Datenschutz im Konzern (Teil 2/4): Internationale Datentransfers - Feststellung und Analyse

Dies ist der zweite Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern", in der ich auf Fragestellungen des Datenschutzes eingehe, wie sie sich typischerweise in Konzernen stellen.

Übersicht zur Artikelreihe "Datenschutz im Konzern": 

1. Der Konzerndatenschutzbeauftragte und die Organisation der Datenschutz Compliance
2. Internationale Datentransfers - Feststellung und Analyse
3. Internationale Datentransfers - Auswahl der Instrumente
4. Internationale Datentransfers - EU-Standardvertragsklauseln

Im ersten Beitrag habe ich mich mit der Organisation des Datenschutzes im Konzern beschäftigt, insbesondere der Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

In diesem Beitrag geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden. Erläutert werden dabei unter anderem die EU Standardvertragsklauseln, das Safe Harbor Programm und Binding Corporate Rules. Im Vordergrund steht die Auswahl und Umsetzung der Instrumente in der Praxis. Der Aufbau des Beitrages orientiert sich an einer schrittweisen Handlungsempfehlung, wie in der Unternehmenspraxis an die nicht leichte Aufgabe herangetreten werden kann, konzerninterne Datenflüsse datenschutzrechtlich in den Griff zu bekommen. Der Fokus liegt auf dem deutschen Recht wobei stets die Bezüge zur EG-Richtlinie dargestellt werden und auf einzelne nationale Besonderheiten hingewiesen wird.

1) Einleitung und Überblick: Datentransfers im Konzern

a)     Begriff und Beispiele für Datentransfers

Konzerne haben typischerweise mit personenbezogenen Daten in Form von Kunden- und Mitarbeiterdaten zu tun. Diese Daten verbleiben jedoch meist nicht bei dem ursprünglichen Konzernunternehmen, bei dem der Kunde bestellt hat bzw. bei dem der jeweilige Mitarbeiter angestellt ist. Vielmehr werden Kunden- und Mitarbeiterdaten häufig an andere Konzerngesellschaften übermittelt. Typische Beispiele für solche konzerninternen Datentransfers sind:

• zentrale Kundendatenbanken (CRM-Systeme)
• Personalinformationssysteme
• konzerneigene Servicegesellschaften, die Dienstleistungen für andere Konzernunternehmen erbringen (Shared Services)

Wenn hier von "Datentransfer" die Rede ist, so setzt dies weder eine physische Übermittlung im Sinne der Übergabe eines Datenträgers noch die dauerhafte Speicherung beim Empfänger voraus. Es genügt, wenn der Empfänger Zugriff auf die Daten hat, zum Beispiel, wenn ein anderes Konzernunternehmen Zugang zu einem Firmenrechner mit personenbezogenen Daten erhält. Diese weite Auslegung ergibt sich aus der Definition des Begriffs "Übermitteln" in § 3 (4) Nr. 3 b) Bundesdatenschutzgesetze (BDSG). Danach stellt auch das Einsehen und Abrufen von Daten eine Übermittlung dar.

Eine Übermittlung liegt schließlich auch dann vor, wenn der Datensender und -empfänger dem selben Konzern angehören (§ 3 (4) Nr. 3 b BDSG). Auch ein Datenzugriff der Muttergesellschaft auf Mitarbeiterdaten der Tochter ist damit eine Datenübermittlung, ebenso eine zentrale Kundendatei, die auf Rechnern der Muttergesellschaft betrieben wird und mit Kundendaten aller Töchter gespeist wird. Weil das Gesetz grundsätzlich keinen Unterschied zwischen einem Konzernunternehmen und einem beliebigen externen Unternehmen macht, spricht man auch vom fehlenden "Konzernprivileg" des BDSG.

b)    Rechtliche Zulässigkeit von Datentransfers

Die Europäische Datenschutzrichtlinie 95/46/EG und die entsprechende Umsetzung im Bundesdatenschutzgesetz enthalten zwei Voraussetzungen für eine rechtmäßige Datenübermittlung. Es hat sich insofern der Begriff einer zweistufigen Prüfung eingebürgert:

• Erste Stufe: Für die Übermittlung der Daten muss ein Erlaubnistatbestand bestehen.
• Zweite Stufe: Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

i. Erste Stufe: Erlaubnistatbestand

Die Anforderung der Ersten Stufe ist in Artikel 7 der Datenschutzrichtlinie und § 4 (1) (2) und §§ 27 ff BDSG niedergelegt. Gemäß § 4 (1) BDSG ist die "Erhebung, Verarbeitung und Nutzung personenbezogener Daten (...) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.". Eine Datenübermittlung fällt dabei unter den Begriff der "Verarbeitung" (§ 3 (4) Nr. 3 b BDSG) und bedarf so eines rechtfertigenden Erlaubnistatbestandes.

