Der Rat der Europäischen Union und insbesondere die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst (Dapix), sind in diesen Tagen nicht zu beneiden. Nach der Veröffentlichung von Verhandlungsdokumenten (auf statewatch.org und edri.org zu finden) zu den neuesten Änderungen an dem Entwurf für eine Datenschutz-Grundverordnung, ging ein Kritikgewitter auf die Dapix nieder (u.a. bei heise online, futurezone.at und Tagesspiegel).
Ob die Kritik berechtigt ist oder nicht, möchte ich hier nicht näher untersuchen. Mir ist bei einem flüchtigen Blick auf eines der betreffenden Dokumente (Kapitel 2, (Englisch) PDF) vielmehr ein aus der Praxis positiv zu bewertender Änderungsantrag aus Deutschland ins Auge gestochen.
In einem neuen Erwägungsgrund 38a schlägt Deutschland vor, dass in Zukunft Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns, grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung ist unter anderem, dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.
Das Thema des sog. Konzernprivilegs (bzw. sein Fehlen im Datenschutzrecht) wäre mit dieser Änderung zumindest eingeschränkt erledigt. Derzeit müssen auch Datentransfers in einer Unternehmensgruppe auf eine Einwilligung oder einen gesetzlichen Erlaubnistatbestand gestützt werden. Es existiert kein Privileg des konzerninternen Datentransfers. Es handelt sich datenschutzrechtlich um eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG. Der deutsche Vorschlag würde nun zwar einem Datentransfers nicht seine Natur einer Übermittlung nach dem Gesetz nehmen (daher meine Wortwahl des eingeschränkten Konzernprivilegs). Jedoch wäre diese Übermittlung in bestimmten Fällen von vornherein erlaubt.
Einen ähnlichen Vorschlag, jedoch nicht nur in der Form eines Erwägungsgrundes, sondern direkt als einen neuen Art. 22 Abs. 3a, hat auch das Europäische Parlament in seiner Entschließung zur Datenschutz-Grundverordnung im März 2014 gemacht.
Was letztendlich von diesem Vorschlag der deutschen Delegation im Rat übrig bleibt, muss man abwarten. Denn über diesen Änderungsantrag dürfte noch nicht in Gänze zwischen den Mitgliedstaaten diskutiert worden sein. Sollte es ein solcher Erwägungsgrund jedoch in die Verhandlungen zwischen Kommission, Parlament und Rat schaffen, so stünden die Chancen aufgrund des ähnlichen Vorschlags aus dem Parlament, bestimmt nicht schlecht, dass wir am Ende zumindest ein „eingeschränktes Konzernprivileg“ erhalten.
§ 3 Abs. 4 Nr. 3 BDSG müsste es heißen…
Vielen Dank. Ich habe es direkt korrigiert. Viele Grüße
Wie verhält es sich aktuell mit persönlichen Daten, die durch die Firma an Dritte gemeldet werden?
Z.B. zur Lohnabrechnung oder ‚moderne‘ Mitarbeiter-Rating-Systeme
Hallo. Danke für Ihren Kommentar. Da würde ich die typische Juristenantwort in den Raum werfen: „es kommt darauf an“. Aber wenn Sie personenbezogene Daten an Dritte (also zB andere Unternehmen übertragen), dann liegt eine Übermittlung iSd Gesetzes vor und müsste auf eine gesetzliche Grundlage oder eine Einwilligung gestüzt werden. Es sei denn, Sie haben einen Vertrag zur Auftragsdatenverarbeitung mit diesem dritten Unternehmen abgeschlossen. Dann liegt keine Übermittlung im Sinne des BDSG vor. Was jedoch wiederum nur innerhalb des EWR gilt. Beste Grüße
Vielen Dank für Ihre Antwort. Was genau bedeutet EWR in diesem Zusammenhang: EU, EU+anerkannt sichere Staaten, Safe-harbor?
EWR bedeutet Europäischer Wirtschaftsraum. Nein, die von der EU-Kommission anerkannt sicheren Länder fallen nicht darunter. Auch in diesem Fall findet eine Übermittlung im Sinne des Gesetzes statt.