Konzerndatenschutz und Datensicherheit
Update Datenschutz und Datensicherheit im Konzern: Konzernprivileg via Beherrschungsvertrag ?
Von RA und FA IT-Recht Dr. Jens Bücking, Stuttgart
Im Konzern besteht unbestreitbar ein Bedürfnis nach einer zentralisierten Datenverarbeitung (bspw. Personal- und Kundenmanagement, Lieferantenpools, Shared Services, IT-Services etc.).
Die Vertreter eines nach sachlich gerechtfertigten Kriterien eingeschränkten Konzernprivilegs stützen sich dabei auf die EU-datenschutzrichtlinienkonforme Auslegung des „für die Verarbeitung Verantwortlichen“. Dieser Begriff ist in Art. 2 lit. d der Europ. DSRL 95/46/EG definiert als „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Zum Ausdruck kommt hier ein funktionales Verständnis: Ausgangspunkt ist die Entscheidungsbefugnis kraft Verantwortlichkeitszuweisung. Diese ist wiederum zu bestimmen anhand des Einflusses auf den Datenverarbeitungsprozess. Die Arbeitsteiligkeit hat explizit in das Leitbild des Richtliniengebers Eingang gefunden. Maßgeblich ist, ob die – also auch: „andere“ – Stelle allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung der Daten entscheidet.
Hieraus könnte folgen, dass diese andere über den Dateneinsatz entscheidende Stelle eben auch eine Konzernmuttergesellschaft sein kann, die die Entscheidung über die Datenverarbeitung den beherrschten Tochtergesellschaften abnimmt, indem sie hierüber „entscheidet“. Auch eine „gemeinsame“ Entscheidung wird ermöglicht.
Wer der „für die Verarbeitung Verantwortliche“ ist, wäre hiernach also faktisch-funktional anhand der Rechtsform-unabhängigen Entscheidung eines Einzelnen oder Mehrerer gemeinsam in Bezug auf das Schicksal der zu verarbeitenden personenbezogener Daten zu definieren.
Datenpools
Problematisch erscheint auch der Zugriff auf konzernweite Datenbanken, mit denen die von einem Konzernunternehmen erhobenen Daten auch anderen Konzernunternehmen zur Verfügung gestellt werden (Telefonverzeichnisse, Personaldatenbanken, CRM- und Lieferantendatenbanken etc.).
Konzernprivileg v. Beherrschungsregeln
Ausgehend von dem Grundansatz des Datenschutzrechts, das zur Vermeidung von Schutzlücken ein „Konzernprivileg“ im Grundsatz ablehnt, wird von Befürwortern von Erleichterungen in Konzernstrukturen oft die Forderung erhoben, alle konzernierten Unternehmen als eine einzige „verantwortliche Stelle“ im Sinne des Datenschutzrechts zu qualifizieren – mit der Folge, dass der gesamte konzerninterne Datenverkehr als unternehmensinterner Datenverkehr zu gelten habe. Im Konzernrecht bestehe ein vorrangiges Bedürfnis, dass die gesellschaftsrechtlichen Beherrschungsregeln gewahrt werden und nicht durch das Datenschutzrecht gleichsam über die Hintertür außer Kraft gesetzt werden dürfen.
Hieraus ergeben sich folgende Fragen:
- Ist es erforderlich und zulässig, den Datenaustausch im Konzern als Datenaustausch innerhalb einer einzigen verantwortlichen Stelle zu behandeln, sodass diese Weitergabe als ausschließlich interner Datenfluss, also ohne die – wenn auch privilegierten – Erfordernisse der Auftragsdatenverarbeitung oder die strengen Voraussetzungen einer Datenübermittlung zu behandeln?
- Ist es unter der Arbeitshypothese des Fehlens eines Konzernprivilegs zulässig, wenn die Konzernmuttergesellschaft oder die IT-Tochtergesellschaft die zu treffenden technisch-organisatorischen Maßnahmen konzerneinheitlich vorgibt und entsprechend überwacht? Oder liegt hierin ein Verstoß gegen den Grundsatz, dass die jeweilige verantwortliche Stelle diese Maßnahmen treffen und überwachen und demgemäß auch die zu treffenden Maßnahmen individuell mit dem jeweiligen Auftragnehmer vereinbaren muss?
- Ist es unter dem Aspekt des „berechtigten Interesse“ der verantwortlichen Stelle oder der „Erforderlichkeit“ zulässig, wenn verschiedene Konzerntöchter auf gemeinsame Datenbanken zugreifen?
