Blossey & Partner
Schloss Dürrwangen
Hauptstraße 3
91602 Dürrwangen
Großraum Berlin
Berliner Straße 9
06886 Wittenberg
Telefon:
+49 98 56 - 92 19 991
Kontakt | Impressum | Datenschutz
© Blossey & Partner Datenschutzberatung
Datenschutz
.zwischen Unternehmensökonomie und Internationalität
Autoren: Stefan Staub, Kerstin Blossey - Verimax GmbH 2005
Autoren: Stefan Staub, Kerstin Blossey - Verimax GmbH 2005
Zusammenfassung
Die rasanten Entwicklungen im Bereich Kommunikations- und Informationstechnologien haben dazu geführt, dass kleine, mittelständische und große Unternehmen heute zumeist komplexe Gebilde mit starken Verflechtungen zwischen einzelnen Außenstellen im Inland, immer häufiger aber auch im Ausland, geworden sind. Die Umsetzung angemessener Datenschutzmaßnahmen ist daher von besonderer Bedeutung. Diverse Standards können dabei wirksam Hilfestellung zur Realisierung geben.
1 Aspekte unternehmensökonomischen Datenschutzes
Wenn juristisch selbständige Einheiten durch Kapitalverflechtungen miteinander verbunden sind, entstehen Divergenzen zwischen dem jeweiligen Direktionsrecht und den gesetzlichen Verpflichtungen der einzelnen juristischen Personen. Dies gilt insbesondere für den Bereich des Datenschutzes.
1.1 Auftragsdatenverarbeitung (Outsourcing )
Bei der Kontrolle des Datentransfers zwischen Unternehmen spielt der Tatbestand des Outsourcings eine große Rolle. Es ist an der Tagesordnung, Konzernbereiche und -aufgaben in rechtlich selbständige Unternehmen auszulagern oder an Dritte zu vergeben, wenn dies zur sinnvollen Kostenreduktion oder anderen Synergieeffekten führt. Das begriffliche Pendant im Datenschutzrecht ist die „Auftragsdatenverarbeitung “. Der Gesetzgeber grenzt diese „Auftrags-Datenverarbeitung“ klar von der reinen Übermittlung ab und belässt die Verantwortung über die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen beim Auftraggeber. Dies bedeutet auch in solchen Unternehmensstrukturen eine genaue Einhaltung der in §11 BDSG geforderten Maßnahmen, wie zum Beispiel die sorgfältige Auswahl des Auftragnehmers, der schriftliche Vertrag mit definierten inhaltlichen Vorgaben und nicht zuletzt die Kontrolle der Datenschutzmaßnahmen beim Auftragnehmer vor Ort.
1.2 Internationalität
Es entspricht den heutigen Tatsachen, dass häufig Unternehmensteile veräußert, fremde Unternehmen eingegliedert oder mehrere Unternehmen zu einem einheitlichen Konzern verschmolzen werden und vice versa. Dies bedeutet, dass Personendaten aus unterschiedlichem betrieblichem wie nationalem Kontext ausgetauscht werden. Die Konsequenz daraus ist eine Übermittlung personenbezogener Daten nach §3 (8) BDSG [Sim03]. Unabhängig davon, ob eine konzerninterne Übermittlung oder der Datenaustausch mit einem konzernfremden Unternehmen stattfindet, ist zunächst zu prüfen, ob die im BDSG genannten Erlaubnistatbestände zum Tragen kommen. Im Wesentlichen ist hier eine Abwägung der in den §§28, 29, 30 BDSG genannten Voraussetzungen zu vollziehen. §28 betrifft die Datenverarbeitung für eigene Zwecke. Handelt es sich z.B. um Markt- und Meinungsforschung durch eine Konzerntochter, sind insbesondere die §§ 29 und 30 BDSG von Bedeutung.
Bei international agierenden Konzernen ist – je nach Sitzland der juristischen Einheit – das jeweils nationale Recht zusätzlich zu beachten. Lediglich bei rechtlich unselbständigen Niederlassungen gilt innerhalb der EU das Recht des Landes, in dem der Sitz der juristischen Person liegt.
