DSGVO: Datenwildwuchs innerhalb mittelständischer Unternehmensgruppen
Das Sammelsurium in den Datentrögen von Unternehmensgruppen
Wie in vielen anderen Bereichen auch gibt es im Datenschutzrecht Theorie und Praxis. In der Theorie werden personenbezogene Daten fein aufgebügelt wie kleine Handtücher, in Schrankfächern sicher und getrennt verstaut und nur von denen – und nur zum Händetrocknen, zu keinem anderen Zweck! – benutzt, deren Name auf sie gestickt ist. In der Praxis, um das Bild fortzuführen, liegen die Handtücher halb verschmutzt und unsortiert auf einem großen Haufen in der Ecke und jeder macht damit, was er will.
Ein bisschen so kommt es einem unbefangenen Betrachter vor, wenn eine mittelständische Unternehmensgruppe eine zentrale IT-Infrastruktur betreibt und Kunden-, Mitarbeiter- und sonstige personenbezogene Daten für alle Gruppengesellschaften in einheitlichen Applikationen und Datenbanken verwaltet. Eine Zuordnung einzelner Datensätze zu einzelnen Gesellschaften in der Unternehmensgruppe findet nicht statt. Ebenso wie über eine Löschung wurde auch über eine Trennung der Daten nie ernsthaft nachgedacht. Natürlich gibt es im Mittelstand „Musterknaben“, die ihre gruppenweiten IT-Systeme von vornherein hinsichtlich der Daten getrennt haben, aber der Standardfall ist das nicht.
Eine Unternehmensgruppe als einheitlicher Organismus?
Das Datenschutzrecht kennt kein Konzernprivileg in dem Sinne, dass die Gesellschaften in einer Unternehmensgruppe als „irgendwie einheitliches Unternehmen“ zu betrachten sind. Es gibt in der Praxis viele Gründe, ein Unternehmen in verschiedene Gesellschaften aufzuteilen, seien es historische (inkl. zugekaufter Gesellschaften), steuerliche, insolvenzrechtliche oder schlicht eine internationale Aufstellung mit Tochtergesellschaften im Ausland. Gerade in mittelständischen Strukturen sind die Geschäftsführer der einzelnen Gesellschaften personenidentisch, Geldbestände werden ggf. im Sinne von Cash Pooling zentral und einheitlich verwaltet und am Ende – man wage nur den Blick ins Transparenzregister – steht hinter allem ohnehin derselbe wirtschaftlich Berechtigte. Der „Unternehmer“ ist daher versucht, das Gesamtkonstrukt als „eins“ zu betrachten.
Im Grundsatz unterscheidet die Rechtsordnung insgesamt klar zwischen den einzelnen selbstständigen Rechtsträgern (Gesellschaften einer Unternehmensgruppe), ist aber auch immer wieder aus diesem Muster ausgebrochen, sodass sich beispielsweise das klassische Konzernrecht der „verbundenen Unternehmen“ ebenso entwickeln konnte wie verschiedene Konzernprivilegien, etwa im Bereich der Erbringung von Rechtsdienstleistungen durch eine Konzernrechtsabteilung oder die Arbeitnehmerüberlassung im Konzern. Auch im Kartellrecht werden stets Unternehmensgruppen als Marktteilnehmer und Träger von Marktanteilen betrachtet und nicht das einzelne Unternehmen, weil – natürlich – die Unternehmen einer Unternehmensgruppe aufgrund der einheitlichen Führung nicht miteinander im Wettbewerb stehen.
Da verwundert es schon, wenn die DSGVO – so wie auch das europäische Kartellrecht – zwar die Höhe von Geldbußen an einen „Gruppenumsatz“ anknüpft, umgekehrt aber dann jede Gesellschaft innerhalb der Gruppe als eigenständigen Verantwortlichen im datenschutzrechtlichen Sinne ansieht. Damit wird jeder Austausch personenbezogener Daten zwischen Konzernunternehmen (wie auch zwischen Nicht-Konzernunternehmen) zu einem datenschutzrelevanten Vorgang, der als „Übermittlung“ zu klassifizieren ist, soweit nicht eine Auftragsverarbeitungssituation zwischen einem „Herrn der Daten“ und einem „Datenknecht“ vorliegt.