Grundsätzliches
Zunächst sei auf die Stellungnahme des Bundesrates zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes verwiesen (BR-Drs. 535/10, dort Seite 4), wo es sinngemäß heißt, dass der konzerninternen Datentransfer es vor dem Hintergrund des mit der Globalisierung einhergehenden Rationalisierungsdrucks nicht mehr zeitgemäß erscheinen lasse, Konzerngesellschaften auch weiterhin als datenschutzrechtliche Dritte zu behandeln. Die Regelungen zur Datenübermittlung seien daher an die Erfordernisse international organisierter Konzernstrukturen anzupassen, um mit mehr Rechtssicherheit für die Unternehmen deren Wettbewerbsfähigkeit auf dem internationalen Markt zu stärken.
Weiter gilt aber ebenso grundsätzlich, dass es beim Austausch personenbezogener Daten im Konzern eines entsprechenden Erlaubnis- bzw. Privilegierungstatbestandes bedarf. Ein solcher wäre nur dann entbehrlich, wenn der Konzern einheitlich als „verantwortliche Stelle“ gesehen würde und der Empfänger der personenbezogenen Daten nicht als Dritter im Sinne des Gesetzes.
Jedoch hat sich der Gesetzgeber gegen ein solches „Konzernprivileg“ entschieden, das es erlauben würde, die Konzerngesellschaften als eine einheitliche verantwortliche Stelle zu qualifizieren. Die ökonomische Einheit begründet und erfordert hiernach also nicht auch eine Informationseinheit; sämtliche Konzernunternehmen sind im Verhältnis zu einander „Dritte“. Adressat datenschutzrechtlicher Vorschriften bleibt immer nur das einzelne Konzernunternehmen (einschließlich der Konzernmuttergesellschaft), nicht jedoch der Konzern selbst.
Werden daher im Bereich des Informationsmanagements die vom Aktiengesetz eröffneten Einwirkungsmöglichkeiten auf die Konzerngesellschaften durch das Datenschutzrecht bewusst unterbrochen? Diese (noch) vorherrschende Ansicht wird zunehmend in Frage gestellt:
Die Vertreter eines nach sachlich gerechtfertigten Kriterien eingeschränkten Konzernprivilegs stützen sich dabei auf die richtlinienkonforme Auslegung des „für die Verarbeitung Verantwortlichen“, die ein funktionales Verständnis nahelegt (dazu schon oben). Hieraus folge, dass „andere“ über den Dateneinsatz entscheidende Stelle eben auch eine Konzernmuttergesellschaft sein kann, die die Entscheidung über die Datenverarbeitung den beherrschten Tochtergesellschaften abnimmt. Auch eine „gemeinsame“ Entscheidung wird ermöglicht.
Aus der Entscheidung des EuGH vom 24.11.2011 (C 468/10 und C 469/10) wiederum folgt, dass Art. 7 EU-DSRL abschließend und bindend für alle Mitgliedstaaten bestimmt, dass die Verarbeitung erforderlich sein muss zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse und die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 geschützt sind, überwiegen.
Aus den obigen Erwägungen könnte abzuleiten sein, dass das BDSG in § 3 Abs. 7 richtlinienkonform eben gerade nicht so gelesen werden darf, dass nicht zwei oder mehrere Konzerngesellschaften gleichzeitig als verantwortliche Stelle fungieren können, oder – noch einen Schritt weiter – man dem Konzern als solchem absprechen darf, als verantwortliche Stelle zu fungieren (beispielsweise mangels eigener Rechtspersönlichkeit).
Transparenz und Verantwortlichkeit, grundlegende Säulen des Datenschutzrechts zum Schutze des Betroffenen, lassen sich tatsächlich auch durch Zuständigkeitsabgrenzungen und Verantwortlichkeitszuschreibungen vertraglich ausgestalten, beispielsweise als Bestandteil des Verfahrensverzeichnisses, durch das sichergestellt wird,
„dass selbst in komplexen Datenverarbeitungsumfeldern, in denen verschiedene für die Verarbeitung Verantwortliche an der Verarbeitung personenbezogener Daten beteiligt sind, die Verantwortung für die Einhaltung der Datenschutzbestimmungen und für mögliche Verletzungen dieser Bestimmungen klar zugewiesen wird, um die Beeinträchtigung des Schutzes personenbezogener Daten oder die Entstehung von negativen Kompetenzkonflikten bzw. von Schlupflöchern zu vermeiden, die dazu führen, dass bestimmte Verpflichtungen oder Rechte nach Maßgabe der Richtlinie von keiner der Parteien erfüllt bzw. gewährleistet werden“
(vgl. Stellungnahme 1/2010, S. 27 f. der Art. 29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“).