2 Ansätze für grenzüberschreitenden Datenschutz
Regelungen und Standards im Bereich Datenschutz und IT-Sicherheit stellen einen Leitfaden für die Umsetzung des Datenschutzes im Konzern dar, unabhängig davon, welche Form das Unternehmen wählt. Zu den internationalen Standards zählen insbesondere die Arbeitspapiere und Empfehlungen der „Art. 29 Gruppe“, der „Internationalen Datenschutzkonferenz“ und der EU-Kommission und ihren einzelnen Arbeitsgruppen (s. Europäische Kommission). Die Sicherstellung des Datenschutzes auf Konzernebene ist organisatorisch dabei durch drei mögliche Modelle zu realisieren: eine zentrale Datenschutzorganisation, eine dezentrale Datenschutzorganisation oder eine Mischform aus beidem [Büll03].
2.1 Internationale Standards im Datenschutz
Ein zentrales Element ist die Erstellung eines „Code of Conduct“. Hierbei stellt der Konzern eine für sein(e) Unternehmen verbindliche Datenschutzrichtlinie auf. Dabei ist der Anspruch des Artikels 25 der EU-Datenschutzrichtlinie (EU-DSRL) zu beachten: Bei Datentransfers in Drittländer ist ein vergleichbares Datenschutzniveau mit den EU-internen Datenschutzregelungen zu gewährleisten (s. Art 25 EU-DSRL). Ebenso garantieren die so genannten „Standardvertragsklauseln“, die von der EU-Kommission bereits verabschiedet wurden, ein angemessenes Schutzniveau. Auch die ISO 17799 gehört zu den international etablierten IT-Sicherheitsnormen, welche in gewissem Umfang auch Teile des Datenschutzes berücksichtigen. Ebenso wie das Grundschutzhandbuch (GSHB) des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) sind dies jedoch sekundäre Hilfsmittel, um den Datenschutz in multinationalen Unternehmen zu gewährleisten.
Weitere Standards, welche im Konzern datenschutzrelevant werden können, sind unter anderem amerikanische Sicherheitsrechtsnormen (z.B. der „home defense act“). Für US-amerikanische Unternehmen besteht daneben die Möglichkeit, sich den „Safe-Harbour-Principles“ zu unterwerfen und somit eine Kontrolle der Datenschutzregelungen durch die Federal Trade Commission (FTC) zuzulassen. Die Umsetzung solcher datenschutzharmonisierenden Maßnahmen kann die verantwortliche Stelle aber nicht von ihrer Aufgabe der Datenschutzkontrolle entheben. Vielmehr ist hier ein mehrstufiges Konzept notwendig, um in allen Bereichen des Konzerns datenschutzgerecht zu agieren. Im Bereich der Konzernrechnungslegung ist vor allem der Sarbanes-Oxley-Act (SOA) von Bedeutung: Der SOA zwingt in den USA börsennotierte Unternehmen zu weit reichenden Maßnahmen, die unter Umständen sogar zu Konflikten mit EU-Datenschutzrecht führen können.
3 Resümee: Der grenzüberschreitende Datenschutz nimmt Gestalt an
Die nationale Umsetzung der EU-DSRL ebnet den Weg für einen grenzenlosen Datenverkehr in der EU. Die neuen Mitgliedsstaaten haben bereits die Richtlinie realisiert. Man kann hier von einem vergleichbaren Datenschutzniveau ausgehen, lediglich Staaten außerhalb der EU sind noch gesondert zu betrachten. Bei diesen so genannten „Drittländern“ ist zwischen Ländern ohne angemessenem und solchen mit - entsprechend der EU-DSRL - angemessenem Datenschutzniveau zu unterscheiden. Die Abgrenzung unterliegt der Entscheidungskompetenz der EU-Kommission und ist im Einzelfall zu prüfen.
Die Verpflichtung zur Umsetzung der nationalen wie internationalen gesetzlich vorgegebenen Datenschutzmaßnahmen in Unternehmen und Konzernen jeglicher Größe ist nicht länger wegzudiskutieren. Im Dschungel der Vorschriften und Möglichkeiten gibt es viele Hilfen und Anlaufstellen, die einen immensen Mehraufwand im Unternehmen wirksam verhindern können. Werden Datenschutzmaßnahmen im Sinne der Gesetzgebung professionell umgesetzt, helfen sie letzten Endes sogar Kosten einsparen durch Vermeidung von Bußgeldern und Strafen, durch mehr Transparenz in der Unternehmensstruktur und damit verbunden effizientere Wege im In- und Ausland.
Literatur
[Simi03] Spiros Simitis: Kommentar zum Bundesdatenschutzgesetz, Nomos Verlagsgesellschaft (2003) 1100f.
[Büll03] Büllesbach Alfred: Sicherstellung des Datenschutzes im Konzern. In: A. Roßnagel: Handbuch Datenschutzrecht, Verlag C.H. Beck 1076 f.