Ob eine Datenübermittlung im Einzelfall zulässig ist, muss abhängig von den Daten, der Verarbeitung und Nutzung durch den Empfänger im jeweiligen Einzelfall geprüft werden. Trotz der Harmonisierung durch die Datenschutzrichtlinie sind die Erlaubnistatbestände in den einzelnen Mitgliedstaaten nicht identisch umgesetzt, und die Auslegung der Rechtssätze durch die nationalen Datenschutzbehörden und Gerichte fällt zum Teil sehr unterschiedlich aus. Dies gilt insbesondere für Mitarbeiterdaten, bei denen zudem häufig nationale Sonderregelungen existieren. Für den konzerninternen Datentransfer kommen in Deutschland als Erlaubnisnorm vor allem die §§ 32 (Beschäftigtendaten) und § 28 (1) 1 Nr. 2 (Interessenabwägungsklausel) BDSG in Betracht. Daneben können Datentransfers auch auf Grundlage des § 11 BDSG (Auftragsdatenverarbeitung) erfolgen; zu dieser Sonderregelung komme ich später noch.

ii. Zweite Stufe: Datenschutzniveau

Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger. Diese Vorgabe findet sich in Artikel 25 der Datenschutzrichtlinie, in Deutschland umgesetzt durch § 4b BDSG.

Hat der Datenempfänger seinen Sitz in einem Mitgliedstaat der Europäischen Union (EU) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) so ist automatisch ein ausreichendes Datenschutzniveau sichergestellt; um die zweite Stufe braucht man sich also bei Datenempfängern in diesen Staaten keine Gedanken zu machen:  Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland,   Irland, Island (EWR), Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen (EWR), Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Vereinigtes Königreich und Zypern.

Daneben hat die EU-Kommission für einige nicht-EU/EWR Länder entschieden, dass deren Rechtsordnung insgesamt ein angemessenes Datenschutzniveau sicherstellt, sodass auch bei Datenempfängern in diesen Ländern Stufe Zwei unproblematisch ist: Argentinien, Schweiz Kanada (sofern auf den Empfänger der Personal Information Protection and Electronic Documents Act - PIPEDA - Anwendung findet), Guernsey, Isle of Man, Jersey und seit dem 31. Januar 2011 auch Israel.

Befindet sich das Daten empfangende Konzernunternehmen jedoch in einem anderen als den oben genannten Ländern - diese werden "Drittstaat" genannt - so müssen besondere Maßnahmen getroffen werden, um ein angemessenes Datenschutzniveau sicherzustellen.

Hierzu stehen verschiedene Instrumente zur Verfügung, die häufigsten sind:

• der Abschluss eines Vertrags zwischen Datenexporteur und -importeur mit bestimmten EU-Standardklauseln
• die Unterwerfung unter die Safe Harbor Prinzipien für Unternehmen in den USA oder
• die Einführung von Binding Corporate Rules.

iii.    Unterscheidung

In diesem Beitrag werde ich ausschließlich die zweite Stufe (Datenschutzniveau) behandeln. Auf die Voraussetzungen der ersten Stufe (Erlaubnistatbestand) möchte ich in späteren Beiträgen eingehen, die sich dann jeweils mit einzelnen Fallsituationen (z.B. Mitarbeiterdaten bei zentraler HR-Abteilung) beschäftigen.

Es ist sehr wichtig, die Zweistufigkeit der Prüfung zu kennen und sich zu vergegenwärtigen, über welche Stufe man redet. Die Trennung der beiden Stufen ist unumstritten und wird auch von Datenschutzbehörden so durchgeführt. Leider ist es aber immer noch ein verbreiteter Irrtum, dass bei Datentransfers in Drittstaaten alleine mit der Sicherstellung eines Datenschutzniveaus (Zweite Stufe) den EU-Datenschutzanforderungen ausreichend Rechnung getragen wird. Immer wieder höre ich zum Beispiel, der Datentransfer in die USA sei schon alleine deshalb unproblematisch, weil eine Safe Harbor "Zertifizierung" des US Unternehmens vorliege oder man die EU Standardvertragsklauseln unterschrieben hat. Dabei wird verkannt, dass es immer noch eines Erlaubnistatbestandes (Erste Stufe) für die Übermittlung bedarf.

Grund für die Vermengung der beiden Stufen mag sein, dass manche Aspekte sowohl auf der Ersten Stufe (Erlaubnistatbestand) als auch auf der Zweiten Stufe (Datenschutzniveau) eine Rolle spielen. Schließen Datensender und -empfänger zum Beispiel einen Vertrag nach den EU Standardvertragsklauseln für Auftragsdatenverarbeiter, so hat dies auch Auswirkungen auf die Erste Stufe: die in dem Vertrag getroffenen Schutzmechanismen zu Gunsten der Betroffenen (Mitarbeiter, Kunden) können bei der Interessenabwägung des § 28 (1) 1 Nr. 2 BDSG auf der Ersten Stufe mitberücksichtigt werden. Dennoch gilt: beide Stufen sind sauber zu trennen und jeweils einzeln zu prüfen.

c)     Methodisches Vorgehen

Um bei konzerninternen Datentransfers eines ausreichendes Datenschutzniveau in den Griff zu bekommen (Zweite Stufe), empfiehlt sich folgendes Vorgehen:

• Schritt 1: Feststellung und Analyse der Datenströme (siehe unten 2)
• Schritt 2: Auswahl der Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus  (siehe unten 3)
• Schritt 3: Umsetzung der Instrumente (siehe unten 4)

In manchen Fällen hat die erste Stufe (Erlaubnistatbestand) Auswirkungen auf die Zweite Stufe, sodass bei der Entwicklung einer Strategie für die Sicherstellung eines ausreichenden Datenschutzniveaus mitbedacht werden sollte, welche Erlaubnisnorm zur Rechtfertigung der Datenübermittlung in Betracht kommt. Hierauf werde ich an geeigneter Stelle noch eingehen.

2)   Schritt 1: Feststellung und Analyse der Datenströme

Zunächst muss festgestellt werden, welche Daten von welchen Konzerngesellschaften wohin übermittelt werden bzw. werden sollen (siehe unten 2.a). Anschließend wird analysiert, welche Rollen die einzelnen Gesellschaften beim Umgang mit den Daten spielen (siehe unten 2.b).

a)     Ermittlung der Datentransfers

Im Einzelnen geht es um folgende Fragen:

• Daten: Zu welchen Personengruppen liegen Daten vor (Mitarbeiter, Bewerber, Kunden, Interessenten, Webseiten-Besucher etc. ) und um welche Informationen handelt es sich konkret (z.B. Name, Position, Gehalt von Mitarbeitern oder Name, Adresse und Bestellhistorie von Kunden).
• Transfers: An welche Konzernunternehmen werden die Daten übermittelt, bzw. von welchen Konzernunternehmen können Mitarbeiter auf die Daten zugreifen.
• Zwecke: Zu welchen Zwecken erfolgt die Datenübermittlung (z.B. zentrale Lohnbuchhaltung, zentrales Kundenverwaltungsprogramm, Erbringung von Kundendienstleistungen etc.)
• Herr der Daten: Welches Konzernunternehmen entscheidet faktisch darüber, wofür die Daten genutzt werden (Zweck) und in welcher Weise?
• Weiterleitungen: Werden die Daten vom empfangenden Konzernunternehmen Dritten zur Verfügung gestellt oder haben Dritte darauf Zugriff (z.B. Wartungsunternehmen, Softwareanbieter, externe Dienstleister, Lohnbuchalter)?