Datenschutzrechtlicher Lösungsansatz
Die EU-DSRL billigt freilich den Mitgliedsstaaten bei der Konkretisierung des Begriffs der verantwortlichen Stelle einen Spielraum zu, mittels „einzelstaatlicher oder gemeinschaftlicher Rechtsvorschriften“ die spezifischen Kriterien für den für die Verarbeitung Verantwortlichen zu bestimmen. Dies wiederum spräche für die Vereinbarkeit des strengen nationalen Ansatzes des BDSG mit der EU-DSRL.
Gesellschaftsrechtlicher Lösungsansatz
Der gesellschaftsrechtliche Ansatz jedoch stellt auf das entscheidende Kriterium für den Konzern, nämlich die „einheitliche Leitung“ durch das herrschende Unternehmen ab. Aus § 308 Abs. 1 AktG folgt, dass der Beherrschungsvertrag in die Organisation der beherrschten Gesellschaft eingreifen und diese ändern kann. Der Vorstand der beherrschten Gesellschaft wird zum Weisungsempfänger hinsichtlich der Leitung der Gesellschaft. Der herrschenden Gesellschaft steht es uneingeschränkt frei, Weisungen in diesen Leitungsbereich hinein zu erteilen.
Die Leitungsmacht erstreckt sich dabei auf die gesamte Betriebsführung, einschließlich der Verarbeitung von im Konzern erhobenen Daten. Denn zu den zentralen Leitungsfunktionen gehört das Informationsmanagement. Dem Vorstand obliegt die Gewährleistung und Sicherung des unternehmensinternen Informationsflusses, weil Unternehmensplanung, Unternehmenssteuerung und Unternehmenskontrolle ohne präzise und zeitnahe Informationen nicht vorstellbar sind (Fleischer, Hdb. des VorstandsR, RdNr. 44). Dies erfordert die Einrichtung und den Betrieb eines leistungsfähigen Berichtswesens auf allen Unternehmensebenen.
Der Betrieb eines konzernweiten Berichtswesens ohne Zugriff auf Daten der Konzerntöchter zu Lieferanten, Kreditoren und Debitoren wäre indes ganz erheblich und in anachronistischer Weise erschwert. Dasselbe gilt für abgeleitete Pflichten zur Kontrolle der beherrschten Gesellschaften in Bezug auf unternehmerische Risiken aus der beherrschten Gesellschaft und deren Durchschlagen auf die herrschende Gesellschaft. So besteht nach § 91 Abs. 2 AktG im Konzern eine Verantwortung des Konzernvorstands, für eine ordnungsgemäße konzernweite und einheitliche Compliance zu sorgen. Eine solche Organisation erfordert wiederum einheitliche Grundsätze für die Verarbeitung und Kontrolle der Verarbeitung von auch personenbezogenen Daten der Konzerngesellschaften. Der Vorstand des herrschenden Unternehmens muss daher die Leitungsmacht auch für die konzerneinheitliche Leitung der konzernweiten Datenverarbeitung beanspruchen.
Gesellschaftsrechtlich bietet der Beherrschungsvertrag sonach durchaus die Möglichkeit, die Unternehmen zweier Rechtsträger in ein Gesamtunternehmen unter Beibehalt der rechtlichen Selbständigkeit und jeweiligen internen Organisationsstrukturen zusammenzuführen und eine entsprechende spezielle Weisung in Bezug auf die zu verarbeitenden Daten auszusprechen. Der Beherrschungsvertrag ist insoweit „fusionsähnlich“, woraus wiederum gefolgert werden könnte, dass es sich hier nicht um mehrere sondern um eine einzige und einheitliche verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG handelt.
