konzerne, die Daten mit Konzerngesellschaften in Drittstaaten austauschen, bestehen bei den Instrumenten für den internationalen Datenaustausch folgende Implementierungspräferenzen: Die Standardvertragsklauseln der EU werden von den meisten Konzernen bevorzugt. Fast die Hälfte der Konzerne setzt zusätzlich auf eigene Vertragsgestaltungen. Bei großen und komplexen Konzernen mit zahlreichen Konzerngesellschaften zeigt sich zudem ein starker Trend zu BCR. 45 Der schlechte Ruf der Safe Harbor Principles hält Konzerne zunehmend davon ab, diese als Grundlage für ihre Datenströme in die USA einzusetzen. Die Verbreitung ist jedoch weiterhin hoch. Welche Organisationsformen und Instrumente für den jeweiligen Konzern in Frage kommen, bedarf einer Beurteilung des Einzelfalls. Anhaltspunkte können den oben dargestellten Einzelergebnissen der Befragung entnommen werden. 90% der Konzerne erwartet in den nächsten drei Jahren keine Prüfung durch die Aufsichtsbehörden. 45 Weitere Erleichterungen können sich diese von der Datenschutzgrundverordnung versprechen, die mit dem verpflichtenden Kohärenzverfahren gemäß Art. 57ff. des Kommissionsentwurfs (KOM (2012) 11 endgültig) die Aufsichtsbehörden der Mitgliedsstaaten zur Zusammenarbeit verpflichtet. Es wird erwartet, dass dies zu einer stärkeren Vereinheitlichung der Rechtsanwendung durch die Aufsichtsbehörden führen wird. Vgl. dazu Filip, ZD 2013, S. 51.

48 Seite 48 6 Kontakt Andreas Leonhardt Rechtsanwalt und Informatik-Betriebswirt (VWA) ra@aleonhardt.de 7 Impressum Titel Datenschutz-Studie Konzerninterner Datenaustausch 1. Auflage April 2015 Herausgeber Titelfoto Gesellschaft für Datenschutz und Datensicherheit e.v. Heinrich-Böll-Ring 10, Bonn Autor