Bei der Erfassung, welche Daten innerhalb des Konzerns übermittelt werden, ist besonderes Augenmerk auf sensible Daten zu legen. Nach Artikel 8 (1) der EU Datenschutzrichtlinie fallen hierunter "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben". Der deutsche Gesetzgeber hat die Aufzählung wörtlich in § 3 (9) BDSG übernommen und nennt sie "besondere Arten personenbezogener Daten". Erstaunlicherweise fallen zum Beispiel Informationen über begangene Straftaten oder Finanzdaten (Kontonummern, Kontobewegungen, Vermögen) nicht darunter. Leider unterscheidet sich die Definition und Interpretation von sensiblen Daten innerhalb der EU. Einige Länder zählen etwa Identifikationsnummern wie die der Sozialversicherung auch zu den sensiblen Daten oder behandeln sie zumindest ähnlich. Bei sensiblen Daten ergeben sich vorallem auf der Ersten Stufe Besonderheiten, da viele Erlaubnisnormen für sensible Daten nicht gelten. Aber auch auf der Zweiten Stufe sind Besonderheiten zu beachten, da manche Länder beim Export sensibler Daten in Drittländer erhöhte formale Anforderungen stellen (Genehmigung durch Datenschutzbehörden).

Was die Feststellung der Transfers anbelangt, sind auch rechtlich unselbstständige Niederlassungen als eigene Einheit aufzufassen, dies hat der Düsseldorfer Kreis, eine informelle Vereinigung der obersten deutschen Aufsichtsbehörden, in seinem Positionspapier zum Internationalen Datentransfer vom 12/13. Februar 2007 klargestellt. Hat der Konzern etwa eine GmbH mit mehreren Niederlassungen in Deutschland so kann auch der Datenaustausch zwischen diesen Niederlassungen als Transfer zu qualifizieren sein. Anknüpfungspunkt des Datenschutzrechtes ist nämlich nicht die juristische Person (GmbH, AG, etc.) sondern die "Verantwortliche Stelle" (§ 3 (7) BDSG).

b)    Analyse der Datentransfers

Nach Erfassung der Datenströme zeigt sich häufig ein sternförmiger Verlauf oder netzwerkartige Datenflüsse. Bei ersterem laufen die Daten bei einzelnen Konzerngesellschaften zusammen, beim netzwerkartigen Datenfluss werden Daten von einer Vielzahl von Gesellschaften zu vielen anderen Gesellschaften fließen bzw. diesen zur Verfügung gestellt. Ein solches Bild ergibt sich zum Beispiel, wenn im Konzern jedes Unternehmen die Kundendaten aller anderen Konzerngesellschaften einsehen kann.

Neben dem Erkennen solcher grundlegenden Muster im Datenstrom geht es bei der Analyse auch darum, festzustellen, welche Konzerngesellschaften verantwortliche Stelle ist und welche Rolle die Empfänger einnehmen. Zu unterscheiden sind verantwortliche Stellen und Auftragsdatenverarbeiter. Verantwortliche Stelle ist diejenige Stelle im Konzern (in der Regel eine Konzerngesellschaft), die entscheidet, wofür und wie die Daten im Wesentlichen genutzt werden. Auftragsdatenverarbeiter sind dagegen Stellen, die die Daten lediglich nach den Weisungen einer anderen Stelle für diese verarbeiten. In der englischen Terminologie der EU Datenschutzrichtlinie ist die verantwortliche Stelle der "controller", der Auftragsdatenverarbeiter wird als "processor" bezeichnet.

Entsprechend der Rolle des Datensenders und Datenempfängers lassen sich die Datentransfers in Gruppen einteilen:

Die am häufigsten auftauchende Frage ist dabei, ob eine verantwortliche Stelle die Daten an einen Auftragsdatenverarbeiter schickt (controller-processor) oder an eine andere verantwortliche Stelle (controller- controller). Nach deutscher Terminologie geht es um die Abgrenzung und Unterscheidung von Auftragsdatenverarbeitung und Funktionsübertragung. Schaltet ein Auftragsdatenverarbeiter seinerseits einen Auftragsdatenverarbeiter ein so liegt eine Unterauftragsdatenverarbeitung vor (Processor-Processor Transfer).

Die Rolle der einzelnen Gesellschaften als verantwortliche Stelle und Auftragsdatenverarbeiter ist in mehrerer Hinsicht von entscheidender Bedeutung:

