Vorbemerkung Die Übermittlung personenbezogener Daten zählt häufig zu den wesentlichen Bestandteilen der Anbahnung und Abwicklung von Verträgen und anderen Transaktionen zahlreicher Unternehmen. Dabei macht auch die Datenübermittlung wie der Handel schon lange nicht mehr an den Landesgrenzen Deutschlands halt, sondern erfolgt häufig grenzübergreifend zwischen europäischen Staaten oder international. Insbesondere durch die Globalisierung gewinnt dieser grenzübergreifende Datenaustausch zunehmend an Bedeutung. Maßgeblich unterstützt wird dieser Prozess durch die rasante Entwicklung der Informationstechnik. Der Datenaustausch betrifft nicht nur denjenigen zwischen Vertragspartnern, sondern auch den Austausch und die Weitergabe im Unternehmensverbund. Letzteres ist bereits eine datenschutzrechtliche Herausforderung innerhalb Deutschlands, umso komplexer wird die Fragestellung in internationalen Konzernen. Daneben werden auch zunehmend Daten an weltweit tätige EDV-Dienstleistungsanbieter übermittelt. Unter wirtschaftlichen Gesichtspunkten ist das Outsourcing häufig eine Lösung, die keine Unternehmensleitung ignorieren kann. Allerdings sind die beteiligten Akteure nicht immer hinreichend mit den rechtlichen Anforderungen einer Datenübermittlung vertraut. Entspricht eine Datenübermittlung nicht den gesetzlichen Voraussetzungen, kann dies als Ordnungswidrigkeit oder sogar Straftatbestand mit Bußgeldern (bis zu 300.000 EUR) bzw. Freiheitsstrafe geahndet werden ( 43, 44 BDSG). Ganz zu schweigen von eventuellen Reputationsrisiken, die aus einer unzulässigen oder fehlerhaften Datenübermittlung entstehen können. Dem Datenschutzbeauftragten fehlt bei dieser komplexen Materie häufig das notwendige Knowhow, was seine Möglichkeiten beeinträchtigt, den Beteiligten die überzeugenden Argumente zu vermitteln, warum bestimmte Datenübermittlungen nicht oder nur unter ganz bestimmten Voraussetzungen umsetzbar sind. Vor diesem Hintergrund ist die vorliegende Praxishilfe zweigeteilt: Der erste Teil der Praxishilfe ermöglicht Ihnen den Direkteinstieg in konkrete Einzelthemen. Damit lassen sich schnell aktuelle Fragestellungen beantworten und konkrete Problemstellungen vorgesehener Datenübermittlungen lösen. Durch entsprechende Verweisungen auf den Grundlagenteil der Praxishilfe erhalten Sie die erforderlichen Hintergrundinformationen. Der Praxisbezug wird durch eine Vielzahl von Checklisten sowie konkrete Handlungsempfehlungen unterstützt. Im Anhang finden Sie abschließend eine Reihe weiterer Hintergrundmaterialien. Auf der beiliegenden CD-ROM erhalten Sie konkrete Werkzeuge, Materialien und andere Hilfen, mit denen Sie mit geringem Aufwand gezielt und systematisch an die Lösung der an Sie herangetragenen Probleme herangehen können. Damit wird Ihnen zum einen Ihre Arbeit erheblich erleichtert. Zum anderen werden Ihnen so hinreichend Argumente bereitgestellt, um Ihren Gesprächspartnern die für eine gesetzeskonforme Umsetzung notwendigen Maßnahmen professionell vermitteln zu können. Angesichts der komplexen Materie kann die vorliegende Praxishilfe keinen Anspruch auf Vollständigkeit erheben. Darüber hinaus ist die Regelung des grenzüberschreitenden Datenverkehrs der fortlaufenden Entwicklung des Rechts und der Technik unterworfen. Diese Praxishilfe 15
Vorbemerkung stellt keine Rechtsberatung dar und kann eine solche auch nicht ersetzen. Auf jeden Fall sollten Sie aktuelle Entwicklungen, die sich nach dem Redaktionsschluss der Praxishilfe ergeben, in Ihre Überlegungen einfließen lassen. 16
Teil I: Praktische Beispiele und Handlungsempfehlungen
1 Zentralisierung (von Teilbereichen) der Personalverwaltung Häufig werden innerhalb von Unternehmensverbünden oder Konzernen Daten der Beschäftigten von einer zentralisierten Personalverwaltung verarbeitet. Die damit verbundene Weitergabe der Mitarbeiterdaten vom Beschäftigungsunternehmen an z.b. die ausländische Muttergesellschaft muss rechtmäßig sein. Folgende Möglichkeiten können in Betracht kommen. 1.1 Auftragsdatenverarbeitung nach 11 BDSG Werden innerhalb einer Unternehmensgruppe die Personalzuständigkeiten oder Teile davon zentral wahrgenommen, dann kann dies ggf. in der Form der Auftragsdatenverarbeitung (ADV) abgewickelt werden. Das gilt aber nur dann, wenn die zentrale Funktion die Verantwortlichkeit des Arbeitgeberunternehmens nicht beeinträchtigt. Wird die zentrale Personalabteilung als reiner Dienstleister bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und -entwicklung bis hin zur Entlassung von Mitarbeitern tätig, sollte dies im Rahmen einer Auftragsdatenverarbeitung nach 11 BDSG möglich sein. In diesem Fall sind bei einer Stelle mit Sitz in der EU bzw. dem EWR (siehe Übersicht Mitgliedstaaten der EU sowie des EWR (Stand September 2010), Seite 70) oder in einem Land mit angemessenem Datenschutzniveau (siehe im Anhang C, Übersicht Länder mit angemessenem Datenschutzniveau, Seite 129) die entsprechenden Anforderungen nach 11 BDSG (z.b. schriftlicher Vertrag) zu erfüllen (vgl. im Teil II Kapitel 2.2 Hinweis auf Besonderheiten bei der Auftragsdatenverarbeitung nach 11 BDSG, Seite 71). Soweit der Sitz der zentralen Stelle in einem Drittland ohne angemessenes Datenschutzniveau liegt, bietet sich für den genannten Fall der Abschluss der Standardvertragsklauseln für Auftragsdatenverarbeitung (C2P) an (vgl. im Teil II Kapitel 6.3 Standardvertragsklauseln für die Auftragsdatenverarbeitung, Seite 82). Soweit es sich um ein Safe Harbor-zertifiziertes US-amerikanisches Unternehmen handelt, wird kein Standardvertrag benötigt, sondern es kann ein Vertrag entsprechend 11 BDSG abgeschlossen werden (vgl. im Teil II Kapitel 4 Sonderfall Safe Harbor bei Datenübermittlungen in die USA, Seite 73). Dabei sind die vom Düsseldorfer Kreis entschiedenen Anforderungen zu beachten 1 (vgl. Anhang B.2 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen, Seite 126). Meistens gehen die Zuständigkeiten der zentralisierten Personalverwaltung über eine reine Auftragsdatenverarbeitung hinaus. Deshalb wird eher eine der beiden folgenden Alternativen zu prüfen sein. 1 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich am 28./29. April 2010 in Hannover 19
1 Zentralisierung (von Teilbereichen) der Personalverwaltung 1.2 Zulässigkeit für Zwecke des Arbeitsvertrages Dient die Übermittlung der Zweckbestimmung des Beschäftigungsverhältnisses, ist sie nach 32 Abs. 1 Satz 1 BDSG zulässig. Das ist der Fall, wenn der Arbeitsvertrag einen Konzernbezug aufweist, wenn darin also ein Tätigwerden des Arbeitnehmers auch in anderen, insbesondere internationalen Konzernunternehmen vorgesehen ist. Wenn z.b. ein Mitarbeiter in seinem Arbeitsvertrag die Bereitschaft erklärt hat, auch in anderen Konzernunternehmen eingesetzt zu werden, so liegt es in der Zweckbestimmung des Arbeitsvertrages, dass seine Daten z.b. in einem zentralen Personalsystem zur Verfügung stehen. Da die Datenübermittlung an das ausländische Mutterunternehmen in diesem Fall zur Erfüllung der Zwecke des Arbeitsvertrages erforderlich ist, bedarf es auch keiner weiteren Maßnahmen, um eine rechtlich zulässige Datenweitergabe zu gewährleisten. Die hier dargestellte Konstellation trifft meistens nur auf einen kleinen Teil der Mitarbeiter zu, so dass diese Lösung häufig nicht für die Gesamtmitarbeiterschaft geeignet ist. 1.3 Zulässigkeit bei eigenen oder fremden berechtigten Interessen Werden der datenempfangenden Muttergesellschaft Befugnisse und Funktionen übertragen, die an sich dem Arbeitgeber zustehen, kann 28 Abs. 1 Satz 1 Nr. 2 (erforderlich aus berechtigtem Interesse des Arbeitgebers) bzw. 28 Abs. 2 Nr. 2a BDSG (berechtigtes Interesse des dritten Unternehmens) die Übermittlung rechtfertigen, wenn bei der erforderlichen Interessenabwägung die schutzwürdigen Interessen der Arbeitnehmer nicht überwiegen. Es kann nur im Einzelfall beurteilt werden, welche Maßnahmen die Konzernunternehmen in die Waagschale der Abwägung zugunsten der Betroffenen einbringen müssen. In Betracht kommt bei Mutterunternehmen in der EU, im EWR oder in Drittstaaten mit angemessenem Datenschutzniveau (oder Safe Harbor-zertifizierten Unternehmen) beispielsweise die Schaffung eines konzernweiten Datenschutzkonzepts, das einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen und koordinierte Sicherheitsmaßnahmen festschreibt, oder der Abschluss einer Betriebsvereinbarung. Entscheidend ist aber auch, dass die Prozesse der Verarbeitung für die betroffenen Mitarbeiter transparent sind. Bei einer Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau muss auf jeden Fall den gesetzlichen Ansprüchen der Mitarbeiter auf den Schutz ihrer Daten entsprochen werden. Dazu bietet sich in der Praxis häufig der Abschluss der Standardvertragsklauseln für Übermittlungen an (C2C) (vgl. im Teil II Kapitel 6 EU-Standardvertragsklauseln, Seite 80). 20
