Vertrieb und Datenschutz

 

Text: Florian Klytta 

In einer zunehmend vernetzten und globalisierten Wirtschaft sind grenzüberschreitende Datenströme heutzutage unverzichtbar. Unternehmen im Außenhandel müssen Kundendaten, Vertragsdaten oder auch Beschäftigtendaten über die nationale Grenze hinweg austauschen, um wettbewerbsfähig zu bleiben und ihre Kunden bestmöglich zu bedienen. Gleichzeitig stellen diese Datenübermittlungen eine große Herausforderung in Bezug auf den Datenschutz dar. Insbesondere, aber nicht ausschließlich, die Europäische Datenschutz-Grundverordnung (DSGVO) setzt klare Regeln, die beachtet werden müssen. 

Kundendaten werden über Ländergrenzen hinweg ausgetauscht, um Vertriebsaktivitäten zu koordinieren und Kunden bestmöglich zu betreuen. Niederlassungen in verschiedenen Ländern müssen miteinander in einem engen Datenaustausch stehen, in nicht seltenen Fällen existiert bei international aufgestellten Unternehmensgruppen nur eine Payroll-Abteilung. Es ist keine Neuigkeit, dass die Möglichkeiten der Datenübertragung über das Internet geräuschlos und effizient sind. Die angebotenen technischen Lösungen bieten umfangreiche und leicht zu nutzende Funktionen, die global verwendet werden können. Der Datenschutz verkommt dabei oft zu einer fast nicht zu meisternden Hürde, denn schließlich entstehen zuerst Kosten und wenig greifbare Nutzen. Dennoch kann ein gelebter und pragmatischer Datenschutz auch im Wettbewerb Vorteile bieten; er ist in der Lage, unnötige Redundanzen in den datenverarbeitenden Systemen aufzuzeigen und unnötige Kosten für Archivierung, Speicherplatz und Lizenzgebühren zu reduzieren. 

Data Breaches in Software-as-a-Service (SaaS)-Lösungen stellen ein erhebliches Risiko für Unternehmen dar. Da bei SaaS-Anwendungen sensible Unternehmensdaten und Kundendaten oft in der Cloud des Anbieters gespeichert werden, können Sicherheitslücken oder Cyberangriffe weitreichende Folgen haben. Ein erfolgreicher Angriff kann zum Diebstahl oder zur Veröffentlichung vertraulicher Informationen führen, was nicht nur finanzielle Schäden, sondern auch schwerwiegende Reputationsschäden nach sich ziehen kann. Zudem drohen bei Verstößen gegen Datenschutzbestimmungen hohe Bußgelder. 

Besondere Bedeutung: Der Drittstaatentransfer
Der Datentransfer außerhalb der EU und des EWR ist in der DSGVO explizit und ausführlich geregelt und unterliegt engen Voraussetzungen, um überhaupt erst zulässig zu sein. Datentransfers über Grenzen hinweg existieren innerhalb einer Unternehmensgruppe („Intra Group“) als auch zu externen Dritten. Erfahrungsgemäß werden beide Szenarien unterschiedlich gehandhabt, wenngleich doch die Anforderungen der DSGVO universell und verbindlich sind.

Mit diesem Beitrag sollen exemplarische Szenarien erläutert und die Notwendigkeiten der DSGVO dargestellt werden. Keineswegs kann der Beitrag eine Vollständigkeit für sich beanspruchen, denn der Fokus liegt klar auf den Drittstaatentransfer von personenbezogenen Daten und möglichen Umsetzungsformen. Mit einem pragmatischen Handling der Voraussetzungen kann aber diese Pflichtaufgabe zur Kür werden, die das Unternehmen im Wettbewerb stärker positionieren und bereits die erste Phalanx gegen Bußgelder oder Schadensersatzforderungen bilden kann. Am Ende des Beitrags findet sich eine kurze und schnelle Checkliste der möglichen ToDos. 

1. Intra Group Datentransfers
Ein international agierendes Unternehmen mit Niederlassungen oder Tochtergesellschaften im nicht-europäischen Ausland steht oft vor der Frage, wie Tätigkeiten effizient zusammengefasst werden können. Ein prägnantes Beispiel ist eine zentrale Personalverwaltung oder Kundenverwaltung – mit den einhergehenden Datentransfers über europäische Grenzen hinweg. Die Anforderungen der DSGVO für diese Art von Transfers sind klar umrissen: neben den allgemeinen Rechtmäßigkeitsanforderungen muss der Transfer außerhalb der EU bzw. des EWR speziell legitimiert sein. 