Daraus folgt, dass ein einheitliches Konzernprivileg zwar (auch weiterhin) nicht besteht. Anzuknüpfen ist jedoch an den Beherrschungsvertrag und dessen Möglichkeit einer konzernweiten IT-Compliance. Insofern ist die Verantwortung für die Verarbeitung von personenbezogenen Daten gesellschaftsrechtlich zwar nicht a priori dem herrschenden Unternehmen zuzuordnen: soweit es von seiner Weisungsbefugnis keinen Gebrauch macht, verbleibt es bei der Verantwortlichkeit der unmittelbar beteiligten Konzernunternehmen. Es besteht indes die Möglichkeit, innerhalb des Konzerns einen gesellschaftsrechtlichen Erlaubnistatbestand für die Weitergabe und Nutzung personenbezogener Daten in Anspruch zu nehmen. § 308 AktG selbst begründet keinen solchen Erlaubnistatbestand; allerdings eröffnet die Vorschrift dem herrschenden Unternehmen die Möglichkeit, die Informationsflüsse der einzelnen beherrschten Unternehmen einheitlich zu leiten.
Hieraus werden nun bei der Auslegung der datenschutzrechtlichen Erlaubnistatbestände entsprechende Folgerungen gezogen:
Auftrags-DV innerhalb des Konzerns
Ob die Privilegierung der Auftragsdatenverarbeitung im Konzern Anwendung findet, scheint fraglich. Denn der Auftragnehmer ist bei der Auftragsdatenverarbeitung vom Auftraggeber sorgfältig auszuwählen. Wenn dies allein von der beherrschenden Gesellschaft aus geschieht, findet keine solche Auswahl statt. Allerdings könnten diese Hürde in der Praxis noch über Vertretungsmodelle genommen werden.
Der Auftraggeber müsste sich des Weiteren aber auch Weisungsrechte gegenüber dem Auftragnehmer vorbehalten und sich Kontrollrechte in Bezug auf technischen und organisatorischen Maßnahmen einräumen lassen. Deren Wahrnehmung durch einen eigenverantwortlichen Vertreter, hier insbes. Die Konzernmuttergesellschaft, erscheint problematisch. Andererseits würde es eine konzerneinheitliche IT-Tochter ausschließen, wenn tatsächlich jede Gesellschaft im Konzern eigenständig und unbeeinflusst diese Anforderungen in eigener Verantwortlichkeit erfüllen müsste. Denn hierzu müsste das beherrschende Unternehmen von seinem aktienrechtlichen Weisungsrecht gegenüber IT-Tochter und allen konzernierten IT-Konzernkundengesellschaften Gebrauch machen. Deren eigenes „Datenschutz-Ermessen“ entfiele freilich hierdurch. Eine Durchsetzung einheitlicher Datenschutzprinzipen im Konzern kraft Weisung wäre, sollte § 11 BDSG insoweit entgegen stehen, dann nur auf dem Papier möglich.
Bei konzerninternen Datentransfers ergibt sich jedoch ein Dreiecksverhältnis zwischen beherrschender Konzernmuttergesellschaft, beherrschter Auftraggebertochter und beherrschter Auftragnehmertochter; dann aber muss folgerichtig gelten:
- Besteht ein Beherrschungsvertrag, kann die Konzernmutter entsprechende Weisungen an Auftraggeber wie Auftragnehmer hinsichtlich der zu beachtenden Konzerndatenschutzrichtlinien erteilen.
- Über ein Vertretungsmodell sollte es außerdem möglich sein, dass die Konzernmutter nicht nur das Auswahlermessen für den IT-Dienstleister vertretungshalber mit der geforderten Sorgfalt ausübt und sich dazuhin von den Konzerntöchtern auch das Auftraggeber-Weisungsrecht entsprechend zur Wahrnehmung in deren Namen einräumen lässt.
- Es sollte darüber hinaus aber auch möglich sein, dass die Konzernmutter sodann – auf der nächsten Ebene des Berichtswesens – auch ihr eigenes Weisungsrecht gegenüber den Konzerntöchtern an den konzerneigenen IT-Dienstleister delegiert.
- Eine vollständige Delegation dieser Weisungsrechte andererseits wäre freilich mit Sinn und Zweck der Auftragsdatenverarbeitung nicht zu vereinbaren, wonach eben der Auftragnehmer einer Fremdkontrolle und Fremdweisung unterliegt. Dies schließt es aus, dass beide Funktionen, nämlich die Verarbeitung einerseits und die Weisung und Kontrolle andererseits, in einer Hand liegen und sich der Dienstleister also wie bei einem Insichgeschäft selbst anweist und auf Weisungstreue kontrolliert. (Eine entsprechende Problematik ist auch aus der Selbstfakturierung von großen Leistungsempfängern im Massengeschäft mit ihren Lieferanten bekannt.)
Zu vermeiden ist also, dass der IT-Dienstleister frei und nach eigenem Ermessen mit den personenbezogenen Daten verfahren kann – dies stünde im Widerspruch zum Leitbild der weisungsabhängigen Auftragsdatenverarbeitung. Das Weisungs- und Aufsichtsrecht sollte daher von Seiten der Konzernmuttergesellschaft selbst aktiv wahrgenommen und entsprechend dokumentiert werden. Dies erscheint auch unter Haftungsgesichtpunkten angezeigt, denn die Ausübung der Leitungsmacht durch ein Konzernunternehmen kann zu einer persönlichen Haftung der Organe der Konzernmutter führen, wenn diese bei der Auswahl oder bei der Überwachung der weisungsbefugten Personen nicht die erforderliche Sorgfalt walten lassen (Spindler/Stilz-Veil § 309 Rdnr. 8).
Daher dürfen zwar die Konzernunternehmen von der Konzernmutter angewiesen werden, ihre Datenverarbeitung an die konzerneigene IT-Tochter oder an einen externen Dienstleister auszulagern. Denn der Schutzzweck der Sicherstellung eines datenschutzrechtlichen Mindestniveaus erfordert nicht, dass jedes Konzernunternehmen eine eigene Ausschreibung durchführt. Diesem Zweck wird umso besser gedient, wenn die Konzernmutter das IT-Sicherheitskonzept umfassend anhand der einschlägigen Regelwerke wie beispielsweise des BSI-Grundschutzkataloges prüft. Die Tochtergesellschaft wiederum ist gehalten zu prüfen, ob diese Entscheidung im Konzerninteresse liegt.
Auch der Inhalt des Auftrages darf durch die Konzernmuttergesellschaft vorgegeben werden; die Einhaltung von § 11 Abs. 2 BDSG ist dann wiederum vom einzelnen Konzernunternehmen zu prüfen.
Die Konzernunternehmen können von der Konzernmuttergesellschaft insoweit also in ihre Konzerndatenschutzrichtlinien eingebunden werden. Wegen des Schriftlichkeitserfordernisses des ADV-Vertrages mit der IT-Tochter allerdings begegnet eine rein interne Einbindung Bedenken. Daher sollte eine eigenhändige beiderseitige Unterzeichnung durch die Auftraggebertochter und die IT-Auftragnehmertochter erfolgen. Der bloße Erlass einer Konzerndatenschutzrichtlinie wäre vermutlich nicht ausreichend.
Da der Vorstand der beherrschten Gesellschaft nach § 76 AktG für deren Leitung verantwortlich bleibt, entspricht es seiner nicht delegierbaren Verpflichtung, gegenüber rechtswidrigen Weisungen zu remonstrieren. Damit wäre es nicht im Einklang zu bringen, wenn er die Einhaltung der technischen und organisatorischen Schutzvorschriften nicht prüft.
Für den Einsatz des Vertretungsmodells ist daher auch zu beachten, dass zwar eine Vertretung des beherrschten Unternehmens durch die Konzernmuttergesellschaft gegenüber der IT-Tochtergesellschaft zulässig ist. Möglich ist hier jedoch lediglich eine Einzelvollmacht, nicht eine Generalvollmacht, weil dies eine Verletzung der oben genannten Pflichten des Vorstands als Organverwalter darstellen würde. Denn nach § 308 Abs. 2 Satz 2 AktG darf der Vorstand der beherrschten Gesellschaft Weisungen nicht befolgen, die offenbar nicht im Konzerninteresse liegen. Für die einzelne Gesellschaft nachteilige Weisungen sind also zulässig, aber nur bei gleichzeitig äquivalenter Förderung anderer Konzernunternehmen möglich. Diesen Grundsatz der Verhältnismäßigkeit muss der Vorstand der angewiesenen Gesellschaft prüfen.