In der Praxis mittelständischer Konzerne werden schon aus Effizienz- und Kostengründen normalerweise, wenn die Unternehmenszwecke der Einzelgesellschaften das zulassen, gemeinsame IT-Systeme geführt. Das beginnt mit einer gemeinsamen Hardware- und Netzwerktopologie, gemeinsam genutzten firmeninternen Netzwerken (inkl. VPNs und WLANs), physischen Servern mit gemeinsam genutzten virtuellen Maschinen, gemeinsam genutzten Datenbanken, Mail- und Webservern, Laufwerken und Archivsystemen. Auch externe Dienstleister, die der Gruppe Cloud- bzw. SaaS-Dienste bereitstellen, werden nicht selten gemeinsam von den Gruppengesellschaften genutzt. Das in der Praxis wohl häufigste Beispiel ist der Einsatz von Mail- und Office-Systemen in der Cloud wie Microsoft Office 365. Hinzu kommen „on premise“-Applikationen, die gruppenweit genutzt werden, wie solche für die Verwaltung von Kunden- und Lieferantendaten, Systeme der Buchhaltung und des Rechnungswesens, digitale HR-Systeme (für Personalakten und Personalprozesse), Produktionssteuerungssysteme, Dokumentenmanagementsysteme und dergleichen mehr.
Die gute Nachricht ist, dass die gemeinsame Nutzung von Hardware, Software und Diensten nicht schlechthin datenschutzrechtlich verboten ist. Ansonsten dürfte ja auch ein Cloud-Hoster nicht zwei (untereinander wildfremde) Kunden auf derselben Hardware „hosten“. Die schlechte Nachricht ist, dass sich die Trennung der Gesellschaften bis auf die Ausnahmen, in denen tatsächlich ein datenschutzrechtlich legitimer Austausch personenbezogener Daten zwischen Gesellschaften stattfinden soll, in einer entsprechenden Trennung der Daten niederschlagen muss. Es darf also der Gesellschaft A nicht möglich sein, die personenbezogenen Daten der Gesellschaft B einzusehen oder zu verarbeiten, soweit nicht A Auftragsverarbeiter von B ist und die entsprechenden Daten im Rahmen dieser Auftragsverarbeitung benötigt, oder A und B von vornherein gemeinsam Verantwortliche für einen gemeinsamen Datenbestand sind, oder B über eine datenschutzrechtliche Rechtsgrundlage für eine spätere Übermittlung von (bestimmten) Datensätzen an A verfügt.
Szenenwechsel
Jedem Steuerberater, der sich mit der Besteuerung von Unternehmen beschäftigt, ist der Begriff der „Verrechnungspreise“ geläufig. Einzelne Gruppengesellschaften erbringen „konzerninterne“ Dienstleistungen – wie Buchhaltung, Personalverwaltung, Geschäftsführungsaufgaben, IT-Betrieb, Marketing, Einkauf, Produktion, Betreuung von Rechts- und Steuerangelegenheiten etc. – für andere Gruppengesellschaften und erhalten dafür eine Vergütung bzw. Management Fee, die einem steuerlichen Drittvergleich standhalten muss. Die steuerlich richtige Bestimmung solcher Vergütungssätze ist aufwendig und, wie Unternehmen dann in Betriebsprüfungen merken, fehleranfällig. Solche „kreuz und quer erbrachten Dienstleistungen einzelner Abteilungen“ führen aber auch dazu, dass die Mitarbeiter einzelner Gruppengesellschaften (das kann eine Gesellschaft mit zentralisierten „Management- oder Stabsfunktionen“ sein oder eine historisch gewachsene Funktion in einer Gesellschaft) parallel verschiedene „Hüte“ anderer Gruppengesellschaften aufsetzen. Damit einher geht der Bedarf zum Zugriff auf die Daten anderer Gruppengesellschaften, aber auch zu einem „diffusen“ Außenauftritt durch Nutzung mehrerer Visitenkarten bzw. E-Mail-Signaturen. Selbst ohne solchen Aufwand werden sich dritte Geschäftspartner, die mit Gruppengesellschaft A verhandeln, in der Praxis kaum wundern, dass an den Verhandlungen wie selbstverständlich auch Mitarbeiter der Gruppengesellschaften B, C und D teilnehmen. Und genau diese Teilnahme, noch dazu, wenn sie grenzüberschreitend erfolgt und zu Aufwands- und Gewinnverlagerungen führt, muss dann im Bereich der Verrechnungspreise steuerlich aufgearbeitet werden. Es ist also nicht nur im Datenschutzrecht herausfordernd, zwischen Gesellschaften stringent zu trennen, die in der Praxis als ein einziges Unternehmen geführt werden.
Aus datenschutzrechtlicher Sicht sind in derartigen Konstellationen im Wesentlichen zwei Problemkreise zu beachten. Auf der ersten Ebene geht es um das datenschutzrechtliche Verhältnis zwischen den Gruppengesellschaften, also darum, wie die Verbindungen zwischen den Gruppenunternehmen in Bezug auf personenbezogene Daten zu etikettieren sind. Auf der zweiten Ebene schreibt das Datenschutzrecht zur Erfüllung der Anforderungen im Bereich Integrität und Vertraulichkeit von personenbezogenen Daten im Bereich der technisch-organisatorischen Maßnahmen eine „Mandantentrennung“ für diejenigen Datenbestände vor, für die nach der Beurteilung auf der ersten Ebene eine Trennung notwendig ist.
Ein Geflecht aus bilateralen Verbindungen zwischen den Gruppengesellschaften
Die Beurteilung auf der ersten Ebene führt zu einem Geflecht aus bilateralen Verbindungen der Gruppengesellschaften untereinander. Prinzipiell können dies drei Arten von Verbindungen sein: Auftragsverarbeitung, die Stellung als gemeinsam Verantwortliche und zwei unabhängige Verantwortliche, die einander Daten übermitteln. Leider sind diese rechtlichen Alternativen nicht wirklich trennscharf voneinander abgegrenzt, und der Europäische Gerichtshof verschiebt die Grenzen – wenn auch höchst kryptisch – zwischen diesen Formen immer wieder. Dazu später mehr. Die von der DSGVO für den Fall internationaler Unternehmensgruppen (über die EU-Grenzen hinaus) vorgesehenen „binding corporate rules“ (BCRs), die von den Datenschutzaufsichtsbehörden in einem aufwendigen und eher langwierigen Verfahren freigegeben werden, sind für den Mittelstand meist kein probates Mittel und erweitern die o.g. datenschutzrechtlich gegebenen Möglichkeiten bilateraler Verbindungen auch nicht, sondern erhöhen lediglich die Rechtssicherheit bei Datenübermittlungen in Drittländer.
Der Standardfall des Austausches von personenbezogenen Daten ist die Übermittlung von einem Verantwortlichen an einen anderen. Hierfür bedarf es bekanntlich einer datenschutzrechtlichen Legitimationsgrundlage wie Einwilligung des Betroffenen, Erfüllung eines Vertrages mit dem Betroffenen, Einhaltung gesetzlicher Pflichten oder der datenschutzrechtlichen Allzweckwaffe: Eine (fiktive) Abwägung zwischen dem Verarbeitungs- bzw. (hier) Übermittlungsinteresse des Verantwortlichen und dem Interesse des Betroffenen an einer Nichtverarbeitung bzw. Nichtübermittlung. In der Praxis wird bei der Übermittlung innerhalb einer Unternehmensgruppe typischerweise letzteres einschlägig sein, wobei das „richtige“ Ergebnis der Interessenabwägung mit wenigen Ausnahmen nicht wirklich absehbar ist. Das liegt daran, dass außerhalb der wenigen klaren höchstrichterlichen Rechtsprechung zu Interessenabwägungsfällen der Text der DSGVO vage bleibt und deshalb gerichtliche Entscheidungen oft anders ausgehen, als man sich das vielleicht vorgestellt hätte. In den Fällen, in denen es um Übermittlungen zwischen zwei Gruppengesellschaften in der EU geht, wird daher zur „Verbesserung“ der datenschutzrechtlichen Interessenabwägung – im Sinne eines zusätzlichen „Gewichts“ auf der Abwägungs-„Waage“ – empfohlen, gruppenweite Datenschutzverträge abzuschließen (sog. „intercompany agreements“). Diese Verträge sollen im Sinne des in den Erwägungsgründen der DSGVO erwähnten sog. „kleinen Konzernprivilegs“ das Verarbeitungs- bzw. Übermittlungsinteresse der übermittelnden Gruppengesellschaft (Sender) stärken, indem sich der gruppeninterne Empfänger personenbezogener Daten in einer solchen (freiwilligen) Vereinbarung zwischen zwei Verantwortlichen verpflichtet, den Verarbeitungszweck des Senders zu achten und nicht zu überschreiten. Damit darf, so die landläufige Meinung, der Sender von einer erhöhten Sicherheit in Bezug auf einen möglichen Missbrauch der Daten beim Empfänger ausgehen. Dies wirkt auf die Interessenabwägung zurück und soll dafür sorgen, dass „in aller Regel“ die konzerninterne Übermittlung zwischen Gruppengesellschaften datenschutzrechtlich zulässig ist. Dennoch ist auch hier zu beachten, dass Rechtsprechung zu diesem Instrument bislang fehlt und der Betroffene dieser Interessenabwägung widersprechen kann, was zu einem temporären oder dauerhaften Ausschluss bestimmter Daten dieses Betroffenen vom gruppeninternen Datenaustausch führen muss – worauf IT-Systeme häufig gar nicht vorbereitet sind.