Internetquellen
Europäische Kommission:
http://www.europa.eu.int/comm/justice_home/fsj/privacy/index_de.htm
Gesetzestexte
Aktiengesetz (AktG) idgF;
Europäische Datenschutz-Richtlinie (EU_DSRL) idgF;
Die rasanten Entwicklungen im Bereich Kommunikations- und Informationstechnologien haben dazu geführt, dass kleine, mittelständische und große Unternehmen heute zumeist komplexe Gebilde mit starken Verflechtungen zwischen einzelnen Außenstellen im Inland, immer häufiger aber auch im Ausland, geworden sind. Die Umsetzung angemessener Datenschutzmaßnahmen ist daher von besonderer Bedeutung. Diverse Standards können dabei wirksam Hilfestellung zur Realisierung geben.
1 Aspekte unternehmensökonomischen Datenschutzes
Wenn juristisch selbständige Einheiten durch Kapitalverflechtungen miteinander verbunden sind, entstehen Divergenzen zwischen dem jeweiligen Direktionsrecht und den gesetzlichen Verpflichtungen der einzelnen juristischen Personen. Dies gilt insbesondere für den Bereich des Datenschutzes.
1.1 Auftragsdatenverarbeitung (Outsourcing )
Bei der Kontrolle des Datentransfers zwischen Unternehmen spielt der Tatbestand des Outsourcings eine große Rolle. Es ist an der Tagesordnung, Konzernbereiche und -aufgaben in rechtlich selbständige Unternehmen auszulagern oder an Dritte zu vergeben, wenn dies zur sinnvollen Kostenreduktion oder anderen Synergieeffekten führt. Das begriffliche Pendant im Datenschutzrecht ist die „Auftragsdatenverarbeitung “. Der Gesetzgeber grenzt diese „Auftrags-Datenverarbeitung“ klar von der reinen Übermittlung ab und belässt die Verantwortung über die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen beim Auftraggeber. Dies bedeutet auch in solchen Unternehmensstrukturen eine genaue Einhaltung der in §11 BDSG geforderten Maßnahmen, wie zum Beispiel die sorgfältige Auswahl des Auftragnehmers, der schriftliche Vertrag mit definierten inhaltlichen Vorgaben und nicht zuletzt die Kontrolle der Datenschutzmaßnahmen beim Auftragnehmer vor Ort.
1.2 Internationalität
Es entspricht den heutigen Tatsachen, dass häufig Unternehmensteile veräußert, fremde Unternehmen eingegliedert oder mehrere Unternehmen zu einem einheitlichen Konzern verschmolzen werden und vice versa. Dies bedeutet, dass Personendaten aus unterschiedlichem betrieblichem wie nationalem Kontext ausgetauscht werden. Die Konsequenz daraus ist eine Übermittlung personenbezogener Daten nach §3 (8) BDSG [Sim03]. Unabhängig davon, ob eine konzerninterne Übermittlung oder der Datenaustausch mit einem konzernfremden Unternehmen stattfindet, ist zunächst zu prüfen, ob die im BDSG genannten Erlaubnistatbestände zum Tragen kommen. Im Wesentlichen ist hier eine Abwägung der in den §§28, 29, 30 BDSG genannten Voraussetzungen zu vollziehen. §28 betrifft die Datenverarbeitung für eigene Zwecke. Handelt es sich z.B. um Markt- und Meinungsforschung durch eine Konzerntochter, sind insbesondere die §§ 29 und 30 BDSG von Bedeutung.
Bei international agierenden Konzernen ist – je nach Sitzland der juristischen Einheit – das jeweils nationale Recht zusätzlich zu beachten. Lediglich bei rechtlich unselbständigen Niederlassungen gilt innerhalb der EU das Recht des Landes, in dem der Sitz der juristischen Person liegt.
2 Ansätze für grenzüberschreitenden Datenschutz
Regelungen und Standards im Bereich Datenschutz und IT-Sicherheit stellen einen Leitfaden für die Umsetzung des Datenschutzes im Konzern dar, unabhängig davon, welche Form das Unternehmen wählt. Zu den internationalen Standards zählen insbesondere die Arbeitspapiere und Empfehlungen der „Art. 29 Gruppe“, der „Internationalen Datenschutzkonferenz“ und der EU-Kommission und ihren einzelnen Arbeitsgruppen (s. Europäische Kommission). Die Sicherstellung des Datenschutzes auf Konzernebene ist organisatorisch dabei durch drei mögliche Modelle zu realisieren: eine zentrale Datenschutzorganisation, eine dezentrale Datenschutzorganisation oder eine Mischform aus beidem [Büll03].