1.1. Rechtsgrundlage des Datentransfers
Unternehmen müssen für diesen Bereich daher zunächst prüfen, ob ein Datentransfer innerhalb der eigenen Unternehmensgruppe überhaupt zulässig ist. Während es noch vor Wirksamwerden der DSGVO in bestimmten Konstellationen ein sogenanntes „Konzernprivileg“ gab, so kennt die DSGVO ein derartiges Privileg nicht mehr. Der DSGVO ist es nicht fremd, dass Unternehmensstrukturen zentralisiert werden, um ein effizientes Unternehmen zu führen. 

Der Erwägungsgrund 48 sieht vor: 

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“ 

Die angesprochene zentrale Personal- oder Kundenverwaltung innerhalb einer Unternehmensgruppe kann dementsprechend einem berechtigten Interesse folgen und mithin nach Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Die erste Hürde ist genommen. 

1.2. Drittstaatentransfer
Würde der Austausch innerhalb Deutschlands, innerhalb der EU oder des EWR stattfinden, wäre es denkbar einfach. Hingegen im Außenhandel stellt sich die Frage nach einem Transfer außerhalb der EU bzw. des EWR. 

Im ersten Schritt muss sich das Unternehmen mit den Ländern vertraut machen, die derzeit von der EU als ein Staat mit angemessenem Datenschutz (Art. 45 DSGVO) angesehen werden. In diese Länder ist ein Transfer grundsätzlich erlaubt. Diese Länder sind derzeit: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea (Südkorea), Schweiz, Uruguay und das Vereinigte Königreich. 

Die Vereinigte Staaten von Amerika (USA) nehmen eine Sonderrolle ein und stehen seit Jahren im juristischen Diskurs. Nicht zuletzt die bekannten „Schrems-I“ und „Schrems-II“ Entscheidungen des Europäischen Gerichtshof (EuGH) sorgten für Wirbel. In diesen erklärte der EuGH bislang in zuverlässiger Folge die Unzulässigkeit von Datentransfers in die USA aufgrund der bisherigen „Transfermechanismen“. PRISM und Edward Snow lassen an dieser Stelle grüßen. Die EU-Kommission hat am 10.7.2023 einen neuen Angemessenheitsbeschluss für Datenübermittlungen an zertifizierte US-Empfänger unter dem „EU-US Data Privacy Framework“ erlassen. Die Liste der zertifizierten Unternehmen ist im Internet einsehbar. Aus diesen Gründen kann an zertifizierte Unternehmen aufgrund dieser Angemessenheitsentscheidung ein Datentransfer in die USA ohne weitere Voraussetzungen erfolgen. 

Eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau ist zulässig, sofern das Unternehmen sogenannte „geeignete Garantien“ vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehe. Die bekannteste Garantie dürfte der Abschluss von sogenannten „Standardvertragsklauseln“ sein. Diese hat die EU-Kommission vorgegeben und bilden ein Paket von Verträgen, die standardisiert verwendet können, um einen Datentransfer vorzunehmen. Nicht unter den Tisch fallen soll ebenso die Möglichkeit der „verbindlichen internen Datenschutzvorschriften“ (Art. 47 DSGVO). Diese legen einheitliche Datenschutzstandards für den konzerninternen Datentransfer fest und bieten somit einen rechtssicheren Rahmen. Allerdings ist hierfür ein aufwendiges Prüfverfahren und eine Genehmigung durch die Aufsichtsbehörde notwendig, das lohnt sich erst ab einer gewissen Unternehmensgröße. 