1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG Zu beachten sind bei Abschluss der Alternativen Standardvertragsklauseln (vgl. im Teil II Kapitel 6.2 Alternative Standardvertragsklauseln für die Übermittlung, Seite 80) die vom Düsseldorfer Kreis festgelegten besonderen Garantien, die der Arbeitgeber gegenüber seinen Beschäftigten erklären muss. 2 Soweit auf Safe Harbor-Zertifizierungen abgestellt wird, ist insbesondere zu prüfen, ob Mitarbeiterdaten erfasst sind. Darüber hinaus sollten die besonderen Anforderungen des Düsseldorfer Kreises berücksichtigt werden (vgl. im Teil II Kapitel 4.3 Besondere Anforderungen des Düsseldorfer Kreises, Seite 73). 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten ist durch die Erlaubnistatbestände des 28 Abs. 1-3 BDSG nicht gedeckt. Daher kann der Arbeitgeber besondere Arten personenbezogener Daten nur auf der Grundlage bereits bestehender bereichsspezifischer Regelungen, beispielsweise der Abgabenordnung, oder nach 28 Abs. 6 Nr. 3 BDSG verarbeiten. 2 Nach 28 Abs. 6 Nr. 3 BDSG ist die Erhebung, Verarbeitung und Nutzung der besonderen Arten personenbezogener Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt. Überträgt nun der Arbeitgeber zulässigerweise Funktionen auf andere Konzernunternehmen, stellt sich die Frage, ob dies die Befugnis zur Übermittlung von besonderen Arten personenbezogener Daten und deren Verarbeitung und Nutzung durch den Funktionsübernehmer umfassen kann. Die Rechtslage ist unklar (vgl. unter Punkt 1. im Kapitel 1.2 im Teil II Zweistufige Zulässigkeitsprüfung bei der Übermittlung in ein Drittland, Seite 67). Es spricht jedoch vieles dafür, dass jedenfalls bei einer als zulässig bewerteten Funktionsübertragung auch besondere Arten personenbezogener Daten im erforderlichen Umfang übermittelt und vom Funktionsübernehmer verarbeitet und genutzt werden dürfen. Diese Ansicht wird allerdings von einigen Aufsichtsbehörden nicht geteilt. Es empfiehlt sich eine Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde. 2 Vgl. Seite 2 Abgestimmte Positionen der Aufsichtsbehörden in der Arbeitsgruppe Internationaler Datenverkehr am 12./13. Februar 2007 - Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni 2006 21
1 Zentralisierung (von Teilbereichen) der Personalverwaltung 1.5 Zulässigkeit aufgrund einer Einwilligung Nach herrschender Ansicht ist die Einwilligung von Mitarbeitern gegenüber ihrem Arbeitgeber nur dann rechtswirksam, wenn der Beschäftigte eine echte Wahl hat. Und er muss seine Einwilligung zu einem späteren Zeitpunkt widerrufen können, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.r. als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten an ein anderes Konzernunternehmen für Zwecke der Personalverwaltung aus. Von Ausnahmen abgesehen, ist die Einwilligung im Beschäftigungsverhältnis für eine Datenübermittlung an ein anderes Konzernunternehmen für Zwecke der Personalverwaltung ungeeignet. 1.6 Zulässigkeit aufgrund von Betriebsvereinbarungen Konzern-, Gesamt- oder Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat stellen Rechtsvorschriften i.s.d. 4 Abs. 1 BDSG dar. Somit können sie als Erlaubnisnorm für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten herangezogen werden. Das Bundesarbeitsgericht (BAG) hat entschieden, dass Betriebsvereinbarungen auch zuungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen können. Es muss allerdings den Grundsätzen über den Persönlichkeitsschutz der Beschäftigten Rechnung getragen werden. Wenn z.b. die Übermittlung der Beschäftigtendaten an die ausländische Muttergesellschaft geregelt werden soll, dann sind dazu in der Betriebsvereinbarung besondere Regelungen zum Schutz der Persönlichkeitsrechte der Mitarbeiter zu treffen. Diese Schutzregelungen dürfen aber nicht das Niveau der Anforderungen des 4c BDSG unterschreiten, weil sich aus 4b BDSG ein grundsätzliches Übermittlungsverbot ergibt, das durch eine Betriebsvereinbarung allein nicht überwunden werden kann. In der Betriebsvereinbarung sollten die vorgesehenen Schutzmechanismen zugunsten der Beschäftigten geregelt werden (z.b. Standardvertragsklauseln, Safe Harbor-Zertifizierung). 22
1.6 Zulässigkeit aufgrund von Betriebsvereinbarungen Weitergabe von Mitarbeiterdaten (zentrale Personalverwaltung) an verbundene Unternehmen/Muttergesellschaft mit Sitz im Ausland 1. Wird die zentrale Personalabteilung als reiner Dienstleister bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und -entwicklung bis hin zur Entlassung von Mitarbeitern tätig und dabei die zentrale Funktion der Verantwortlichkeit des Arbeitgeberunternehmens nicht beeinträchtigt? 2. Dient die Übermittlung der Zweckbestimmung des Arbeitsvertragsverhältnisses? (Das ist z.b. der Fall, wenn der Arbeitsvertrag einen Konzernbezug aufweist.) 3. Bestehen berechtigte Interessen des Arbeitgebers oder eines anderen (Konzern-) Unternehmens? Ja Wenn ja, dann kann es sich um eine Auftragsdatenverarbeitung handeln. Wenn ja, ergibt sich eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG. Wenn ja, bitte weiter mit Punkt 4. Nein Wenn nein, bitte weiter mit Frage 2. Wenn nein, bitte weiter mit Frage 3. Wenn nein, ist eine Übermittlung nur mit freiwilliger Einwilligung möglich. 4. Es sind Maßnahmen zugunsten der Beschäftigten zu treffen (z.b. konzernweites Datenschutzkonzept, Standardvertragsklauseln, Safe Harbor und/oder besondere Regelungen in einer Betriebsvereinbarung). Ferner sind die Verarbeitungsprozesse den Beschäftigten transparent zu machen. Einzelheiten sind in den vorherigen Abschnitten beschrieben. Checkliste: Weitergabe von Mitarbeiterdaten an verbundene Unternehmen im Ausland 23
2 Zentrale Gehaltsabrechnung durch Auslandsgesellschaft Hier ist zunächst zu unterscheiden, ob die Abrechnung von einem Unternehmen mit Sitz innerhalb der EU, des EWR oder in einem Drittland (ungeachtet dessen, ob dort ein angemessenes Datenschutzniveau besteht oder nicht) stattfindet. Innerhalb der EU bzw. des EWR ergeben sich keine Besonderheiten. Es sollte ein Vertrag entsprechend 11 BDSG abgeschlossen werden. Bei einer Verarbeitung im Drittstaat stellt sich das bereits im Rahmen des Kapitels 1 Zentralisierung (von Teilbereichen) der Personalverwaltung angesprochene Problem der sensitiven Daten im Abschnitt 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG. Soweit die für Sie zuständige Aufsichtsbehörde aufgrund der aktuellen Gesetzeslage eine Übermittlung von sensitiven Mitarbeiterdaten in Drittstaaten für nicht zulässig erachtet, kann eine abschließende Erstellung der Lohn- und Gehaltsabrechnung nicht im Drittstaat erfolgen. In der Praxis haben sich aber bereits Konstrukte entwickelt, um die Abrechnungen in Europa zu erstellen, wobei die notwendigen allgemeinen Daten von der zentralen Datenbank im Drittstaat, die sensitiven Daten (wie z.b. Religionszugehörigkeit, Krankentage, Schwerbehinderteneigenschaft) unmittelbar von dem deutschen Unternehmen an den (Unter-) Auftragnehmer in der EU bzw. im EWR weitergegeben werden. 24
3 Zentralisiertes Kundenmanagementsystem Es ist zunächst immer zu fragen, wer welche Daten für welche Zwecke an wen übermittelt. Die verantwortliche Stelle ist üblicherweise die, die eine Vertragsbeziehung zu den Kunden hat. Die Zulässigkeit der Erhebung und Verarbeitung dieser Kundendaten ergibt sich i.d.r. nach 28 Abs. 1 Nr. 1 BDSG, also zum Zweck der Erfüllung eines Vertrages oder im Vorfeld eines Vertrages, oder in der Sprache des BDSG: wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Daran ist zunächst auch eine evtl. Übermittlung an ein anderes Unternehmen derselben Unternehmensgruppe zu knüpfen. Dabei ist es auch im ersten Schritt unerheblich, ob das andere Unternehmen seinen Sitz im Inland oder z.b. in einem Drittland hat. 3.1 Zur Erfüllung von Vertragszwecken Eine Fallgestaltung, bei der eine solche Übermittlung personenbezogener Daten an ein anderes Unternehmen derselben Unternehmensgruppe zum Zweck der Vertragserfüllung stattfinden kann, ist z.b. die Vermittlung von Produkten und Dienstleistungen, die von dem die Daten erhebenden Unternehmen nur deshalb erhoben werden, um diese dann an das eigentliche Vertragspartnerunternehmen weiterzureichen. Diese Konstellation ist beispielsweise bei Banken oder Versicherungsunternehmen anzutreffen, bei denen das vermittelnde Unternehmen den Kundenkontakt hat, die Vertragsbeziehung des Kunden aber mit der Muttergesellschaft besteht. Wenn die Daten an das Vertragspartnerunternehmen im Drittland weitergegeben werden, ist dies eine der Katalogausnahmen des 4b BDSG (Vertragserfüllung). Ob und inwieweit das datenimportierende Unternehmen angemessene Datenschutzgarantien gewährleistet, ist eine geschäfts- und marketingpolitische Fragestellung. Häufig wird ein im Drittland ansässiges Unternehmen gegenüber Wettbewerbsunternehmen mit Sitz in der EU/ EWR nur bei Erklärung eines angemessenen Datenschutzniveaus konkurrenzfähig sein. Wenn sich die Unternehmensgruppe für ein angemessenes Datenschutzniveau entscheidet, dann kommen hier Konstrukte nach den Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor infrage. 