2.1 Internationale Standards im Datenschutz
Ein zentrales Element ist die Erstellung eines „Code of Conduct“. Hierbei stellt der Konzern eine für sein(e) Unternehmen verbindliche Datenschutzrichtlinie auf. Dabei ist der Anspruch des Artikels 25 der EU-Datenschutzrichtlinie (EU-DSRL) zu beachten: Bei Datentransfers in Drittländer ist ein vergleichbares Datenschutzniveau mit den EU-internen Datenschutzregelungen zu gewährleisten (s. Art 25 EU-DSRL). Ebenso garantieren die so genannten „Standardvertragsklauseln“, die von der EU-Kommission bereits verabschiedet wurden, ein angemessenes Schutzniveau. Auch die ISO 17799 gehört zu den international etablierten IT-Sicherheitsnormen, welche in gewissem Umfang auch Teile des Datenschutzes berücksichtigen. Ebenso wie das Grundschutzhandbuch (GSHB) des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) sind dies jedoch sekundäre Hilfsmittel, um den Datenschutz in multinationalen Unternehmen zu gewährleisten.
Weitere Standards, welche im Konzern datenschutzrelevant werden können, sind unter anderem amerikanische Sicherheitsrechtsnormen (z.B. der „home defense act“). Für US-amerikanische Unternehmen besteht daneben die Möglichkeit, sich den „Safe-Harbour-Principles“ zu unterwerfen und somit eine Kontrolle der Datenschutzregelungen durch die Federal Trade Commission (FTC) zuzulassen. Die Umsetzung solcher datenschutzharmonisierenden Maßnahmen kann die verantwortliche Stelle aber nicht von ihrer Aufgabe der Datenschutzkontrolle entheben. Vielmehr ist hier ein mehrstufiges Konzept notwendig, um in allen Bereichen des Konzerns datenschutzgerecht zu agieren. Im Bereich der Konzernrechnungslegung ist vor allem der Sarbanes-Oxley-Act (SOA) von Bedeutung: Der SOA zwingt in den USA börsennotierte Unternehmen zu weit reichenden Maßnahmen, die unter Umständen sogar zu Konflikten mit EU-Datenschutzrecht führen können.
3 Resümee: Der grenzüberschreitende Datenschutz nimmt Gestalt an
Die nationale Umsetzung der EU-DSRL ebnet den Weg für einen grenzenlosen Datenverkehr in der EU. Die neuen Mitgliedsstaaten haben bereits die Richtlinie realisiert. Man kann hier von einem vergleichbaren Datenschutzniveau ausgehen, lediglich Staaten außerhalb der EU sind noch gesondert zu betrachten. Bei diesen so genannten „Drittländern“ ist zwischen Ländern ohne angemessenem und solchen mit - entsprechend der EU-DSRL - angemessenem Datenschutzniveau zu unterscheiden. Die Abgrenzung unterliegt der Entscheidungskompetenz der EU-Kommission und ist im Einzelfall zu prüfen.
Die Verpflichtung zur Umsetzung der nationalen wie internationalen gesetzlich vorgegebenen Datenschutzmaßnahmen in Unternehmen und Konzernen jeglicher Größe ist nicht länger wegzudiskutieren. Im Dschungel der Vorschriften und Möglichkeiten gibt es viele Hilfen und Anlaufstellen, die einen immensen Mehraufwand im Unternehmen wirksam verhindern können. Werden Datenschutzmaßnahmen im Sinne der Gesetzgebung professionell umgesetzt, helfen sie letzten Endes sogar Kosten einsparen durch Vermeidung von Bußgeldern und Strafen, durch mehr Transparenz in der Unternehmensstruktur und damit verbunden effizientere Wege im In- und Ausland.
Literatur
[Simi03] Spiros Simitis: Kommentar zum Bundesdatenschutzgesetz, Nomos Verlagsgesellschaft (2003) 1100f.
[Büll03] Büllesbach Alfred: Sicherstellung des Datenschutzes im Konzern. In: A. Roßnagel: Handbuch Datenschutzrecht, Verlag C.H. Beck 1076 f.
Internetquellen
Europäische Kommission:
http://www.europa.eu.int/comm/justice_home/fsj/privacy/index_de.htm
Gesetzestexte
Aktiengesetz (AktG) idgF;
Europäische Datenschutz-Richtlinie (EU_DSRL) idgF;