Dienstag, 14. November 2017

Rezension: Datenübermittlung im Konzern

Lachenmann, Datenübermittlung im Konzern, 1. Auflage, Oldenburger Verlag für Wirtschaft, Informatik und Recht 2016

Von RA Christian Stücke, FA IT-Recht, FA Arbeitsrecht, FA Verwaltungsrecht, Helmstedt



Das vorliegende Werk beleuchtet - unterteilt in vier Abschnitte - Rechtsfragen, die sich in Zusammenhang mit der Übermittlung von Daten in Konzernen stellen. Die besondere Problematik ergibt sich häufig aus dem Umstand, dass der Gesetzgeber weder im BDSG noch - soweit ersichtlich - im Zusammenhang mit der EU-Datenschutzverordnung ein besonderes Konzernprivileg für den Umgang mit personenbezogenen Daten vorgesehen hat. Die durchaus sehr praxisbezogene Zielsetzung der Dissertation ist es, rechtlich zulässige Möglichkeiten des Datenflusses in Konzernen aufzuzeigen.

Der Verfasser arbeitet zunächst die normativen Grundlagen der Datenverarbeitung in Konzernen heraus. Neben Fragen, inwieweit datenschutzrechtliche Vorschriften auf Konzern bzw. Konzernunternehmen Anwendung finden, wird auf die sich daraus ergebenden Konflikte eingegangen. So stehen sich Datenschutzrecht und Gesellschaftsrecht teilweise gewissermaßen gegenseitig im Weg. Dies ergibt sich daraus, dass es „die“ verantwortliche Stelle im datenschutzrechtlichen Sinne im Konzern nicht gibt, sondern stets auf die angehörigen Einzelunternehmen abzustellen ist. Die besonderen Herausforderungen für die einzelbetriebliche Compliance wie auch die des Konzerns werden herausgearbeitet.

Sodann wird im folgenden, zweiten Kapitel die Durchführung der Datenübermittlung im Konzern beleuchtet. Spannend ist dabei etwa die Frage, in welcher Breite bei der Übermittlung die Grundsätze der Auftragsdatenverarbeitung Anwendung finden müssen. Differenziert wird zudem zu Recht zwischen Fragen, die sich bei Datenübermittlung im Konzern innerhalb Deutschlands ergeben, sowie Fragen, die beim grenzüberschreitenden Transport von personenbezogenen Daten entstehen. Der Verfasser geht "deutschlandintern" insbesondere auf die Datenerhebungsvorschriften der §§ 28 und 29 BDSG ein. Zudem finden sich ausführliche Erwägungen im Zusammenhang mit dem Umgang von Daten in Beschäftigungsverhältnissen (§ 32 BDSG). Die Ausführungen zur Datenübermittlung an Konzernunternehmen außerhalb Deutschlands differenzieren zusätzlich in Fragen der Datenübermittlung innerhalb des EWR sowie der "weltweiten" Übermittlung.

Das dritte Kapitel fokussiert auf die künftige Aufstellung der Datenübermittlung im Konzern. Dabei geht der Verfasser auf den normativen Datenschutz der Datenschutz-Grundverordnung ein, sowie im Anschluss auf bestehende Anforderungen an die vertragliche Datenübermittlung im Konzern. Gleich einer musterhaften Orientierungshilfe entwickelt er einen Anforderungskatalog an entsprechende Company-to-Company-Agreements. Eingegangen wird auch auf die mögliche Einrichtung einer gemeinsamen verantwortlichen Stelle. Hier findet der Praktiker unbeschadet der vermittelten Theorie wiederum zahlreiche Hinweise für seine Arbeit, etwa bei der Empfehlung zur inhaltlichen Orientierung am Hessischen DSG bei Einrichtung eines Verfahrensverzeichnisses oder bei Aufstellung eines Anforderungskataloges bei Betrieb einer konzerninternen Datenbank.

Im abschließenden vierten Kapitel werden sodann Thesen und zusammenfassende Ergebnisse kurz und knackig dargestellt.

Man merkt dem Werk an, dass es durch einen bereits in der rechtlichen, anwaltlich-beratenden Praxis gestählten Verfasser abgeliefert wird. Es liefert - bei einer Dissertation obligatorisch - sehr vertiefte Ausführungen theoretischer Art. Was im Rahmen von Dissertationen jedoch nicht selbstverständlich ist, sind die praxisbezogenen Hinweise, etwa den Empfehlungen zu vertraglichen Gestaltungen im Zusammenhang mit der Zusammenführung von personenbezogenen Daten, die in unterschiedlichen Konzernunternehmen gespeichert sind. Genau diese Empfehlungen entsprechen dem Ziel der Dissertation - nämlich den rechtlich zulässigen Gestaltungsraum für einen Konzerndatenaustausch aufzuzeigen. Dieses Ziel wird hervorragend erreicht.

Wer übrigens befürchtet, dass der Band mit Inkrafttreten der neuen EU-Datenschutzverordnung an Aussagekraft oder Aktualität einbüßt, wird irren. Die Datenschutzverordnung findet bereits breiten Raum im Band. Zu Recht verweist der Verfasser im Geleitwort auch darauf, dass sich die Bewertungen im Hinblick auf die regelmäßigen Bezugnahmen auf die EG-Datenschutzrichtlinie 95/46 EG auf das neue Recht übertragen lassen, so dass Betrachtungen zu Vorschriften des BDSG auch auf die Datenschutz-Grundverordnung anwendbar bleiben.

Das Werk kann insgesamt allen Juristen zur Lektüre empfohlen werden, die sich mit datenschutzrechtlichen Fragen im Konzern oder in konzernangehörigen Unternehmen beschäftigen. Die behandelten Fragestellungen insbesondere auch zur Ausgestaltung vertraglicher Vereinbarungen (oder Betriebsvereinbarungen) sind von nicht zu unterschätzender praktischer Relevanz, so dass sich die Anschaffung nachhaltig lohnt.