Übermittlung in Drittländer: Beispiel Unternehmenskontakte
PSP Case Study zur DSGVO: Praxisfall 10

DSGVO: Praktischer Fall

Die Dow Inc. mit Sitz in den USA möchte Aktien an der Huber AG erwerben. Im Rahmen der Transaktion wird eine Unternehmensprüfung (Due Diligence) bei der Huber AG durchgeführt und zu diesem Zweck eine Liste erstellt, wer bei der Huber AG für welches Thema im Rahmen der Due Diligence als Ansprechpartner fungiert (Umwelt, IT, Produktion, Controlling, Steuern etc.). Die Liste, welche die Namen, E-Mail-Adressen, Telefonnummern bei der Huber AG und die jeweiligen Mobiltelefonnummern enthält, wird der Dow Inc. und ihren Beratern zur Verfügung gestellt.

Das Thema Übermittlung personenbezogener Daten in Drittländer ist komplex. Die Erfahrungen mit dem „Safe Harbour“-Abkommen und die neuerlichen Diskussionen um das „Privacy Shield“ zeigen, dass nachhaltige Rechtssicherheit in diesem Bereich bislang Luxus ist. Darüber hinaus ist in der Praxis einer globalisierten Wirtschaft, im Beispielsfall in Bezug auf internationale M&A-Transaktionen, den Beteiligten oft unklar, dass sie damit eine Übermittlung personenbezogener Daten in ein Drittland vornehmen.

Aber das Thema geht weit über M&A-Transaktionen oder sonstige individuelle Unternehmenskontakte hinaus: Jedes personenbezogene Datum – auch unternehmensbezogene Kontaktdaten der Mitarbeiter –, das auf einer Website weltweit abrufbar ist, wird weltweit zur Verfügung gestellt und damit selbstverständlich (auch) in Drittländer übermittelt, wenn jemand die Website aufruft. In derartigen Fällen wird bisweilen auf die „Lindqvist“-Entscheidung des Europäischen Gerichtshofs aus dem Jahr 2003 verwiesen, d. h. maßgeblich war wiederum die EU-Datenschutzrichtlinie aus dem Jahr 1995. Damals wurde derjenige, der die personenbezogenen Daten auf die Website „stellte“ – genauer gesagt: der die Daten an den Hoster der Website übermittelte, der dann wiederum die Website zum Abruf bereithielt –, nicht als „Übermittler“ dieser Daten eingestuft. Die zweite Stufe, also auf welcher Grundlage dann der Website-Hoster – im B2B-Bereich häufig das verantwortliche Unternehmen selbst – die Daten auch an Drittländer übermittelt, wurde dabei ausdrücklich nicht weiter betrachtet (denn „beklagt“ war im Fall des Europäischen Gerichtshofs nicht der Website-Hoster selbst). Der Europäische Gerichtshof argumentierte insoweit gerade noch so eben, dass der Gesetzgeber wohl 1995 nicht die Internetnutzung als „Drittlandsübermittlung“ einstufen wollte, denn damit würden ja die Sonderregelungen über die Drittlandsübermittlung generell für den Normalfall der Internet-Übermittlung gelten. Es kann also nicht sein, was nicht sein darf: Der Abruf aus einem Drittland, das über kein der EU angemessenes Datenschutzniveau verfügt, würde so sämtliche Internetangebote „illegal“ werden lassen. Eine hervorragende Argumentation in kritischen Situationen: Das kann der Gesetzgeber nicht gewollt haben. Wenn man auch bei der DSGVO immer so leicht argumentieren könnte wie der Europäische Gerichtshof...