1.3. Pragmatische Lösung 
Unternehmen sollten hier ihre Stärke ausspielen und innerhalb der Unternehmensgruppe einen Datenschutzrahmenvertrag schließen. Der Rahmenvertrag regelt den Umgang mit personenbezogenen Daten und beinhaltet regelmäßig die notwendigen Standardvertragsklauseln, die den Drittstaatentransfer legitimieren. Juristisch besonders kunstvoll ist die Nutzung von Sukzessivklauseln, die es ermöglichen, neu gegründete Unternehmen in den Verbund einzubeziehen. Notwendige Vertragsregelungen für eine Auftragsverarbeitung (Art. 28 DSGVO) oder gemeinsame Verantwortlichkeit (Art. 26 DSGVO) finden hier ihren zentralen Ort. Ebenso besteht die Möglichkeit, neue Transfers

schnell zu erfassen und einzubeziehen. Hierdurch sinkt das Compliance-Risiko signifikant, da ein regelmäßiger Überblick gewährleistet ist. Die Kosten-Nutzen-Bilanz dieses Modells fällt positiv aus, denn schließlich ist nur einmal die Aufarbeitung erforderlich, danach fällt lediglich die regelmäßige Kontrolle und Überwachung an. Dieser Datenschutzrahmenvertrag kann zum zentralen Werkzeug für die Unternehmensgruppe dienen. 

Die Rechtsprechung gerade zum Thema Datenschutz ist noch jung und daher erscheinen fast im Wochenrhythmus neue Entscheidungen, die eine Anpassung ggf. erforderlich machen. 

2. Transfers außerhalb der Unternehmensgruppe 
Datentransfers finden aber auch außerhalb der Unternehmensgruppe statt. Gerade in den vielfältigen Gestaltungen des Außenhandels werden Verträge länder- und grenzübergreifend geschlossen und personenbezogene Daten ausgetauscht. Möglich erscheint ein Transfer von Kundendaten an einen Dritten, der eine weitergehende Dienstleistung erbringt – oder aber schlicht der Einsatz von SaaS-Lösungen zur Unterstützung der internen Prozesse. 

Die erste Prüfungsstufe – die Rechtmäßigkeit – fällt an dieser Stelle schon individueller aus. 

Darf das Unternehmen die Daten an einen Dritten transferieren? Dürfen Datenbestände an einen Vertragspartner übermittelt werden? 

2.1. Rechtsgrundlage des Datentransfers 
Die Grundvoraussetzung ist schnell erklärt: Zulässig ist ein Transfer, wenn eine Einwilligung der betroffenen Person vorliegt oder ein Gesetz es erlaubt, ansonsten ist ein Transfer (d.h. eine Verarbeitung) unzulässig. 

Das Gesetz wird in erster Linie die DSGVO sein. Art. 6 Abs. 1 DSGVO listet die möglichen Varianten auf – insbesondere dürfte die Vertragserfüllung (lit. b) oder eine gesetzliche Pflicht (lit. c) zu nennen sein. Es liegt auf der Hand, dass bei einem Vertragsverhältnis personenbezogene Daten ausgetauscht werden – und dies ist auch zulässig. Der EuGH legt die Vertragserfüllung zwar durchaus eng aus, dennoch ist diese Rechtfertigung die in der Praxis relevanteste (Rechtssache C 252/21, Meta ./. Bundeskartellamt, Urteil vom 4.7.2023). 

Wie auch innerhalb der Unternehmensgruppe stellt sich jetzt – nach Prüfung der Rechtmäßigkeit – die Frage des Transfers außerhalb der EU bzw. des EWR. 

2.2. Drittstaatentransfer 
Natürlich gelten die gleichen Anforderungen – nur leider steht die Möglichkeit eines intra-group-agreement, wie es der oben beschriebene Datenschutzrahmenvertrag ist, in dieser Form nicht zur Verfügung. Mit externen Partnern kann ein Unternehmen nicht leicht ein eigenes Framework bauen, wenngleich dies bei langlaufenden Vertragsbeziehungen durchaus eine Möglichkeit sein könnte. Liegt kein Angemessenheitsbeschluss für das Zielland vor, muss eine geeignete Garantie vorgewiesen werden. Es wird realistisch nur die Nutzung der Standardvertragsklauseln in Betracht kommen. 

Wie beschrieben, bietet die EU-Kommission ein „Paket“ an – d.h. für alle denkbaren Konstellationen kann innerhalb der Dokumente (praktisch in einer PDF) eine Variante gewählt werden. Da es hier aber auch Fallstricke gibt, sollte rechtliche Beratung hinzugezogen werden. Meist können Datenschutzbeauftragte nicht alle wesentlichen juristischen Konsequenzen aus den einzelnen Varianten absehen. 

