Datenschutz: Vorsicht beim Datentransfer im Konzern

In Konzernen ist es üblich, bestimmte Aufgaben auf einzelne Konzerngesellschaften zu übertragen. Hierdurch können Prozesse optimiert und Kosten gespart werden. Problematisch ist das allerdings, wenn personenbezogene Daten (z.B. Kundendaten, Mitarbeiterdaten) von einer Konzerngesellschaft zu einer anderen Konzerngesellschaft gelangen. Dieser Datentransfer wird rechtlich genauso behandelt wie ein Transfer zwischen zwei völlig unabhängigen Gesellschaften. Und ein solcher Transfer ist nur dann zulässig, wenn er durch Einwilligung, Gesetz oder andere Rechtsvorschrift ausdrücklich erlaubt ist. Andernfalls handelt es sich um eine bußgeldbewehrte Ordnungswidrigkeit.   

Solange die empfangende Konzerngesellschaft innerhalb der EU bzw. des EWR sitzt, lässt sich in der Regel durch entsprechende vertragliche Gestaltung und Anpassung der internen Prozesse eine rechtskonforme Lösung finden. Schwieriger ist dies, wenn der Empfänger außerhalb der EU/des EWR sitzt und es sich noch dazu um sensible Daten (z.B. Gesundheit,
Gewerkschaftszugehörigkeit) handelt. Dann kommen als Lösungsmöglichkeiten in Betracht: (a) die Einwilligung der Betroffenen, was allerdings im Arbeitsverhältnis oftmals als unzulässig erachtet wird, (b) eine Anonymisierung der Daten vor dem Transfer, (c) die Verwendung von EU-Standardklauseln oder (d) die - sehr aufwendige - Einführung von konzernweiten verbindlichen Datenschutzregelungen (sog. Binding Corporate Rules, BCR). Auch angesichts dieser Schwierigkeiten wird die Einführung des Konzernprivilegs im Zuge der geplanten europaweiten Datenschutzverordnung heftig diskutiert. Aber bis dahin gilt: Vorsicht beim Datentransfer im Konzern.

Dr. Frank Jungfleisch, Sebastian Hoegl, LL.M.