Rz. 25
Sollte kein Angemessenheitsbeschluss vorliegen, dürfen Beschäftigtendaten gemäß Art. 46 Abs. 1 DSGVO in ein Drittland übermittelt werden, sofern geeignete Garantien mit durchsetzbaren Rechten und Rechtsbehelfen für die betroffenen Personen vorgesehen wurden. Die im Folgenden beschriebenen Garantien sollen in erster Linie sicherstellen, dass das hohe EU-Datenschutzniveau auch dann beachtet wird, wenn aus der EU stammende (Beschäftigten-)Daten außerhalb der EU verarbeitet werden. Bei Vorliegen eines Angemessenheitsbeschlusses soll es kein Exklusivitätsverhältnis geben, d.h. die Vereinbarung von geeigneten Garantien ist dann als "doppelter Boden" grundsätzlich zulässig und in der Praxis oftmals ratsam. Dabei sind besonders die Auswirkungen des Schrems II-Urteils des EuGH zu berücksichtigen (Rdn 55 ff.).
a) Verbindliche interne Datenschutzvorschriften (BCR), Art. 46 Abs. 2 lit. b, 47 DSGVO
Rz. 26
Die grenzüberschreitende Übermittlung von Beschäftigtendaten findet häufig dauerhaft innerhalb von komplexen Unternehmensverbünden statt. Zwar sieht die DSGVO kein Konzernprivileg vor, erkennt aber in den Art. 46 Abs. 2 lit. b, 47 DSGVO das Interesse an, Beschäftigtendaten gruppenweit verfügbar zu machen. Demnach kann eine geeignete Garantie i.S.v. Art. 46 Abs. 1 DSGVO darin bestehen, dass sich alle von der Übermittlung betroffenen Akteure verbindlichen internen Datenschutzvorschriften (engl. Binding Corporate Rules, im Folgenden: "BCR") unterwerfen. Diese definiert Art. 4 Nr. 20 DSGVO als "Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern".
Hierbei versteht Art. 4 Nr. 18 DSGVO unter einer Unternehmensgruppe "eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht". Bei einer Gruppe von Unternehmen (nicht legaldefiniert) dürfte es sich dagegen um einen wirtschaftlich zusammenwirkenden Unternehmensverbund ohne klassische Konzernstruktur i.S.v. § 18 Abs. 1 AktG handeln.
aa) Zustandekommen von BCR
Rz. 27
Um grenzüberschreitenden Verkehr von Beschäftigtendaten legitimieren zu können, müssen BCR von der zuständigen nationalen Aufsichtsbehörde genehmigt werden. Jene prüft nach Art. 47 Abs. 1 DSGVO drei Voraussetzungen:
▪ |
Binnen-Geltung: Die vorgeschlagenen BCR müssen rechtlich für alle Mitglieder der Unternehmensgruppe (bzw. der Gruppe von Unternehmen) bindend sein und von diesen tatsächlich durchgesetzt werden. |
▪ |
Außen-Geltung: Den betroffenen Personen (insbesondere den Beschäftigten) müssen ausdrücklich durchsetzbare Rechte zum Schutz ihrer Daten übertragen werden. |
▪ |
Mindestinhalte: Schließlich müssen die zu prüfenden BCR die zwingenden Mindestinhalte des hochgradig detaillierten Katalogs in Art. 47 Abs. 2 DSGVO erfüllen. |
Bei der Prüfung muss die zuständige nationale Aufsichtsbehörde das Kohärenzverfahren anwenden, d.h. alle zu genehmigenden BCR müssen mit dem Europäischen Datenschutzausschuss nach Art. 64 f. DSGVO abgestimmt werden. Damit soll die einheitliche Anwendung der DSGVO in der gesamten EU sichergestellt werden, Art. 63 DSGVO. Wer BCR konzipieren möchte, muss sich u.a. an Leitlinien und Praktiken des Europäischen Datenschutzausschusses orientieren.
bb) Praktische Bewertung von BCR als Übermittlungsgrundlage
Rz. 28
Vorteile:
▪ |
Hohe Rechtssicherheit und Transparenz: Wer bei der Datenübermittlung genehmigte BCR einhält, kann das Risiko eines Verstoßes gegen die DSGVO nahezu ausschließen. |
▪ |
Massentauglichkeit: Findet eine Übermittlung auf Grundlage von BCR statt, ist keine besondere Genehmigung mehr erforderlich, Art. 46 Abs. 2 DSGVO. |
Rz. 29
Nachteile:
▪ |
Aufwändiges Genehmigungsverfahren: Eine lange und teure Prüfung der BCR durch die nationale Aufsichtsbehörde (inklusive Kohärenzverfahren) dürfte sich für die einmalige oder kurzfristige Datenübermittlung nicht lohnen. |
▪ |
Wenig Gestaltungsspielraum: Die BCR lassen sich zwar an die konkreten Unternehmens- oder Konzernbedürfnisse anpassen, jedoch sind die Vorgaben des Art. 47 DSGVO bereits sehr detailliert. |
▪ |
Ausstrahlung des hohen EU-Datenschutzniveaus: Die Geltung der BCR kann zwar auf aus der EU stammende Daten begrenzt werden. Eine solche konzernweite Differenzierung beim Datenschutzniveau dürfte sich jedoch nur mit erheblichem technischem Mehraufwand umsetzen lassen. |
b) Standarddatenschutzklauseln, Art. 46 Abs. 2 lit. c, d DSGVO
Rz. 30
Eine geeignete Garantiemaßnahme kann auch darin liegen, dass Datenempfänger und -übermittler sog. Standarddatenschutzklauseln in ihren Vertrag einbeziehen. Letztlich unterwirft sich der Datenempfänger hierdurch zentralen Vorgaben der DSGVO. Für die Annahme eines ange...