1. Anwendbare Recht: Es findet grundsätzlich das Recht des EU Staates Anwendung, in dem die verantwortliche Stelle (controller) ihren Sitz hat.
2. Verantwortlichkeit: Die verantwortliche Stelle (controller) ist für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
3. Vertragliche Beziehung: Bei einer Auftragsdatenverarbeitung (Controller-Processor) müssen eine Reihe von Punkten vertraglich festgelegt werden, um sicherzustellen, dass der Datenempfänger die Daten tatsächlich nur nach den Weisungen des Datensenders verarbeitet. Der deutsche Gesetzgeber hat hierzu in § 11 BDSG einen 10-Punkte Katalog von Regelungsgegenständen festgeschrieben. Die EU Datenschutzrichtlinie verlangt dagegen "nur" einen schriftlichen Vertrag. Umstritten ist, inwiefern § 11 BDSG auch bei Auftragsdatenverarbeitern in Drittländern gilt. Bei Verwendung der Standardvertragsklauseln für den Datenexport in Drittländer ist ebenfalls danach zu unterscheiden, ob der Empfänger Auftragsdatenverarbeiter (processor) oder verantwortliche Stelle (controller) ist, da jeweils unterschiedliche Klauselwerke gelten (siehe unten).
4. Erlaubnisnorm: Auch auf der ersten Stufe (Erlaubnisnorm) hat die Unterscheidung Auswirkungen. Als deutsche Besonderheit liegt bei einem Transfer von einer verantwortlichen Stelle in Deutschland an einen Auftragsdatenverarbeiter in der EU oder dem EWR überhaupt keine "Übermittlung" mehr vor, da der Datenempfänger (Auftragsdatenverarbeiter) der verantwortlichen Stelle zugerechnet wird (§ 3 (8) in Verbindung mit § 3 (4) Nr. 3 BDSG). Es bedarf dann keiner Erlaubnisnorm mehr.

Wie funktioniert nun also die wichtige Unterscheidung zwischen verantwortlicher Stelle (controller) und Auftragsdatenverarbeiter (processor)? Nach der EU-Datenschutzrichtlinie ist Verantwortliche Stelle, die Stelle, "die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Auftragsdatenverarbeiter ist die Stelle, die "im Auftrag des für die Verarbeitung Verantwortlichen arbeitet". Weiteren Aufschluss gibt die Stellungnahme 1/2010 (WP 169)  der Artikels 29 Datenschutzgruppe. Die Artikel-29-Datenschutzgruppe wurde gemäß Artikel 29 der Datenschutzrichtlinie eingesetzt und ist ein unabhängiges Beratungsgremium der EU in Datenschutzfragen in der auch die nationalen Datenschutzbehörden vertreten sind. Ihre Stellungsnahmen sind nicht bindend, ihnen wird aber von den nationalen Datenschutzbehörden in der Praxis hohes Gewicht beigemessen.

Entscheidend ist nach der Stellungnahme der Datenschutzgruppe, wer den Zweck und die wesentlichen Mittel der Verarbeitung bestimmt. Mit Zweck ist das "Warum?" der Datenverarbeitung gemeint, mit dem Mittel, das "Wie?". Maßgeblich ist, welche Stelle faktisch befugt ist, über diese Fragen zu entscheiden. Wer über den Zweck der Datenverarbeitung bestimmt ist automatisch verantwortliche Stelle. In Bezug auf die Mittel der Datenverarbeitung können technische und organisatorische Fragen delegiert werden. Wer dagegen über wesentliche Elemente des Mittels der Datenverarbeitung mitentscheidet, wird dadurch auch zur verantwortlichen Stelle. Wesentliche Fragen der Datenverarbeitung sind alle, die die Rechtmäßigkeit der Datenverarbeitung betreffen, zum Beispiel, wer Zugriff auf die Daten hat und wie lange diese gespeichert werden. Neben diesen Kriterien hat sich je nach Mitgliedsstaat noch ein bunter Strauß weiterer Kontrollfragen entwickelt, die bei der Abgrenzung helfen sollen. So wird in Deutschland zum Beispiel darauf abgestellt, wer nach außen hin gegenüber den Betroffenen als Datenverantwortlicher auftritt, bzw. mit dem Betroffenen eine Rechtsbeziehung hat oder für wessen Geschäftszwecke die Verarbeitung erfolgt. Die deutschen Datenschutzbehörden bestimmen beim internationalen Datentransfer die exportierende Stelle mit der Kontrollfrage: "Wer öffnet die Tür zum Datenexport?".

Die Abgrenzung beider Konstellationen (controller-controller / controller-processor Transfer) kann sehr schwierig sein und erfordert eine umfassende Berücksichtigung der konkreten Umstände. Es ist auch möglich, dass der Empfänger bei einem Datentransfer in Bezug auf bestimmte Daten Auftragsdatenverarbeiter (processor) ist und in Bezug auf andere Daten selbst verantwortliche Stelle (controller).

Beispiele:

Die Lohn- und Gehaltsabrechnung wird von einer konzerneigenen Service-Gesellschaft erbracht, die von allen Konzernunternehmen hierfür die erforderlichen Personaldaten erhält und speichert. Die Konzernunternehmen sind jeweils Verantwortliche Stelle in Bezug auf die Daten der bei Ihnen angestellten Mitarbeiter. Die Service-Gesellschaft ist Auftragsdatenverarbeiterin.

Die Kundendaten aller Europäischen Tochtergesellschaften werden in einem zentralen Kundenverwaltungsprogramm gespeichert, die von der Konzernmutter in den USA betrieben wird. Die Tochtergesellschaften entscheiden, ob und welche Daten aufgenommen werden und wie die Daten verwendet werden, z.B. ob Auswertungen der Bestellungen einzelner Kunden erfolgen und in welchem Umfang die Daten für Massen-Postsendungen (Mailings) verwendet werden. Um Einzelheiten zur technischen Sicherheit des Systems kümmert sich die Konzernmutter. Es liegt eine Auftragsdatenverarbeitung (controller - processor Transfers) vor. Wenn die Konzernmutter die Software eines Drittanbieters zur Kundenverwaltung nutzt, und dieser im Rahmen von Wartungsarbeiten auf die Kundendaten zugreifen kann, so wäre dies eine Unterauftragsdatenverarbeitung (processor - processor Transfer).

 Anders hingegen im Beispiel zuvor, wenn faktisch jede Tochter ihre Daten in das System einspeisen muss und die Konzernmutter Änderungen und Erweiterungen an der Software eigenmächtig ohne Rückfragen bei den Tochtergesellschaften vornimmt und selbst entscheidet, wie die Daten ausgewertet werden: Dann ist die Grenze zur Funktionsübertragung überschritten sein (controller - controller Transfer).

c)     Praktische Herangehensweise

In der Praxis lassen sich die Datenströme am einfachsten ermitteln, wenn man zunächst nach typischen Fallgruppen Ausschau hält und dabei feststellt, in welchem Zusammenhang jeweils Datentransfer stattfinden. Zu den "üblichen Verdächtigen" gehören:

• zentrale Personalinformationssysteme (HRIS, Lohnbuchhaltung, Bonus-Programme)
• zentrales Kundenverwaltungsmanagement (Customer Relationship Management - CRM)
• zentrale ERP-Lösungen (Enterprise Resource Planning - ERP)
• Zentralisierte IT (PC-Administration, Softwareinstallation/-wartung, E-Mails, Telefon)
• Konzernweite Webseite z.B. mit Online-Bewerbungs System oder Kundencenter
• Shared Services, die von einer konzerneigenen Dienstleistungsgesellschaft erbracht werden (Schreibservices, Reisebuchungen etc.)

Weiße Flecken auf der Datenschutzlandkarte können durch persönliche Befragungen und Fragebögen beseitigt werden. Typischerweise sind hier die Personalabteilung, die IT und der Einkauf/Verkauf sowie das Marketing (Kundendaten) die richtigen Ansprechpartner. Auch die Rechtsabteilung oder Contract Manager können bei der Aufklärung der Datenströme behilflich sein (z.B. durch zur Verfügungstellung von Outsourcing-Verträgen, Service-Verträgen etc.). Frühzeitig und eng einzubinden sind immer die betrieblichen Datenschutzbeauftragten der jeweiligen Konzerngesellschaften. Die von ihnen zu führenden öffentlichen Verfahrensverzeichnisse und internen Verarbeitungsverzeichnisse geben Hinweise auf bereits erfasste Datentransfers.

Bei der Feststellung der verantwortlichen Stellen und konzerninternen Auftragsdatenverarbeitungen gilt als Faustregel: verantwortliche Stelle für die Kundendaten ist die Konzerngesellschaft, die den Kauf- oder Dienstleistungsvertrag mit dem Kunden geschlossen hat. Bei Mitarbeiterdaten ist es die Gesellschaft, mit der der Arbeitsvertrag geschlossen wurde. Von diesen Fixpunkten aus können dann die Datenströme und die Rollen der Empfänger analysiert werden.

Nächsten Teil lesen: Internationale Datentransfers - Auswahl der Instrumente