2.3. Ausnahmen und die praktische Nutzung in „Einzelsituationen“
Nun könnte die bewusst zugespitzte Frage aufkommen: Das darf doch nicht wahr sein, dass für einen einzelnen einfachen Liefervertrag direkt eine ganze Kette an Datenschutzverträgen geschlossen werden muss? 

Nein, muss es nicht. Bei einmaligen Transfers (d.h. eben keine Dauer-Transferbeziehungen, wie bei SaaS-Produkten oder Cloud-Diensten) kann auf die Ausnahme des Art. 49 DSGVO zurückgegriffen werden. Insbesondere sollte die Möglichkeit, von Art. 49 Abs. 1 lit. c) DSGVO Gebrauch zu machen, intensiv geprüft werden. Diese Vorschrift besagt vereinfacht, dass ausnahmsweise ein Transfer zulässig ist, wenn die Übermittlung zum Vertragsabschluss oder zur Vertragsausfüllung im Interesse der betroffenen Person erfolgt. 

Das Unternehmen sollte seine rechtlichen Möglichkeiten daher gut kennen – ist eine dauerhafte Transferbeziehung geplant oder handelt es sich um einen Einzelfall, der „schlanker im Handling“ ist. Dies ist naturgemäß eine Frage des Einzelfalls und sollte mit rechtlicher Begleitung geprüft werden. Sind die für das Unternehmen einschlägigen Transfer-Szenarien einmal ermittelt und sind die juristischen Vorbereitungen getroffen, kann hierauf immer wieder zugegriffen werden. Nur in besonders gelagerten Fällen ist dann noch juristischer Rat notwendig. 

3. Fazit
Insgesamt zeigt sich, dass die Rolle des Datenschutzes bei grenzüberschreitenden Datenübermittlungen im Außenhandel nicht zu unterschätzen ist. Unternehmen müssen die rechtlichen Vorgaben einhalten, ethische Aspekte berücksichtigen und ein „Datenschutzmanagementsystem“ aufbauen. Nur so können sie das Vertrauen ihrer Kunden und Mitarbeiter bewahren und langfristig wettbewerbsfähig bleiben. Datenschutzvorfälle führen zu einem Reputationsschaden und möglichen Bußgeldern oder Schadensersatzforderungen. Besonders misslich ist dies, wenn sich im Ernstfall herausstellt, dass man die „Hausaufgaben“ nicht gemacht hat und es somit versäumt hat, bestehende Risiken zu reduzieren. 

4. Checkliste & ToDos
Um den internationalen Datentransfer innerhalb eines Unternehmens zu organisieren und zu überprüfen, ist es wichtig, eine umfassende Übersicht zu erstellen. Diese sollte sowohl unternehmensinterne Transfers (intra-group Transfers) als auch Übermittlungen an externe Empfänger berücksichtigen. An dieser Stelle sollte die Überlegung angestellt werden, ob eine unternehmensweite Rahmenvereinbarung geschlossen werden soll. 

Ein wesentlicher Aspekt bei der Prüfung ist die genaue Identifikation der Zielländer, in die personenbezogene Daten übermittelt werden. Nach der Erfassung aller relevanten Datentransfers muss sorgfältig geprüft werden, ob die rechtlichen Voraussetzungen für diese Übermittlungen erfüllt sind. 

Dabei stellen sich zwei zentrale Fragen: Erstens, ist der Transfer grundsätzlich erlaubt? Und zweitens, darf eine Übermittlung speziell in das identifizierte Zielland erfolgen? Diese Prüfung muss für jedes Land und jeden Datentransfer einzeln durchgeführt werden, da die rechtlichen Anforderungen je nach Empfängerland variieren können.◀

 

Florian Klytta
Rechtsanwalt / Partner 
Zertifizierter Datenschutzbeauftragter / Zertifizierter IT-Sicherheitsbeauftragter 

CARLSWERK Rechtsanwälte Partnerschaft mbB 
Carlsplatz 24 
40213 Düsseldorf 
T +49 211 942 588 0 
www.carlswerk.com 

 

Dieser Artikel ist auch im AHV NRW Magazin 2024 zu finden oder Sie können den Artikel hier als PDF herunterladen: