Datenaustausch im Konzern– was muss ich dabei beachten?
Rechtmässiger Datentransfer im Konzern – aber wie?
Grundsätzlich passt hier die klassische Juristenantwort: «Es kommt darauf an.» Insbesondere ist relevant, ob die Daten im nationalen oder internationalen Kontext ausgetauscht werden.
Datenaustausch in der Schweiz
Soweit der Datenaustausch im Unternehmen sich auf die Schweiz beschränkt, können die einzelnen Konzerngesellschaften sich auf das sogenannte «Konzernprivileg» berufen. Das bedeutet, dass unter dem DSG bezüglich des konzerninternen Datenaustausches keine Informationspflichten erfüllt werden müssen und auch das Auskunftsrecht hinsichtlich der Datenweitergabe nicht weiter berücksichtigt werden muss. Dennoch bedarf es für jede konzerninterne Datenbearbeitung eines Rechtfertigungsgrunds. Der Datentransfer ist entsprechend nur zulässig, wenn tatsächliche wirtschaftliche oder anderweitige Interessen am konzerninternen Datenaustausch bestehen. Folglich muss jede konzerninterne Datenbearbeitung sorgfältig hinsichtlich ihrer Rechtmässigkeit geprüft werden.
Datenaustausch im Ausland
Anders sieht es aus, sobald die Schweizer Grenzen übertreten werden. Agieren Konzerngesellschaften im Ausland, so ist vor allem der Grenzübertritt der Daten zu berücksichtigen. Ausserdem finden neben dem Schweizer DSG, Regelungen wie beispielsweise die EU-DSGVO oder der Kalifornische CCPA-Anwendung. Die DSGVO beispielsweise kennt ein Konzernprivileg lediglich im sehr begrenzten Rahmen. Soweit Daten innerhalb des Konzerns ausgetauscht werden, müssen die Informationspflichten nach Art. 12 ff. DSGVO erfüllt werden. Das sogenannte kleine Konzernprivileg nach Erwägungsgrund 48 DSGVO dient lediglich dem Datenaustausch für interne, verwaltungsbezogene Zwecke, wie z.B. für eine zentralisierte Personalverwaltung. Anders als nach dem DSG ist dies in jedem Fall schriftlich zu Dokumentieren. Oftmals sind neben der Dokumentation eines berechtigten Interesses auch die Darstellung von Auftragsbearbeitungsverträgen oder gar der Abschluss von Standardvertragsklauseln notwendig.
Was ist zu tun?
Wie man sieht, handelt es sich um ein komplexes Thema. Um etwaige Datentransfers zwischen den Gesellschaften übersichtlich gestalten zu können, lohnt es sich im Regelfall auf ein sogenanntes «Intercompany Agreement» bzw. einen «Konzernrahmenvertrag» zurückzugreifen. Dabei handelt es sich um einen Vertrag, in welchem sämtliche datenschutzrechtlichen Beziehungen zwischen Konzernunternehmen geregelt werden. Ein Intercompany Agreement wird im Regelfall zwischen der Muttergesellschaft und ihren Tochtergesellschaften geschlossen. Dabei können innerhalb eines solchen Rahmenvertrages verschiedenste Arten von Verträgen und Vereinbarungen abgebildet werden. Im Regelfall beinhaltet ein derartiges Konstrukt Auftragsbearbeitungsvereinbarungen, Joint Controllership Agreements oder auch Standardvertragsklauseln. Als Alternative zu den Standardvertragsklauseln besteht ebenfalls die Möglichkeit Binding Corporate Rules (BCR) abzuschliessen. Diese hört man immer wieder im Zusammenhang mit Intercompany Agreements, sie ersetzen einen derartigen Vertrag jedoch nicht.
Was sind Binding Corporate Rules?
Unter BCR werden verbindliche unternehmensinterne Datenschutzvorschriften verstanden. Nach Art. 16 Abs. 2 lit. e DSG ermöglichen BCR den Konzernweiten internationalen Datentransfer, ohne dass Standardvertragsklauseln abgeschlossen werden müssen, soweit die zuständige Aufsichtsbehörde diese genehmigt hat. BCR ersetzen damit jedoch in keinem Fall ein Intercompany Agreement, da die BCR lediglich den internationalen Datentransfer ermöglichen, jedoch nicht die Rechtmässigkeit des Datenaustausches selbst. Hierzu sind in jedem Fall Rechtmässigkeitsprüfungen sowie ggf. Auftragsbearbeitungsvereinbarungen etc. notwendig. BCR können jedoch sehr sinnvoll sein, wenn viele Datentransfers in unsichere Drittländer stattfinden, da Behörden und Betroffene nach Abschluss dieser BCR davon ausgehen können, dass der entsprechende Konzern unabhängig vom geografischen Tätigkeitsbereich ein angemessenes Datenschutzniveau einhält.
Abschluss eines Intercompany Agreements
Ein Intercompany Agreement kann auf verschiedenste Art und Weise gestaltet werden. Für ein solches Agreement gibt es keine Standardlösung. Vielmehr muss die individuelle Situation und das Bedürfnis an Regelungen im Unternehmen zunächst analysiert werden. Soweit die teilnehmenden Unternehmensgesellschaften sowie die bestehenden Datenbearbeitungen und Datentransfers innerhalb des Konzerns analysiert und dokumentiert wurden, kann ein entsprechendes Agreement aufgesetzt werden. Beim Entwurf eines derartigen Konstruktes kommt es dann zu einem Zusammenspiel aus den verschiedenen Punkten: Datenbearbeitungen, Datentransfers sowie den jeweiligen lokalen Datenschutzgesetzen.
Oftmals besteht der Irrglaube, dass mit Finalisierung und Unterschrift des Intercompany Agreements alles getan ist. Jedoch bedarf es auch im Nachgang der Pflege und regelmässigen Aktualisierung eines solchen Vertrages. Möglicher Anpassungsbedarf besteht immer, wenn es zu neue konzernübergreifende Datenbearbeitungen kommt oder wenn Gesellschaften in die Konzernstruktur ein oder austreten.
Wann lohnt sich ein Intercompany Agreements
Ein derartiger Vertrag lohnt sich insbesondere bei grenzüberschreitenden oder komplexeren Konzernstrukturen. Mit einem gut gepflegten Konzernrahmenvertrag gelingt meist der Spagat zwischen rechtmässigen Datentransfers und dem Überblick über Konzernstrukturen insgesamt. Ein Konzernrahmenvertrag kann, soweit er abgeschlossen und gepflegt ist, viel Arbeit ersparen und vereinfacht die vertragliche Abbildung von Datentransfers innerhalb einer Unternehmensgruppe.
Falls Du hinsichtlich der Notwendigkeit oder der Erstellung eines solchen Konzernrahmenvertrages/Intercompany Agreements oder dem Abschluss von BCR beraten werden möchtest, unterstützt Dich unser Datenschutzteam gerne.
Hier gelangst Du zu unserem Datenschutzteam.