Wie dieses Urteil nach dem Inkrafttreten der DSGVO zu „lesen“ ist bzw. ob ihm überhaupt noch irgendeine Bedeutung zukommt, ist völlig unklar. Im Sachverhalt der Entscheidung von 2003 hatte kein Abruf aus einem Drittland stattgefunden, d. h. es ging alleine um die „Abrufbarkeit“ (und auch das eigentlich nicht, weil der Europäische Gerichtshof explizit nur über die Frage des „Hochladens“, nicht über die Frage des „Herunterladens“ zu entscheiden hatte). Wenn nun die personenbezogenen Daten aber zielgerichtet für den „weltweiten Abruf“ zur Verfügung gestellt werden, sieht die Sache unter der DSGVO wohl anders aus. In diesem Zusammenhang wird bislang – soweit das Problem überhaupt erkannt wird – argumentiert, dass das „Verbreiten“ durch eine Website keine „Übermittlung“ darstelle, weil Art. 4 Nr. 2 DSGVO von „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ spricht, d. h. Verbreitung und Übermittlung sind nicht identisch, sondern unterschiedliche (Unter-)Fälle der Offenlegung. Die nur auf die Regulierung der „Übermittlung“ in Drittländer abzielenden Regelungen der DSGVO (Art. 44 bis 50 DSGVO, s. dazu auch noch Fall 24) würden also auf ein „Verbreiten“ in Drittländer keine Anwendung finden. Bei technischer Sichtweise allerdings werden die zu einer Website gehörenden (HTML- und sonstigen) Dateien vom Client-Browser des Seitenbesuchers zielgerichtet beim jeweiligen Webserver angefragt und an diesen „Punkt-zu-Punkt“ (von IP-Adresse zu IP-Adresse) übermittelt (s. auch Fall 1). Welche Sichtweise hier am Ende zum Tragen kommen wird, ist eine Frage der Granularität (s. dazu noch Fall 14).

Doch zurück zum Fall. Geht man davon aus, dass die Dow Inc. nicht innerhalb des „Privacy Shield“-Mechanismus registriert ist und – weil es „nur“ um die Anbahnung eines Aktienkaufs und Kontaktdaten von zuständigen Mitarbeitern geht – auch keine EU-Standardklauseln vereinbart werden sollen, bleibt eigentlich nur der Fall der besonderen ausdrücklichen Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO). Dies setzt voraus, dass die Mitarbeiter der Huber AG, die auf der Liste geführt werden, vor der Einwilligung „über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurden“. Mit anderen Worten: Die betroffene Person soll besonders gewarnt werden, dass ihre personenbezogenen Daten nun datenschutzrechtlich sicheren EU-Boden verlassen. Über welche Risiken genau aufzuklären ist, ist unklar. Sinngemäß wird der Satz zumindest etwa heißen „Es besteht das Risiko, dass diese Daten in den USA zweckwidrig verwendet oder weitergegeben werden, ohne dass Sie dies erfahren oder dagegen vorgehen können“. Allerdings fordern die Datenschutzbehörden in diesem Zusammenhang, dass der Betroffene darüber aufgeklärt wird, wohin genau nun seine Daten im Drittland gehen.

Das mag im Beispielsfall noch einigermaßen klar darstellbar sein, aber wenn das weltweite Zurverfügungstellen personenbezogener Daten auf einer Website zu einer „Übermittlung“ führt, wird eine pauschale Einwilligung hierzu nach dieser Forderung der Aufsichtsbehörden zur Transparenz unmöglich zu erteilen sein. Im Übrigen wären die (anvisierten) Empfänger nicht nur im Rahmen der Pflichtinformationen, sondern auch (in der Rückschau) im Rahmen des Auskunftsanspruchs mitzuteilen. Müssten also, um einen Auskunftsanspruch gegenüber dem Betroffenen, dessen Daten im Internet (z. B. auf der Unternehmenswebseite) weltweit zur Verfügung gestellt wurden, erfüllen zu können, die IP-Adressen (oder Betreiber) sämtlicher Webseitenbesucher geloggt werden, weil auch diese „Empfänger“ sind? Nach Art. 4 Nr. 9 DSGVO ist Empfänger jeder, dem personenbezogene Daten „offengelegt“ werden, und die Offenlegung ist in Art. 4 Nr. 2 DSGVO als eine Form der Bereitstellung definiert.

Zurück zum Ausgangsfall: Es ist offen, ob ein Arbeitnehmer unter den aufgeführten Umständen eine „freiwillige“ Einwilligung im Sinne von Art. 49 Abs. 1 lit. a DSGVO erteilen kann. Die Voraussetzungen, unter denen ein Arbeitnehmer eine freiwillige Einwilligung erteilen kann, sind schon bei „normalen“ Verarbeitungshandlungen eher hoch (§ 26 Abs. 2 BDSG). Kann man bei einer Übermittlung in die USA davon sprechen, dass „Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen“? Immerhin spielen die Ansprechpartner der Huber AG keine leitende Rolle bei einer internationalen Transaktion, sondern sollen „passiv“ als Ansprechpartner fungieren. Und was, das darf nicht vergessen werden, für die Praxis noch wichtiger ist: Wenn ein Arbeitnehmer seine Einwilligung verweigert – was jedenfalls möglich ist, Freiwilligkeit hin oder her –, platzt dann die Transaktion?

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden