Immer öfter sind auch kleinere Unternehmen in Konzernstrukturen eingebunden, die noch dazu häufig multinationaler Natur sind. Innerhalb dieser Strukturen liegt es nahe, dass bestimmte Aufgaben auf einzelne Konzernunternehmen übertragen werden, die diese Aufgaben dann für alle Konzernunternehmen ausführen. Hierdurch können Prozesse optimiert und Kosten gespart werden. Häufigstes Beispiel hierfür sind die konzernweite Personalverwaltung oder aber auch eine zentrales Kundenmanagementsystem  (customer relation management, CRM). So verlockend diese Möglichkeiten auch sind, so vielfältig sind auch die rechtlichen, insbesondere datenschutzrechtlichen Fallstricke.

Das deutsche Datenschutzrecht kennt zunächst einmal kein Konzernprivileg. Rechtlich selbstständige Unternehmen werden im Datenschutz jeweils separat betrachtet, auch wenn sie in einem Konzern miteinander verbunden sind. Dies bedeutet im Ergebnis, dass jeder Datentransfer innerhalb des Konzerns den gleichen Anforderungen unterliegt wie ein Datentransfer an Unternehmen außerhalb des Konzerns.

Und hier gilt eines der eisernen Grundprinzipien des deutschen Datenschutzes: Jede Datenweitergabe an Dritte ist zunächst einmal verboten, wenn sie nicht ausnahmsweise durch Einwilligung, Gesetz oder andere Rechtsvorschrift erlaubt ist.

Eine Möglichkeit, dieses Problem zu lösen, ist die sogenannte Auftragsdatenverarbeitung. Das Grundwesen einer solchen Auftragsdatenverarbeitung ist es, dass der Datenempfänger keine eigene Entscheidungsbefugnis  über die Daten hat, sondern lediglich so mit ihnen verfährt, wie es der Auftraggeber vorgibt. Wenn dies nicht der Fall ist, wenn also dem Auftragnehmer ganze Funktionen übertragen werden, liegt wiederum eine Übermittlung an einen Dritten vor. Auch eine Bezeichnung als Auftragsdatenverarbeitung ändert daran nichts. Die genaue Abgrenzung ist schwierig und sollte im Einzelfall gut bedacht werden. Auch die - zwingend schriftliche - Vertragsgestaltung ist nicht ohne Tücken. Der Gesetzgeber gibt sowohl Auftraggeber als auch Auftragnehmer einen ganzen Katalog an Pflichten vor, deren Überwachung im Verantwortungsbereich des Auftraggebers liegt.

Die Auftragsdatenverarbeitung scheitert aber spätestens dann, wenn Daten außerhalb der EU und des EWR transferiert werden. Ein Datentransfer ist in diesem nur noch dann möglich, wenn zum einen bei der datenverarbeiteten Stelle ein angemessenes Datenschutzniveau gewährleistet ist. Dieses lässt sich unter Umständen durch die Verwendung der sogenannten EU-Standardvertragsklauseln erreichen, die von den Parteien unverändert übernommen werden müssen. Entgegen der häufig verbreiteten Meinung reicht aber allein die Verwendung dieser Klauseln nicht aus. Hinzukommen muss nämlich auch noch ein gesetzlicher Erlaubnistatbestand. Hierbei ist in aller Regel zwischen den Interessen des Unternehmens an dem Datentransfer und den schutzwürdigen Interessen des Datensubjekts (z.B. der Kunde oder Arbeitnehmer) abzuwägen. In diesem Abwägungsprozess kann dann die Nutzung der Standardvertragsklauseln eine Hilfe zugunsten des Transfers darstellen.

Problematisch wird dies allerdings in aller Regel dann, wenn es um die Übermittlung besonders sensibler Daten geht (rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben), was gerade bei der Auslagerung der Personalverwaltung oftmals der Fall ist. Diese Daten stellt der Gesetzgeber unter einen besonders intensiven Schutz. Die exakten Auslegungskriterien für diesen Fall sind äußerst umstritten, so dass gegebenenfalls über alternative Möglichkeiten nachgedacht werden muss.

Eine letzte Möglichkeit ist es immer, die Einwilligung der Betroffenen einzuholen. Diese muss allerdings freiwillig erfolgen. Die herrschende Meinung geht indes davon aus, dass eine solche Freiwilligkeit im Arbeitsverhältnis regelmäßig, aufgrund des Über-/Unterordnungsverhältnisses, nicht gegeben ist. Aber auch in anderen Konstellationen ist die Einwilligungslösung selten das beste Mittel. Vor allem die praktische Umsetzung gestaltet sich äußerst schwierig.

Dieses Thema war Teil einer umfassenden internen Fortbildungsveranstaltung im Datenschutz, die Herr Rechtsanwalt Sebastian Hoegl, LL.M. (Wellington) am 24.10.2011 gehalten hat.