Von Rechtsanwalt Felix Fritz Wunderlin, LL.M., Reed Smith LLP, München
Die EU-Kommission will ernst machen. Nach ihrem Plan soll der derzeit von der EU-Richtlinie 94/46/EG gelenkte, jedoch national unterschiedlich umgesetzte datenschutzrechtliche „Flickenteppich“ mittelfristig durch eine in allen Staaten unmittelbar geltende EU-Verordnung harmonisiert werden. Eine der signifikantesten Neuerungen des kürzlich publik gewordenen Verordnungsentwurfes sind empfindliche Geldstrafen für Datenschutzverstöße. Diese sollen mit bis zu 5% des weltweiten jährlichen Unternehmensumsatzes wahrlich schmerzhafte Ausmaße annehmen. International tätige Unternehmen sind hier Gefahrenquellen ausgesetzt, wenn sie Daten in Staaten übermitteln, die ein angemessenes Datenschutzniveau nicht gewährleisten können. Dies gilt für den Austausch sensibler Daten mit Dritten ebenso wie für konzerninterne Kommunikation. Die vorgeschlagene Regelung bietet hier Lösungen. Mit dem Reformvorhaben wird insbesondere die Anwendung von Binding Corporate Rules (verbindliche Unternehmensregelungen) erleichtert, deren Verwendung zukünftig nicht mehr nur für internationale Großkonzerne interessant sein wird.
Die Problematik
Das deutsche Bundesdatenschutzgesetz (BDSG) offenbart bereits bei der Übermittlung personenbezogener Daten auf Ebene des europäischen Wirtschaftsraumes (EWR) seine restriktive Grundhaltung. Nach § 4 BDSG besteht hier ein grundsätzliches Datenverarbeitungsverbot mit Erlaubnisvorbehalt, so bei Einwilligung des Betroffenen oder explizit gesetzlicher Gestattung. Für die Datenübermittlung an außerhalb des EWR gelegene Staaten ist ergänzend die Gewährleistung eines angemessenen Datenschutzniveaus im Zielland des Datenempfängers erforderlich. Mit Ausnahme weniger Staaten, wie etwa Argentinien oder Israel, erfüllen außereuropäische Länder die strengen Vorgaben der EU nicht. Lösungen für den Geschäftsverkehr mit den USA bietet das zwischen der EU und der Federal Trade Commission vereinbarte Safe-Harbour-Übereinkommen. Hiernach können sich Unternehmen in den USA (mit Ausnahme einiger Branchen, wie z.B. der Finanzsektor) selbst verpflichten, die Safe-Harbour-Prinzipien einzuhalten und damit ein angemessenes Schutzniveau zu gewährleisten.
Falls am Ort des Datenimports weder ein angemessenes Datenschutzniveau herrscht noch eine Selbstzertifizierung nach den Safe-Harbour-Prinzipien für das Unternehmen möglich ist, bleibt Unternehmen lediglich die Verwendung standardisierter EU-Datenschutzklauseln. Hiermit werden Datenempfänger vertraglich zur Einhaltung eines angemessenen Datenschutzniveaus verpflichtet. Die Klauseln sind jedoch in inhaltlich unveränderter Form vor dem Datentransfer zwischen dem in der EU ansässigen Datenexporteur und dem außereuropäischen Datenimporteur zu vereinbaren. Diese Variante verbietet nicht nur maßgeschneiderte Lösungen, sondern erfordert bei der Kommunikation ein umfangreiches Vertragsmanagement sowie permanente organisatorische Wachsamkeit, um nicht versehentlich personenbezogene Daten ohne Datenschutzklausel zu übermitteln.
Da europäisches Datenschutzrecht ein Konzernprivileg nicht kennt und damit Datentransfers zwischen verbundenen Unternehmen wie solche unter Beteiligung Dritter behandelt, bewegen sich die Protagonisten hier oftmals auf dünnem Eis. Bereits das Abrufen der internen Mitarbeiterliste einer deutschen Konzerntochter durch eine indische Konzerntochter bedarf dann besonderer datenschutzrechtlicher Vorkehrungen. Insbesondere zur Absicherung derart selbstverständlicher Kommunikation im Konzern bieten sich deshalb Binding Corporate Rules (BCR) an.
Vorteile von Binding Corporate Rules
Mit der Verpflichtung zur Einhaltung von BCR schafft der Konzern gruppenintern ein durch die Datenschutzbehörden (DSB) anerkanntes, angemessenes Schutzniveau auch über EU-Grenzen hinweg. Die gewöhnlich für den Transfer von personenbezogenen Daten jeweils notwendige Datenschutzverpflichtung wird somit „vor die Klammer“ gezogen. Jegliche konzerninterne Kommunikation ist vor dem datenschutzrechtlichen Damoklesschwert sicher. Negativschlagzeilen zu Datenschutzmängeln im Konzern lassen sich so im Vorfeld vermeiden. Verantwortungsvoller Umgang in diesem sensiblen Bereich kann sich zudem positiv auf die öffentliche Wahrnehmung des Konzerns auswirken.