3.2 Internationale Kundenbetreuung Ein Sonderfall bei international aufgestellten Unternehmensverbünden ist, dass diese auch global tätigen Unternehmen für eine umfassende Kundenbetreuung zur Verfügung stehen wollen. Deshalb gibt es Fälle, in denen eine evtl. weltweite Kundendatenbank existiert. Solche Konstellationen sind allerdings kaum im Bereich privater Verbraucher zu erwarten, sondern primär nur 25
3 Zentralisiertes Kundenmanagementsystem im gewerblichen Kundengeschäft (B2B). Sofern es sich bei diesen Kunden aber nicht um juristische Personen handelt bzw. im Rahmen des Kundenmanagementsystems auch Ansprechpartner und damit personenbezogene Daten enthalten sind, sind die Voraussetzungen an eine zulässige Datenübermittlung zu beachten. Die Datenweitergabe an das Unternehmen im Drittland oder deren Zugriff auf die Datenbank erfordert ein angemessenes Datenschutzniveau, wenn nicht der eher ungewöhnliche Fall der Einwilligung angenommen werden kann. Das bzw. die datenimportierende(n) Unternehmen kann (können) ein angemessenes Datenschutzniveau durch Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor gewährleisten. Ob und in welchem Umfang Kundendaten aus dem Bereich der EU an andere Unternehmen weitergegeben werden können, bedarf eine entsprechenden Analyse und Interessenabwägung nach 28 Abs. 1 Nr. 2 BDSG. 3.3 Zentrale Kundendatenbank als Auftragsdatenverarbeitung Bleiben die Kundendaten unter der Verantwortung der deutschen verarbeitenden Stelle und werden die Daten nur deshalb in die zentrale Datenbank transferiert, weil eine konzernangehörige Gesellschaft (z.b. die Muttergesellschaft) die Datenverarbeitung zentralisiert hat, dann ist im Grundsatz von einer Auftragsdatenverarbeitung auszugehen. Für diesen Fall gelten die Ausführungen im Kapitel 7 Zentralisierung von Dienstleistungen: Shared Service Center, Seite 39. 26
4 Datenübermittlung für Werbezwecke und Cross-Selling Besonders innerhalb von Konzerngebilden besteht häufig der Wunsch, Kundendaten zum Zwecke der Werbung oder zum Cross-Selling an andere Konzerneinheiten weiterzugeben. Die Zulässigkeit richtet sich zunächst einmal nach 28 Abs. 3 BDSG, wonach eine Übermittlung von personenbezogenen Daten für Werbezwecke nur unter ganz bestimmten Voraussetzungen zulässig ist. Soweit damit eine grenzüberschreitende Datenweitergabe verbunden ist, sind zusätzlich die Vorschriften nach den 4b und 4c BDSG zu beachten. 4.1 Gewährleistung eines angemessenen Datenschutzniveaus Die Gewährleistung eines angemessenen Datenschutzniveaus bei der datenempfangenden Stelle im Ausland, und hier insbesondere im Drittland, wird wohl unabdingbar sein, weil bei einer Übermittlung ohne Einwilligung die entgegenstehenden Interessen der Betroffenen zu berücksichtigen sind (vgl. 28 Abs. 3 letzter Satz BDSG). Eine Datenübermittlung an eine Stelle im Drittland wird häufig bereits wegen der Sprachproblematik nicht sonderlich produktiv sein. Anders ist dies sicherlich dann zu beurteilen, wenn auch der Kunde als globaler Kunde auftritt, was aber bei natürlichen Personen eher die Ausnahme ist. Die Datenweitergabe an das Unternehmen im Drittland auf Basis der gesetzlichen Erlaubnis erfordert ein angemessenes Datenschutzniveau, weil andernfalls im Rahmen der Interessenabwägung eine Übermittlung unzulässig wäre. Das bzw. die datenimportierende(n) Unternehmen kann (können) ein angemessenes Datenschutzniveau durch Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor gewährleisten. 4.2 Grundlage Einwilligung Je nach Konstellation wird es sogar zweckmäßig sein, sich vom Kunden für die Datenübermittlung an andere Konzernunternehmen zum Zwecke der Werbung eine entsprechende Einwilligung geben zu lassen. Das ist sogar in den meisten Fällen dann zwingend erforderlich, wenn mit der Datenweitergabe für Werbezwecke dem Dritten auch die Möglichkeit eingeräumt werden soll, den Kunden telefonisch oder per E-Mail zu kontaktieren. An sich würde eine informierte und freiwillige Einwilligung als eine der Katalogausnahmen des 4c BDSG eine Datenübermittlung an Stellen in Länder ohne angemessenes Datenschutzniveau ermöglichen. Aus marketing- und 27
4 Datenübermittlung für Werbezwecke und Cross-Selling vertriebspolitischen Überlegungen wird man jedoch nur eher selten von dieser Option Gebrauch machen. Der Grund ist darin zu sehen, dass ein nicht angemessenes Datenschutzniveau in der Einwilligungserklärung auch transparent gemacht werden müsste, was die Bereitschaft der Kunden zur Abgabe der Einwilligung tendenziell verringern dürfte. Eine Einwilligung zur Datenübermittlung für Werbezwecke könnte wie folgt gestaltet sein (Beispiel): Einwilligung Der Kunde ist damit einverstanden, dass seine personenbezogenen Daten (und soweit der Kunde zugestimmt hat einschließlich seiner E-Mail-Adressen sowie Telefon- und Faxnummern) zur Durchführung von Werbe- und Marketingmaßnahmen sowie zur Verbesserung des Produktangebotes auch an andere Unternehmen des XYZ- Konzerns* weitergegeben werden. Dabei können die Daten auch an solche konzernangehörigen Unternehmen übermittelt werden, die ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumes (EU/ EWR) haben. Das Unternehmen stellt durch geeignete Maßnahmen sicher, dass bei den empfangenden Stellen ein angemessenes Datenschutzniveau im Sinne des Bundesdatenschutzgesetzes (BDSG) gewährleistet ist. Ferner willigt der Kunde darin ein, zu Zwecken der Kundebetreuung, der Information über Produkte und Dienstleistungen des XYZ-Konzerns* sowie zu Zwecken der Markt- und Meinungsforschung über folgende Kommunikationswege kontaktiert zu werden: Telefon E-Mail Fax * Die konzernangehörigen Unternehmen sind eine Aktualisierung der XYZ- Unternehmensgruppe können Sie jederzeit über die Website www.xyz.de/konzern erfahren. Die vorstehende Einwilligungserklärung kann ohne Einfluss auf den Vertrag jederzeit ganz oder teilweise für die Zukunft widerrufen werden. Beispiel einer Einwilligungserklärung zur Datenweitergabe zu Werbezwecken 28
5 Konzernweites E-Mail-System Oft wird in Konzernen oder anderen Unternehmensverbünden ein unternehmensweit einheitliches E-Mail-System genutzt. Damit einhergehend stehen üblicherweise sämtlichen Mitarbeitern des Konzerns weltweit die entsprechenden Namens-, Telefon- und E-Mail-Verzeichnisse zur Verfügung. 5.1 Zulässigkeit nach Arbeitsvertrag Die Einstellung der Daten in die entsprechenden Verzeichnisse oder ins Intranet ist nach 32 Abs. 1 Satz 1 BDSG zulässig, wenn es für die Durchführung des Beschäftigungsverhältnisses jedes Mitarbeiters erforderlich ist, dass er auf die dienstlichen Kommunikationsdaten (Name, Funktion, Abteilung, Standort, dienstliche Telefon- und Telefaxnummer, E-Mail-Adresse, evtl. Vorgesetzter) aller anderen im Verzeichnis aufgeführten Mitarbeiter zugreifen kann und diese auf seine Daten zugreifen können. 3 Vergleichbare Überlegungen gelten auch für den Verzeichnisdienst von Microsoft Windows Server, genannt Active Directory. Auch hier kann die Konzernholding die Nutzung eines einheitlichen und zentralisierten Active Directories vorgeben. Für die damit verbundene Datenübermittlung von Beschäftigtendaten im Rahmen der Zugriffsberechtigungen gelten die hier in diesem Kapitel beschriebenen Grundsätze. Da die damit verbundene Übermittlung von Beschäftigtendaten zur Zweckerfüllung des Arbeitsvertrages erforderlich ist, werden im Regelfall auch keine weiteren Maßnahmen erforderlich sein. Aufgrund der Verarbeitung der personenbezogenen Daten der Mitarbeiter für die Zwecke zur Erfüllung des Arbeitsvertrages wird damit auch die entsprechende Voraussetzung des 4c BDSG zum grenzüberschreitenden Datenverkehr erfüllt und damit die Datenübermittlung zulässig. Auch für die Bereitstellung des zentralen E-Mail-Systems ergeben sich im Regelfall keine weiteren Maßnahmen. Innerhalb des Unternehmensverbundes wird schon aus vitalem Eigeninteresse der Konzernverbund eine gesicherte Übermittlung der Kommunikationsdaten gewährleisten. Außerhalb des Konzernnetzes ist E-Mail nicht besonders geschützt, sofern diese nicht verschlüsselt wird. Insofern kann im Regelfall davon ausgegangen werden, dass die für die Systeme angemessenen Schutzmaßnahmen getroffen sind. Die Vorgaben des Arbeitgebers überschreiben allerdings nicht das Mitbestimmungsrecht des Betriebsrats. So wird ein E-Mail-System typischerweise durchaus für eine Leistungs- oder Verhaltenskontrolle geeignet sein. Soweit Betriebsvereinbarungen dem Arbeitgeberunternehmen besondere Verpflichtungen auferlegen (vgl. Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 3 Vgl. Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Seite 11, erstellt durch Regierungspräsidium Darmstadt, Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am 11.01.2005 (redaktionelle Änderungen am 25.10.2006) 29
5 Konzernweites E-Mail-System BetrVG), ist es empfehlenswert, mit der zuständigen Stelle des das System betreibenden Unternehmens entsprechende Verabredungen zu treffen. Voraussetzung ist, dass es sich um eine Vorgabe der ausländischen Muttergesellschaft handelt. Typischerweise geschieht dies in Form einer Weisung gegenüber den nachgeordneten Tochtergesellschaften. Das Arbeitgeberunternehmen kann (auf Weisung der Muttergesellschaft bzw. der Holding) von den Mitarbeitern im Rahmen der Erfüllung ihrer vertraglichen Leistungen vorgeben, welche Arbeitsmittel einzusetzen sind. 5.2 Zulässigkeit bei eigenen oder berechtigten Interessen Dritter Sollte es zweifelhaft sein, dass es erforderlich ist, dass jeder mit jedem kommunizieren kann und es insoweit zur Zweckerfüllung des Arbeitsvertrages nicht notwendig ist, könnte als Rechtfertigung auch ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen nach 28 Abs. 1 Satz 1 Nr. 2 oder 28 Abs. 2 Nr. 2a BDSG in Betracht kommen. Für ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen muss jedoch zumindest ein vernünftiger Grund für ein konzernweites Verzeichnis vorliegen (z.b. zentrale Versendung von E-Mails zur zeitgleichen Information aller Mitarbeiter, grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen). Allerdings würde ein berechtigtes Interesse nicht ausreichen, um die Ausnahmeanforderungen an eine zulässige Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau zu rechtfertigen. Insoweit kann die hier dargestellte Zulässigkeitsnorm nur innerhalb der EU/des EWR sowie in Drittstaaten angewandt werden, die ein angemessenes Datenschutzniveau gewährleisten. Ein Zugriff auf eine deutsche E-Mail-Adresse durch einen Mitarbeiter in einem Drittland ohne angemessenes Datenschutzniveau wäre danach unzulässig, wenn nicht eine der Ausnahmen des 4c BDSG herangezogen werden kann. Wegen der Problematik, dass der Zulässigkeitstatbestand des berechtigten Interesses nur in sehr begrenztem Umfang weitere Maßnahmen nicht erforderlich macht, sollte immer konkret geprüft werden, ob nicht die Voraussetzungen der vorbeschriebenen Vertragserfüllung nach 32 Abs. 1 Satz 1 BDSG vorliegen. 30
5.4 Einwilligungserfordernis bei weitergehenden Daten 5.3 Anforderungen der Datenschutzaufsichtsbehörden Einige Datenschutzaufsichtsbehörden erwarten, dass bei global eingesetzten Verzeichnissen den schutzwürdigen Belangen der betroffenen Mitarbeiter, soweit sie Nicht-Funktionsträger (z.b. Lkw- oder Gabelstaplerfahrer) sind, Rechnung getragen wird. Ihnen soll insoweit ein Widerspruchsrecht eingeräumt werden (falls gegen eine Eintragung besondere Gründe vorliegen). 4 Erfahrungsgemäß sind die von den Datenschutzaufsichtsbehörden zitierten Mitarbeitergruppen nicht oder nur selten von der Erfassung in entsprechenden Verzeichnissen betroffen. Sollte dies aber der Fall sein, so empfiehlt sich eine Prüfung, ob denn ein Widerspruchsrecht technisch ohne gravierende Auswirkungen überhaupt umsetzbar sein könnte. Soweit eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG festgestellt werden kann, dürfte ein Widerspruchsrecht nicht zum Tragen kommen können. 5.4 Einwilligungserfordernis bei weitergehenden Daten Aus Gründen der Unternehmenskultur möchten manche Unternehmen u.u. auch persönliche Daten der Beschäftigten im Unternehmensverbund veröffentlichen (z.b. Familienstand, Kinder, Hobby, Foto). Dies kann nur mit einer freiwilligen Einwilligung des einzelnen Mitarbeiters erfolgen. Dies sollte technisch so gestaltet ist, dass der jeweilige Mitarbeiter seine Daten selbst eingeben/hochladen kann ( Self Service ), dann beinhaltet diese Handlung implizit die Einwilligung des Mitarbeiters. Mit der hiermit verbundenen Einwilligung wird im Regelfall auch die Anforderung nach 4c BDSG erfüllt, womit die Veröffentlichung in einem ggf. auch weltweit im Konzernverbund abrufbaren Verzeichnis gesetzeskonform ist. 4 Vgl. Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Seite 12, erstellt durch Regierungspräsidium Darmstadt, Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am 11.01.2005 (redaktionelle Änderungen am 25.10.2006) 31
5 Konzernweites E-Mail-System Mitarbeiterdaten in international unternehmensübergreifenden E-Mail-Systemen und Verzeichnissen 1. Besteht eine Vorgabe der weisungsberechtigten Muttergesellschaft/Holding an das deutsche Arbeitgeberunternehmen für ein konzernweites Verzeichnis (z.b. zentrale Versendung von E-Mails zur zeitgleichen Information aller Mitarbeiter, grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen)? 2. Haben Nicht-Funktionsträger (z.b. Lkw- oder Gabelstaplerfahrer) ein Widerspruchsrecht, falls gegen eine Eintragung besondere Gründe vorliegen? 3. Beschränken sich die Daten auf Name, Funktion, Abteilung, Standort, dienstliche Telefon- und Telefaxnummer, E-Mail-Adresse, evtl. Vorgesetzter? Ja Wenn ja, dann ergibt sich eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG. Bitte weiter mit Frage 2. Wenn ja, bitte weiter mit Frage 3. Wenn ja, bitte weiter mit Frage 4. Nein Wenn nein, könnte ein berechtigtes Interesse infrage kommen ( 28 Abs. 1 Nr. 2 oder 28 Abs. 2 Nr. 2a BDSG), das allerdings bei Übermittlung in Drittländer ohne angemessenes Datenschutzniveau entsprechende Schutzmaßnahmen nicht überflüssig macht. Wenn nein, sollte geprüft werden, ob ein Widerspruch überhaupt umgesetzt werden könnte, ohne dass der Mitarbeiter an der Ausübung der zugewiesenen Tätigkeit gehindert würde. Weiter mit Frage 3. Wenn nein, weil z.b. auch Familienstand, Kinder, Hobby, Foto veröffentlicht werden sollen, erfordert dies die freiwillige Einwilligung des einzelnen Mitarbeiters (z.b. im Rahmen des Self Service ). Bitte weiter mit Frage 4. Checkliste: Mitarbeiterdaten in unternehmensübergreifenden E-Mail-Systemen und Verzeichnissen 32
5.4 Einwilligungserfordernis bei weitergehenden Daten Mitarbeiterdaten in international unternehmensübergreifenden E-Mail-Systemen und Verzeichnissen 4. Sind Regelungen zum Schutz der Persönlichkeitsrechte der Mitarbeiter in einer Betriebsvereinbarung getroffen (soweit Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG besteht)? Ja Wenn ja, sollten mit der zuständigen Stelle des das System betreibenden Unternehmens entsprechende Verabredungen getroffen werden. Nein Wichtig ist, dass die Beschäftigten hinreichend Transparenz über den Datenfluss erhalten. Checkliste: Mitarbeiterdaten in unternehmensübergreifenden E-Mail-Systemen und Verzeichnissen (Forts.) 33
6 Whistleblowing (Sarbanes-Oxley oder J-SOX) Auf der Grundlage des US-amerikanischen Sarbanes-Oxley Act von 2002 (häufig auch SOX genannt), der auch auf europäische Tochterunternehmen oder Dienstleistungsunternehmen durchschlagen kann, muss ein System eingerichtet werden, über das Mitarbeiter Fehlverhalten ihrer Kollegen oder Vorgesetzten melden können ( Whistleblowing ). Inzwischen werden ähnliche Bedingungen auch von japanischen Unternehmen gefordert (J-SOX). Auch Unternehmen mit Sitz außerhalb der USA und Japan übernehmen inzwischen vergleichbare Meldeverfahren. Zulässig ist dies nach dem BDSG nur dann, wenn bestimmte datenschutzrechtliche Voraussetzungen erfüllt werden. 6.1 Verstöße gegen unternehmensinterne Verhaltensregeln Das Whistleblowing stellt ein internes Verfahren zur Meldung von Missständen durch die Beschäftigten dar. Dabei werden bestimmte Kommunikationswege vorgeschrieben. Neben den datenschutzrechtlichen Anforderungen sind bei der Einführung von Verhaltensregeln auch arbeitsrechtliche Erfordernisse zu berücksichtigen und die Mitbestimmungsrechte des Betriebsrats zu wahren. 6.2 Inhalte und Datenströme beim Whistleblowing Im Rahmen einer Meldung von Verstößen gegen Verhaltensregeln werden Angaben über die meldende Person, die beschuldigte Person und die entsprechenden Sachverhalte (Verhaltensverstöße) erhoben und verarbeitet. Je nach Ausgestaltung des Meldeverfahrens besteht die Möglichkeit der internen Nutzung durch die dafür vorgesehene Abteilung (beispielsweise Revision, Compliance), bei international aufgestellten Konzernunternehmen ist eine Übermittlung der personenbezogenen Daten an die im Ausland ansässige Konzernmutter oder andere zum Konzern gehörende Unternehmen im Ausland die Regel. 6.3 Sarbanes-Oxley Act oder J-SOX keine Rechtsvorschriften im Sinne des BDSG SOX oder J-SOX können nicht als dem BDSG vorgehende Rechtsvorschrift angesehen werden, weil amerikanisches/japanisches Recht in Deutschland keine unmittelbare Rechtswirkung entfaltet. Wird durch die lokale Geschäftsleitung das Whistleblowing im Rahmen ihres Direktions- 34