Unabhängig vom Bestehen solcher „unterstützender“ Innenabreden bedingt die Übermittlung von personenbezogenen Daten an einen anderen Verantwortlichen, dass die empfangende Gruppengesellschaft gerade das individuelle Datum (Einzeldatenebene) auch tatsächlich, z. B. im Rahmen einer konzerninternen Dienstleistungsvereinbarung, benötigt, um die beauftragte Funktion ausführen zu können. Ob die Interessenabwägung auch das pauschale „Zugänglichmachen“ auf Vorrat von ganzen Laufwerken, Datenbanken, E-Mail-Accounts, Dokumenten etc. einzelner Gruppengesellschaften rechtfertigen kann, nur um im Fall der Fälle schnell darauf zugreifen zu können, ist offen.
Neben zwei voneinander unabhängigen Verantwortlichen kommt auch eine gruppeninterne Auftragsverarbeitung personenbezogener Daten – die „verlängerte Werkbank“ des Datenschutzrechts – in Betracht. In der Praxis lässt sich diese Form der Verbindung zwischen zwei datenschutzrechtlichen Akteuren meist klar von einer Stellung als zwei unabhängige Verantwortliche abgrenzen. Allerdings sind Auftragsverarbeitungssituationen in Gruppengesellschaften vermutlich bei näherer Betrachtung seltener als man meint, weil der vermeintliche Auftragsverarbeiter dann doch mit den Daten „auch Eigenes vorhat“, was über die Verarbeitungszwecke des Auftraggebers hinausgeht. In diesem Fall schwingt sich der Auftragsverarbeiter rechtlich zum Verantwortlichen auf und die Privilegierung der Auftragsverarbeitung ist dahin.
Demgegenüber ist die dritte Konstellation, die Stellung als „gemeinsam Verantwortliche“, die erstmals mit der DSGVO eingeführt wurde, nicht so einfach zu fassen. 2018 wurde gemunkelt, dass diese neue Form der „Datenkooperation“ entweder die klassische Auftragsverarbeitung beinahe verdrängen oder aber umgekehrt ein Schattendasein führen werde. Geklärt ist das bis heute nicht.
Nach der DSGVO liegt diese Form der Verbindung aus zwei Verantwortlichen dann vor, wenn die Zwecke und Mittel der Verarbeitung gemeinsam festgelegt werden. Ob dieses „und“ in Wirklichkeit als „oder“ zu lesen ist, bleibt aber durch Äußerungen des Europäischen Datenschutzausschusses auch nach der bisherigen Rechtsprechung des EuGH unklar. Diese Frage kann einen erheblichen Unterschied machen, was den Anwendungsbereich diese Kollaborationsform angeht. Soweit ersichtlich, wurde bislang auch noch nie – etwa infolge der sog. Facebook-Fanpages-Entscheidung des EuGH schon 2018 – systematisch ausgelotet, ob Gruppengesellschaften nicht schlechthin einen einheitlichen, gemeinsamen Verarbeitungszweck in Bezug auf personenbezogene Daten verfolgen (können), eben weil sie von einer zentralen Instanz (Obergesellschaft) gesteuert werden und in letzter Konsequenz keinen eigenständigen Willen zur autonomen Zwecksetzung haben können. Dagegen könnte man anführen, dass eine Gesellschaft als Verantwortliche immer einen anderen Zweck mit personenbezogenen Daten verfolgt als eine andere Gesellschaft, schon weil sie einen eigenständigen Unternehmensgegenstand hat und eine eigene Rechtspersönlichkeit ist; es mag dann eine teilweise Identität des Zwecks mit anderen Gruppenunternehmen (oder Dritten) geben, aber nie eine vollständige Zweckidentität. Und auch umgekehrt ist unklar, wann eine „Zweck-Schnittmenge“ zwischen zwei Zwecken überhaupt groß genug ist, um zu einer gemeinsamen Verantwortlichenstellung zumindest in dieser Schnittmenge zu führen. Diese Fragen rühren daher, dass auch mehr als fünf Jahre nach Geltung der DSGVO offen geblieben ist, was ein „Verarbeitungszweck“ genau sein darf und wer das wie und in welcher Granularität autonom festlegt bzw. festlegen darf. Da hilft auch die Präzisierung, dass ein Zweck datenschutzrechtlich „legitim“ sein muss, nicht weiter.
Eine mittelständische Unternehmensgruppe könnte also versucht sein, den datenschutzrechtlichen Verarbeitungszweck so weit zu fassen, dass die Datenbestände mehrerer Gruppengesellschaften „verklammert“ werden können. Ob beispielsweise gruppenweit als einheitlicher Verarbeitungszweck „Verarbeitung der HR-Daten der Mitarbeiter der Gruppengesellschaften zu Zwecken der Begründung, Durchführung und Beendigung von Anstellungsverhältnissen in der Unternehmensgruppe“ oder „Empfang, Speichern und Senden von E-Mails der Gruppengesellschaften“ definiert werden kann, selbst wenn bei granularer Betrachtung die Angelegenheiten der Gruppengesellschaft A (Angestellte, E-Mails etc.) im Einzelnen nicht identisch mit den Angelegenheiten der Gruppengesellschaft B sind, wurde bislang kaum thematisiert. Die Datenschutzaufsichtsbehörden dürften dies verneinen, weil der selbstgesetzte Zweck nicht durch eine „gesellschaftsübergreifende“ Legitimationsgrundlage unterlegt werden kann: Die (gesetzliche) Legitimationsgrundlage für die Verarbeitung von Arbeitnehmerdaten stellt auf das Anstellungsverhältnis zwischen dem Arbeitnehmer und dem Arbeitgeber ab und geht nicht darüber hinaus. Lässt man sich dementsprechend nicht auf solche weiten, die Gesellschaftsgrenzen überschreitenden Zweckdefinitionen ein, liegt eine gemeinsame Verantwortlichkeit nur vor, wenn sich die Identität in Bezug auf entsprechend engere Zwecke ergibt. Schreibt derselbe Mitarbeiter eine E-Mail mit der Signatur des Gruppenunternehmens A zu einem Auftrag, der nur das Gruppenunternehmen A betrifft, und eine weitere E-Mail mit der Signatur des Gruppenunternehmens B zu einem Einkaufsvorgang, der nur das Gruppenunternehmen B betrifft, können – vorbehaltlich einer späteren datenschutzrechtlich separat zu prüfenden Übermittlung zwischen zwei unabhängigen Verantwortlichen – bei Zugrundelegung eines engeren, auf die jeweiligen Gruppengesellschaft bezogenen Zwecks nicht beide E-Mails von vornherein beiden Gruppenunternehmen (als gemeinsam Verantwortliche) zugeordnet werden. Dasselbe würde für Lohnbuchhaltungsdaten von Angestellten der Unternehmen A und B gelten, selbst wenn diese innerhalb der Gruppe einheitlich verarbeitet werden. Die Verarbeitungszwecke wären hier in jedem Fall nicht deckungsgleich, weil sie an die jeweiligen Gesellschaftsgrenzen „stoßen“.
In Konzernsachverhalten ist darüber hinaus unklar, inwieweit eine zentrale (gruppenweite) Steuerung bzw. Dimensionierung von IT-Projekten ausreicht, um neben oder alternativ zum Zweck von einer gemeinsamen Festlegung der Mittel der Verarbeitung ausgehen zu können. Gerade dann, wenn der „geballte IT-Sachverstand“ (inkl. Hardware) sich in einer Gruppengesellschaft bündelt, die dann mit der von ihr angeschafften und bilanzierten IT anderen Gruppengesellschaften wie ein externer (Cloud-) Dienstleister Speicherplatz, SaaS-Dienste oder sonstige IT-Funktionen bereitstellt, könnte dies zu einer gemeinsamen Verantwortlichenstellung zwischen dieser internen Dienstleistungsgesellschaft und anderen Gruppengesellschaften führen. Das Verhältnis zwischen diesen Gesellschaften wäre dann anders zu interpretieren als eine ähnliche Konstellation zwischen fremden Dritten, wo dies in aller Regel zu einer Auftragsverarbeitungssituation führen würde, weil der Dritte hier die IT-Ressourcen als solche unabhängig von seinen späteren Auftraggebern bereits eigenständig „vordefiniert“ hat und in diesem Zustand Auftraggebern zur Verfügung stellt. In mittelständischen Unternehmensgruppen ist es aber darüber hinaus auch schon vorgekommen, dass man gar nicht wusste, welche Gruppengesellschaft überhaupt genau Eigentümer von Hardware, Berechtigter von Lizenzen und Betreiber von Systemen ist und deshalb als gemeinsam Verantwortlicher in Betracht kommt.
Für die Praxis ist dies alles wohl nicht entscheidend, um überhaupt zu legitimieren, dass sich Gruppengesellschaften als eigenständige Verantwortliche personenbezogene Daten übermitteln. Denn sowohl für zwei getrennte Verantwortliche als auch für gemeinsam Verantwortliche ist eine Legitimationsgrundlage für eine Übermittlung zwischen ihnen erforderlich. Insoweit werden also die gemeinsam Verantwortlichen von der DSGVO nicht privilegiert, sind aber gezwungen, zusätzlich eine (datenschutzrechtliche) Vereinbarung abschließen, um die Arbeitsteilung innerhalb dieser „Kooperation“ vor allem gegenüber den Betroffenen festzulegen. Diese von der DSGVO vorgegebene (Innen-) Vereinbarung ist zwar letztlich praktisch bedeutungslos, weil gegenüber den Betroffenen dennoch beide gemeinsam Verantwortlichen voll für sämtliche DSGVO-Verletzungen haftbar bleiben, soll aber den Betroffenen dennoch aufzeigen, wer von beiden Verantwortlichen sich selbst primär als verantwortlich für was erklärt hat. Unterbleibt der Abschluss dieser Vereinbarung, stellt dies dennoch einen (eigenständigen) formalen Datenschutzverstoß dar, und das ist auch der Grund dafür, weshalb sich Verantwortliche beizeiten Gedanken darüber machen sollten, ob sie mit einem anderen Verantwortlichen gemeinsam verantwortlich sind oder nicht.
Wenn auf dieser ersten Ebene für einzelne Betroffenengruppen bzw. Datenkategorien auf der konzernweiten Datenlandkarte geklärt ist, welcher datenschutzrechtlicher Modus zur Anwendung kommt, und daneben – wenn keine Auftragsverarbeitung vorliegt – eine Legitimationsgrundlage für die Übermittlung identifiziert und ggf. (durch eine Intercompany-Vereinbarung) „gehärtet“ wurde, kann man sich anschließend der Frage widmen, wie man dies nun in heterogenen IT-Umgebungen im Konzern operationalisiert.
Datentrennung zwischen den Gruppengesellschaften
Sind zwei Gruppengesellschaften im Verhältnis zueinander als eigenständige Verantwortliche anzusehen, so sind die von ihnen jeweils verarbeiteten personenbezogenen Daten – vorbehaltlich einer späteren Übermittlung an einen anderen Verantwortlichen – zu trennen. Eine parallele Zugriffsmöglichkeit auf dieselben Daten ist nur bei der Auftragsverarbeitung und bei der Stellung als gemeinsam Verantwortliche zulässig. Bei der Auftragsverarbeitung benötigt der Auftragsverarbeiter keine besondere datenschutzrechtliche Legitimation zur weisungsgemäßen Verarbeitung der Daten für den Auftraggeber. Bei der Stellung als gemeinsam Verantwortliche muss jeder Verantwortliche eine eigene datenschutzrechtliche Verarbeitungslegitimation vorweisen können, und dann darf natürlich auch jeder Verantwortliche auf die Daten parallel zugreifen.
