Jens Tiedemann

Axel Frhr. v. d. Bussche/Paul Voigt, Konzerndatenschutz


Axel Frhr. v. d. Bussche/Paul Voigt, Konzerndatenschutz. Rechtshandbuch, München (C.H.BECK) 2014, ISBN 978-3-406-66113-6, € 99,-

ZD-Aktuell 2015, 04124     Der Konzerndatenschutz hat – nicht nur unter dem Gesichtspunkt der Compliance – signifikant an Bedeutung gewonnen. Das vorliegende (Rechts-)Handbuch schließt eine Marktlücke, indem es sich diesem Bereich erstmals umfassend widmet. Das Fehlen eines Konzernprivilegs – das BDSG knüpft bekanntermaßen an den Betrieb an und jeder Betrieb ist eine verantwortliche Stelle i.S.v. § 2 Abs. 7 BDSG – lässt Datenübermittlungen innerhalb von Konzernstrukturen nämlich nur unter erschwerten Bedingungen zu, obwohl Konzerne strukturell häufig wie ein Unternehmen geführt werden und auf eine gemeinsame Datenverarbeitung angewiesen sind, z.B. bei der zentralen Personalverwaltung oder der Zurverfügungstellung von IT-Dienstleistungen. Die Übermittlung von personenbezogenen Daten entweder innerhalb der EU oder gar außerhalb kann sich schnell als sog. Auftragsdatenverarbeitung darstellen und jede Datenübermittlung bedarf der Rechtfertigung. Hinzu kommt, dass (Konzern-)Betriebsräte zunehmend ihre Mitbestimmungsrechte mit datenschutzrechtlichem Bezug verstärkt wahrnehmen und damit ihren Einfluss auf die Umsetzung des Datenschutzrechts und die Gewährung eines Datenschutzniveaus ausüben. Daher sind in Konzernen und bei Unternehmensgruppen aus organisatorischer Sicht äußerst komplexe Probleme zu bewältigen, um datenschutzkonform zu agieren.

Das vorliegende Handbuch gibt den Verantwortlichen von Konzernunternehmen und deren Beratern praxisorientierte, fundierte und verständliche Hinweise und Hilfestellungen, um die konzerndatenschutzrechtlichen Problemstellungen – kreativ, aber rechtssicher – zu bewältigen. Es wurde von spezialisierten Praktikern für Praktiker geschrieben und man merkt den Darstellungen an, dass die Verfasser „aus dem Nähkästchen“ plaudern. Das Handbuch beginnt mit der personellen und verfahrensmäßigen Struktur eines Konzerndatenschutzes. Zunächst ist ein spezieller Konzerndatenschutzbeauftragter zu bestellen, der die Datenschutzanforderungen unternehmensübergreifend koordinieren soll (s. hierzu auch Reinhard, NZA 2013, 1049 ff.). Bei ihm ist u.a. zu klären, wie das Verhältnis zu den betrieblichen Datenschutzbeauftragten gem. § 4f BDSG auszugestalten ist. Im Weiteren ist ein Datenschutzmanagement im Konzern zu etablieren und zu klären, unter welchen Umständen und auf Grund welcher wann und von wem einzuholender Einwilligungen ein konzernweiter Datentransfer erfolgen kann. Hierbei ist insb. dem Schutz der personenbezogenen Daten der Mitarbeiter (= Beschäftigtendatenschutz) Rechnung zu tragen. Die Verfasser stellen des Weiteren dar, wie Verträge für den konzerninternen Datentransfer ausgestaltet sein können. Sie widmen sich ferner intensiv den Mitbestimmungsrechten des Betriebsrats im Zusammenhang mit dem (Beschäftigen-)Datenschutz.

Ferner stellen die Verfasser dar, unter welchen Voraussetzungen Daten außerhalb der EU, d.h. in Drittländer, transferiert werden können, wozu auch die Erläuterung der Safe Harbour-Principles und der EU-Standardvertragsklauseln sowie von Binding Corporate Rules, jeweils zur Sicherstellung eines angemessenen Datenschutzniveaus, gehört. Des Weiteren widmet sich das Handbuch der Compliance der Compliance, denn die konzernweite Überwachung, ob die Datenschutzregelungen eingehalten werden, unterliegt ebenfalls den Compliance-Regelungen, was insb. bei E-Discovery im Zusammenhang mit Rechtsstreitigkeiten, die in den USA geführt werden, zu Problemen führen kann. Schließlich erläutert das Handbuch Datenschutzprobleme im Zusammenhang mit M&A-Transaktionen (z.B. bei der Due Diligence-Prüfung) und beim sog. Cloud Computing.

Das vorliegende Handbuch ist ein Glücksfall für diejenigen, die sich mit Fragestellungen des Konzerndatenschutzes befassen (müssen). Es ist bislang konkurrenzlos und wegen der kompakten und praxisnahen Behandlung der konzerndatenschutzrechtlich relevanten Probleme wird es sicherlich eine große Verbreitung erfahren. Die Verfasser geben dem Leser einen wertvollen und systematischen Überblick gepaart mit überzeugenden Handlungsvorschlägen, die teilweise allerdings konkreter sein könnten, da leider ausformulierte Mustertexte fehlen. Auch werden die Probleme, wie z.B. mit sog. Whistleblowing bzw. Hinweisgebern umzugehen ist, nur angerissen. Das Handbuch ist dennoch einschränkungslos zu empfehlen, insb. für Geschäftsführer und Vorstände, Konzernrechtsabteilungen sowie allen internen und externen Datenschutzverantwortlichen und diejenigen, die sich mit der Einführung und Überwachung einer Datenschutz-Compliance befassen müssen.

 

Dr. Jens Tiedemann ist Richter am Arbeitsgericht, Frankfurt/M.