Für die in § 11 Abs. 3 in Verbindung mit Abs. 2 Nr. 9 BDSG geforderte Spezifizierung der Weisungsrechte gegenüber dem Auftragnehmer gilt, dass als Weisungen im Sinne der Vorschrift nicht nur Einzelfallweisungen sondern eben auch die im Auftrag schriftlich festgelegten Pflichten – etwa in Form eines Konzerndatenschutzrichtlinie – zu verstehen sind. Denn Ziel ist, dass der Auftragnehmer weisungsgebunden ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig wird. Dies erfordert es wohl nicht, dass dem Tochterunternehmen ein unbeschränktes Einzelweisungsrecht eingeräumt wird, solange es als Herrin der Daten weiterhin seinen Pflichten genügen kann. Ein Anpassungsvorbehalt sollte die ordnungsgemäße Datenverarbeitung beim Auftragnehmer hinreichend auch für die Zukunft gewährleisten, wenn sich die rechtlichen Anforderungen ändern.
Die „regelmäßige“ Prüfung der Einhaltung der getroffenen Maßnahmen (und deren zwingende Dokumentation) können gleichfalls durch die Konzernmuttergesellschaft erfolgen. Auch hier bleibt das Tochterunternehmen als eigentlicher Auftraggeber gehalten, die Ergebnisse der Überprüfung wiederum nach eigenen Maßstäben zu überprüfen.
Datenverarbeitung zu eigenen und fremden Geschäftszwecken, insbes. Übermittlungen im Konzern
Erlaubt ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt (§ 28 Abs. 1 Nr. 2 BDSG).
Die sonach vorzunehmende dreistufige Prüfung stellt zunächst auf das Vorliegen berechtigter Interessen der verantwortlichen Stelle ab. Anerkannt sind sowohl wirtschaftliche als auch ideelle Interessen. Wirtschaftliche Interessen sind insbes. solche, die zur Erreichung des Unternehmenszwecks zählen, so die Gewinnung neuer Kunden, die Verbesserung des Betriebsergebnisses, die Verringerung von Kosten oder eine Verbesserung der Außendarstellung.
Auch Konzernbelange zählen zu den berechtigten Interessen der einzelnen Konzernunternehmen, etwa die Vermeidung von Risiken, die den Gesamtkonzern bedrohen. Dieses Interesse erlaubt beispielsweise die Errichtung einer konzernweiten Compliance zur Bekämpfung von Wirtschaftskriminalität, mit Hilfe derer Informationen aus den einzelnen Konzernunternehmen miteinander abgeglichen werden.
Des Weiteren ist eine Abwägung der Erforderlichkeit vorzunehmen, was bedeutet, dass der festgelegte Zweck nicht durch ein milderes Mittel ebenso gut erreicht werden kann. Bei mehreren zur Verfügung stehenden Mitteln muss sich das Unternehmen für diejenige Vorgehensweise entscheiden, die die Persönlichkeitsrechte der Betroffenen am wenigsten beeinträchtigt.
Die schutzwürdigen Interessen des Betroffenen zuletzt, mit denen die Abwägung vorzunehmen ist, beziehen sich auf das Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung. Die Gewichtigkeit ist nach der Rechtsprechung des Bundesverfassungsgerichts insbesondere auch davon abhängig, welchen Grad an Persönlichkeitsrelevanz die betroffenen Interessen aufweisen, und auf welchem Weg diese Inhalte erlangt werden.
Es erscheint naheliegend, Eingriffe in das Recht auf informationelle Selbstbestimmung weniger stark zu bewerten, wenn es sich um einen konzerninternen Sachverhalt handelt, als wenn derselbe Sachverhalt zwischen konzernfremden Unternehmen gegeben ist. Beispielsweise können konzernweite Sicherheitsrichtlinien, technische und organisatorische Maßnahmen oder eine konzernübergreifende Datenschutzorganisation geeignet sein, den Eingriff in das informationelle Selbstbestimmungsrecht in weit stärkerem Maße abzufedern als dies bei konzernfremden Unternehmen und Datenflüssen möglich wäre.
Wichtig ist hier stets die Dokumentation des Abwägungsvorgangs (§ 28 Abs. 1 Nr. 2 BDSG).
Während § 28 Abs. 1 BDSG eine eindeutige Zweckbindung der Datenverwendung vorsieht, ermöglicht Abs. 2 eine Zweckentfremdung unter den dort gegebenen Voraussetzungen. Hier ist bedeutsam insbes. § 28 Abs. 2 Nr. 2a BDSG. Danach ist das Übermitteln oder die Nutzung für einen anderen Zweck zulässig, soweit es erforderlich ist zur Wahrung berechtigter Interessen eines Dritten.
