Rezension: Matthias Lachenmann – Datenübermittlung im Konzern
Die Entwicklung neuer Technologien eröffnet Unternehmen eine Vielzahl von Möglichkeiten personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Die effiziente Verwendung personenbezogener Daten ist für Unternehmen nicht nur zum Erhalt ihrer Wettbewerbsfähigkeit von elementarer Bedeutung. Ebenso liegt es im unternehmerischen Interesse, hierbei die gesetzlichen Anforderungen zu erfüllen bzw. den Umgang mit personenbezogenen Daten „compliant“ zu gestalten.
Übersicht, Inhalt und Struktur
Die Arbeit gliedert sich in vier Kapitel. Einleitend werden die normativen Grundlagen der Datenübermittlung dargestellt. Im zweiten (Haupt-)Kapitel informiert der Autor seine Leser über die rechtlichen Grundlagen der Datenübermittlung im Konzern. Anschließend gibt er einen Ausblick auf die Anforderungen an die Datenverarbeitung durch die Datenschutz-Grundverordnung (DSGVO), bevor er abschließend im vierten Kapitel seine Ergebnisse präsentiert und zusammenfasst.
Auf den ersten Seiten erläutert Lachenmann die Kernbegriffe des Datenschutzrechts sowie dessen wesentliche Grundsätze. Dies ist für das bessere Verständnis der Arbeit hilfreich. Die bestehenden datenschutzrechtlichen Regelungen sind an „verantwortliche Stellen“ adressiert. Erfreulich ist daher, dass sich der Autor detailliert mit der Definition und der Festlegung der für die Datenverarbeitung verantwortlichen Stellen befasst. Darstellend am Urteil des OVG Schleswig zum Betrieb von „Facebook Fanpages“ (Urt. V. 4.9.2014 – 4 LB 20/13) erklärt er, dass die Verantwortlichkeit für die Datenverarbeitung dann gegeben ist, wenn die Datenverarbeitung im Tätigkeitsbereich des Unternehmens stattfindet und es auf diese einwirken kann.
Mangels Konzernprivilegs werden Konzernunternehmen im gegenseitigen Verhältnis als „Dritte“ angesehen. Mit Blick auf die Bestimmung der verantwortliche(n) Stelle(n) in der Praxis differenziert Lachenmann zwischen kumulativer Verantwortlichkeit und abgestufter Verantwortlichkeit. Eine kumulative Verantwortlichkeit liegt nach Ansicht des Autors dann vor, wenn die jeweiligen Konzernunternehmen die Daten im gleichen Maße verarbeiten – beispielsweise im Falle einer konzerninternen Datenbank. Letztere liegt nach Auffassung des Autors vor, wenn verschiede Unternehmen des Konzerns an unterschiedlichen Phasen der Datenverarbeitung beteiligt sind.
Auftragsdatenverarbeitung im Konzern
Kern der Arbeit ist die Darstellung der unterschiedlichen rechtlichen Grundlagen der konzerninternen Datenübermittlung. Für Konzerne ist die Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG) ein wichtiges Institut zur legitimen Weitergabe von Daten. Hinsichtlich der Abgrenzung zwischen Funktionsübertragung und Auftragsdatenverarbeitung schließt sich Lachenmann der sog. Vertragstheorie an. Eine Auftragsdatenverarbeitung im Sinne der Vertragstheorie liegt dann vor, wenn die Datenverarbeitung aufgrund eines eindeutigen Vertrags durchgeführt wird und die Aufgaben kein eigenständiges und unabhängiges Tätigwerden des Auftragnehmers erfordern. Spannend finde ich die These, nach der auch die Konzernmutter weisungsgebundene Auftragnehmerin ihrer Konzerntöchter sein kann. Konsequenterweise stellt Lachenmann zur Begutachtung dieser Fragestellung auf den Einzelfall ab. Wie er anmerkt, stellt die gesellschaftsrechtliche Herrschaft der Konzernmutter über die Datenverarbeitung jedoch ein starkes Indiz dar.
Die Einwilligung als Rechtsgrundlage der Datenübermittlung
Von besonderer Praxisrelevanz sind die Ausführungen zur Einwilligung der Betroffenen als Rechtsgrundlage der Datenübermittlung. Der Autor empfiehlt, die Datenübermittlung dann nicht auf Einwilligungen zu stützen, wenn die Datenübermittlung für den Konzern zwingend erforderlich ist. Durch den stets möglichen Widerruf der Einwilligung bestünde die Gefahr, dass die Datenverarbeitung illegitim wird. Im Vergleich stellten gesetzliche Erlaubnistatbestände also eine verlässlichere Rechtsgrundlage für die Datenübermittlung dar. Der Verzicht auf deklaratorische Einwilligungen der Betroffenen ist jedoch nur dann empfehlenswert, soweit tatsächlich eine gesetzliche Rechtsgrundlage einschlägig ist.
Interessant sind die Ausführungen des Autors zum Fortbestand von Einwilligungen bei gesellschaftsrechtlichen Änderungen der verantwortliche(n) Stelle(n). Lachenmann differenziert zwischen unterschiedlichen gesellschaftsrechtlichen Transaktionen: Ändert sich durch Umwandlung die wirtschaftliche und rechtliche Identität der verantwortlichen Stelle nicht oder ändert sich die verantwortliche Stelle im Wege der Gesamtrechtsnachfolge, wirken die Einwilligungen fort. Der Fortbestand der Legaleinheit ist nach zutreffender Ansicht des Autors das entscheidende Kriterium für die Beurteilung des Fortwirkens von Einwilligungen. Diese Ansicht ist gegenüber der h.M., welche bei Assest Deals den Fortbestand der Einwilligung nach der Maßgabe auslegt, ob sie gegenüber einer konkreten natürlichen oder juristischen Person erklärt wurde, vorzugswürdig, da sie sich an eindeutigen Umständen orientiert und kein Auslegungsrisiko enthält.
Die Interessenabwägung als Chance für Konzerne
Nicht minder von Bedeutung sind die Erlaubnisnormen des § 28 BDSG für die Datenübermittlung. § 28 Abs. 1 Nr. 1 BDSG legitimiert eine konzerninterne Datenübermittlung, wenn bereits durch den Vertragszweck die Datenübermittlung an Dritte indiziert ist und dies den Betroffenen transparent kommuniziert wird. Das dem Datenschutzrecht fremde Konzernprivileg führt nach Ansicht des Autors nicht gleichzeitig zu einem „Konzernmalus“. Im Vergleich zu anderen Unternehmen bzw. verantwortlichen Stellen bestünden an Konzerne keine höheren Anforderungen an die Datenverarbeitung. Im Rahmen einer in den Fällen des § 28 Abs. 1 Nr. 2 BDSG durchzuführenden Interessenabwägung kann diese zu Gunsten eines Konzerns ausfallen und eine konzerninterne Datenübermittlung rechtfertigen. Der Autor lässt hierfür fremde Interessen – also keine eigenen Interessen der verantwortlichen Stelle, sondern „fremde“ Interessen eines dritten Konzernunternehmens – genügen, sofern die Konzernunternehmen ein Intra-Company-Agreement abgeschlossen haben und dieses im ausreichenden Umfang die Rechte der Betroffenen wahrt.
Den Ball, die Interessenabwägung zu ihren Gunsten zu beeinflussen, spielt der Gesetzgeber auf diese Weise an die verantwortlichen Stellen. Praxisnah und gut verständlich, stellt Lachenmann seinen Lesern dar, welche Aspekte die Interessenabwägung beeinflussen.
Abschließend geht Lachenmann auf die ab dem 25.05.2018 geltende DSGVO ein. Entsprechend dem Motto „Evolution statt Revolution“ entwickele sich das europäische Datenschutzrecht fort. Auch der DSGVO ist ein Konzernprivileg fremd. Der Autor sieht in Art. 6 Abs. 1 lit. f DSGVO jedoch insofern einen Vorteil für Konzerne, als dass die Datenverarbeitung dann zulässig sein kann, wenn auch hier eine Interessen-abwägung von Unternehmensinteressen mit den Interessen der Betroffenen zu Gunsten der Erstgenannten ausfällt.
Fazit: Wertvolle Orientierungshilfe für den Konzerndatenschutzbeauftragten
Die Arbeit beachtet sämtliche rechtliche Möglichkeiten der Datenübermittlung, was sie besonders facettenreich macht. Gleichwohl analysiert es der Autor – trotz der Vielseitigkeit der Thematik – durch eine gelungene Schwerpunktsetzung Details einzelner rechtlicher Fragestellungen. Die Dissertation ist daher insbesondere für Konzerndatenschutzbeauftragte eine empfehlenswerte Lektüre.
Matthias Lachenmann
Datenübermittlung im Konzern
Dissertation an der Universität Oldenburg
Herausgegeben von Prof. Dr. Jürgen Taeger, Juli 2016
Oldenburger Verlag für Wirtschaft, Informatik und Recht
ISBN: 978-3-95599-033-6;
€ 49,80