Binding Corporate Rules (BCR) heute und unter dem Vorschlag zur EU-Verordnung
Im Jahre 2011 nahm lediglich ein gutes Dutzend internationale Konzerne, unter anderem aus der IT-, Pharma-, Banking- und Energiebranche, den Schutz durch BCR basierend auf Art. 26 Abs. 2 der EU-Datenschutzrichtlinie in Anspruch. Diese Zurückhaltung lässt sich einerseits mit fehlendem Problembewusstsein auf Unternehmensseite erklären, andererseits aber auf das für BCR nötige administrative Prozedere zurückführen.
Der nunmehr kursierende Verordnungsentwurf von EU-Justizkommissarin Viviane Reding sieht eine Verschärfung der Strafzahlungsandrohungen für Datenschutzverstöße vor und würde unter datenexportierenden Unternehmen zweifellos für eine schnelle Sensibilisierung sorgen. So soll jedermann zur Beschwerde bei einer DSB berechtigt sein, was gravierende Folgen haben kann. Der Vorschlag ermächtigt die DSB, Geldstrafen bis zu 5% des weltweiten jährlichen Unternehmensumsatzes zu verhängen. Dieser Höchstsatz betrifft unter anderem den Tatbestand der fahrlässigen Datenübermittlung an Staaten ohne angemessenes Schutzniveau.
Der Entwurf betont aber im Gegenzug auch Strategien zur Reduzierung des unternehmerischen Verletzungsrisikos. Im Zentrum stehen hier die BCR. § 4 c BDSG sieht diese bereits vor, die geltende EU-Richtlinie erwähnt sie jedoch noch nicht explizit. Der Verordnungsvorschlag listet die BCR nunmehr unter Artikel 39 gleich an erster Stelle jener Bedingungen, welche ein angemessenes Datenschutzniveau auch in Nicht-EU-Ländern gewährleisten können. BCR-konform stattfindende Datentransfers wären dann gesetzeskonform.
Das Augenmerk in diesem Bereich liegt auf der Rationalisierung konzerninternen Datenverkehrs unter Wahrung grundlegender Prinzipien des Datenschutzes. Zu diesen gehört die Einräumung durchsetzbarer Rechte an die betroffenen Datensubjekte sowie die Schaffung von Transparenz durch eine vorab definierte Beschreibung beabsichtigter Datenflüsse im Konzern.
Der Entwurf sieht für das derzeitige Verfahren zur Erstellung von BCR begrüßenswerte Erleichterungen vor. Die heute gelebte Praxis sieht vor, dass der mehrstufige Prozess zwar gebündelt über eine vom Unternehmen gewählte sogenannte Lead authority (meist die zuständige DSB im Land des Hauptgeschäftssitzes) verläuft. Schon in diesem Stadium haben andere betroffene DSB die Möglichkeit, das Verfahren mit Einwänden zu verzögern oder gar zu Fall bringen. Die derzeitige Regelung verlangt im weiteren Prozedere die Zustimmung zu den vorgeschlagenen BCR von jeder einzelnen DSB, in deren Staat der Konzern tätig ist. Dieses multibehördliche Verfahren birgt die Gefahr widersprüchlicher Ansichten und beschwört dadurch zeitliche Verzögerungen von Anfang an herauf. Der Verordnungsentwurf strebt daher in Artikel 62 an, der Lead authority die Kompetenz zur gemeinschaftsweit verbindlichen Entscheidung zu verleihen. Andere DSB wären dann an die einmal genehmigten BCR gebunden. Für Unternehmen würde diese Vereinfachung des BCR-Verfahrens neben Zeitersparnis auch die Möglichkeit eröffnen, in Zusammenarbeit mit einer nationalen DSB maßgeschneiderte Lösungen zu erarbeiten, ohne Interventionen aus EU-Nachbarländern zu befürchten.
Fazit
Der Entwurf befindet sich noch im Anfangsstadium und dient vorerst nur als Diskussionsgrundlage für die EU-Datenschutzgruppe. Tendenzen sind jedoch bereits jetzt zu erkennen. Der Datenschutz soll in Europa größer geschrieben und seine Missachtung immer schmerzhafter werden. Die hervorgehobene Positionierung von BCR darf insofern als Aufruf verstanden werden, deren Anwendung vermehrt in Betracht zu ziehen. Das begradigte und beschleunigte Verfahren eröffnet auch kleineren Unternehmen Zugang zu diesem Schutzmechanismus. Notwendig scheint dies insbesondere im innovativen IT- und Start-up-Bereich, wo Staatsgrenzen oftmals bedenkenlos überschritten werden und Risiken existenzbedrohend sein können. Dass der Entwurf mit den angekündigten Maßnahmen im Bereich der BCR den ständig wachsenden datenschutzrechtlichen Aufwand nur unwesentlich mindert, steht dabei freilich auf einem anderen Blatt.
Kontakt: fwunderlin@reedsmith.com