Unter der Prämisse, dass Konzernunternehmen jeweils als einzeln verantwortliche Stellen zu qualifizieren sind, eröffnet diese Vorschrift § 28 Abs. 2 Nr. 2a BDSG daher die Möglichkeit, sich auf einen aus der Konzernverbindung abgeleitetes berechtigtes (Dritt-) Interesse zu berufen. Dabei wird ein genereller Hinweis auf das gemeinsame, allgemeine Konzerninteresse zwar grundsätzlich nicht ausreichen können. Vielmehr muss sich die Übermittlung durch ein – eingehend zu spezifizierendes – berechtigtes Interesse eines konkreten Konzernunternehmens rechtfertigen lassen. Weiter wäre jede Datenweitergabe an bzw. der Datenabruf durch andere Tochterunternehmen des Konzerns beziehungsweise an die Konzernmutter hiernach eine Übermittlung an Dritte. Als Rechtsgrundlage einer solchen Übermittlung käme die Übermittlung zur Wahrung berechtigter Interessen eines Dritten allerdings grundsätzlich in Betracht, sofern das schutzwürdige Interesse der betroffenen Person am Ausschluss der Übermittlung hinreichend berücksichtig wird. Die Übermittlung personenbezogener Kundendaten einschließlich der Interessen, beispielsweise für bestimmte Produkte, ist wegen der schutzwürdigen Interessen des Betroffenen nicht auf diese Vorschrift stützbar (vgl. Büllesbach, CR 2000, 11 (14)).
Das Konzerninteresse kann hier allerdings nicht zugleich das Interesse der einzelnen Gesellschaft im Konzernverbund ersetzen. Denn angesprochen ist hier nicht die Abwägung der Interessen der einzelnen Konzerngesellschaft mit den Interessen des Gesamtkonzerns. Abzuwägen sind vielmehr die Interessen des datenschutzrechtlich Betroffenen mit den Interessen desjenigen Konzernunternehmens, das die Daten verarbeiten lässt. Weisungen, die die Konzernmutter in dieser Hinsicht gegenläufig erteilt, wären wegen dem datenschutzrechtlichen Verbot der Datenweitergabe nichtig.
Andererseits gibt es durchaus Fallgestaltungen, in denen ein schützenswertes gemeinsames Interesse sämtlicher Konzernunternehmen für eine Übermittlung gefunden werden kann, so etwa
- der Austausch von Angaben, die sich auf die Lieferanten der einzelnen Konzerngesellschaften beziehen, um Lieferkapazitäten besser abschätzen und Engpässe vermeiden zu können;
- die Weitergabe firmeninterner Adressverzeichnisse in der legitimen Erwartung, eine ebenso schnelle wie reibungslose konzerninterne Kommunikation sicher zu stellen.
Für den Erlaubnistatbestand fordert das Gesetz des Weiteren, dass die Übermittlung oder Nutzung erforderlich ist und dass kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung der Nutzung hat (§ 28 Abs. 2 Nr. 2a BDSG). Bei § 28 Abs. 2 Nr. 2a BDSG erfolgt keine Interessenabwägung wie zuvor bei § 28 Abs. 1 Nr. 2: sobald anzunehmen ist, dass eine Übermittlung oder Nutzung mit schutzwürdigen Interessen der Betroffenen kollidiert, muss die verantwortliche Stelle auf eine Verwendung der personenbezogenen Daten verzichten.
Resümee
Datenschutzrecht und Gesellschaftsrecht bieten in ihrer Wechselbezüglichkeit insbes. was die Interpretation der datenschutzrechtlichen Vorschriften im Sinne der Konzernstrukturen und Konzerninteressen anbelangt Möglichkeiten eines erleichterten Datentransfers innerhalb des Konzerns, dies etwa durch richtliniennahe Auslegung des Begriffs der „verantwortlichen Stelle“ im Sinne der EU-DSRL und analog des dortigen „für die Verarbeitung Verantwortlichen“. Auch im Rahmen der Abwägungen des § 28 BDSG kann konzernrechtlichen Erfordernissen Rechnung getragen werden. Mit diesen freilich gewissen Unwägbarkeiten unterworfenen Möglichkeiten zur Berücksichtigung konzernrechtlicher Bedürfnisse wird man sich einstweilen noch behelfen müssen, solange kein expliziter datenschutzrechtlicher Erlaubnistatbestand ins Leben gerufen wurde, der den besonderen gesellschaftsrechtlichen Anforderungen im Konzern Rechnung trägt.