Insbesondere zur Erleichterung der Ableitung der risikoangemessenen technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten gibt es seit 2016 das „Standard-Datenschutzmodell“ der deutschen Aufsichtsbehörden, welches generell versucht, die abstrakten rechtlichen Vorgaben des Datenschutzes (später der DSGVO) operationalisierbar zu machen. Dies geschieht durch die Ableitung unterschiedlicher „Gewährleistungsziele“ aus der DSGVO sowie der Formulierung von Verarbeitungsphasen und Prozessebenen, in denen jeweils die inhärenten Verarbeitungsrisiken durch entsprechende Steuerungsmaßnahmen auf ein „rechtlich verantwortbares Maß“ verringert werden. Die entscheidende Frage, wie dieses rechtlich verantwortbare Maß bestimmt werden kann, beantwortet das Standard-Datenschutzmodell nicht. Dafür enthält es viele Vorschläge für Steuerungsmaßnahmen in verschiedenen Verarbeitungsphasen, hinsichtlich derer auch unklar bleibt, welche Maßnahme wann – und ggf. neben anderen Maßnahmen – konkret erforderlich ist.
Für die Trennung von Datenbeständen bzw. Zugriffsmöglichkeiten kommt der „Baustein 50 – Trennen“ des Standard-Datenschutzmodells zur Anwendung. Die Notwendigkeit zur Trennung ergibt sich hiernach aus dem Verarbeitungszweck: Daten, die dem Verarbeitungszweck A dienen, sind von Daten, die dem Verarbeitungszweck B dienen, zu trennen. Wie oben gezeigt, ist die zugrunde liegende Zweckdefinition freilich mit vielen Unschärfen behaftet. Ziel der Trennung ist letztlich die „Abgeschlossenheit“ der Verarbeitung im Rahmen der Zwecksetzung: Die Verarbeitung der Daten eines Zwecks muss in einer „Blase“ geschehen, die von anderen Verarbeitungen und von anderen Verantwortlichen getrennt ist.
Ausgehend von der Risikobestimmung der Daten und der Verarbeitungshandlungen muss eine Trennung mehr oder weniger strikt sein. Im Wesentlichen bestimmt sich danach die Notwendigkeit der „Härtung“ von technischen und/oder organisatorischen Maßnahmen („Qualität“ der Trennung), also insbesondere die Intensität des Schutzes vor deren Umgehung. Dabei sind im Prinzip auch die Kosten der Implementierung zu berücksichtigen. Legitime Ausnahmen von der Trennung sind Übermittlungen zwischen Verantwortlichen, für welche der „Baustein 50 – Trennen“ einige Vorgaben macht wie Auswahl der zu übermittelnden Daten, Protokollierung der Übermittlung, Sicherstellung der Integrität der übermittelten Daten etc. Es wird hier schnell offenbar, dass eine genaue Umsetzung in Unternehmensgruppen bei zu trennenden „Datensilos“ einen erheblichen zusätzlichen Administrationsaufwand schaffen würde, weil jede Übermittlung von einer Gruppengesellschaft an eine andere datenschutzrechtlich individuell zu beurteilender und zu dokumentieren ist.
Das Vorstehende trifft natürlich nicht den Kern des Problems, wenn eine Unternehmensgruppe mit „historisch gewachsenen gemischten Datenbeständen“ zu kämpfen hat. Der „Baustein 50 – Trennen“ ist auf eine Planungssituation ausgelegt, in der die Weichen für eine zukünftige Trennung gestellt werden sollen, sodass am Ende ein datenschutzkonformes System entsteht, in das dann Daten hineinfließen können. Und tatsächlich beschleicht einen in der Praxis manchmal das Gefühl, dass es sinnvoller wäre, IT-Systeme, Applikationen bzw. Dienste und Nutzdaten(banken) „from scratch“ neu aufzubauen als einen bestehenden „Wildwuchs“ gegen das Besitzstandsdenken der Mitarbeiter – ob verantwortlich oder ausführend – zu entflechten.
Die Trennung von ungetrennten Datenbeständen
Prinzipiell gibt es zwei Möglichkeiten, sich diesem aus der Vergangenheit resultierenden, rechtlich nicht durchdrungenen Zustand zu nähern. Einerseits können die Daten selbst künftig durch hinreichende (vorrangig technische) Maßnahmen (z. B. nach Maßgabe des „Baustein 50 – Trennen“) getrennt werden. Das setzt natürlich eine inhaltliche Trennung des gemischten Datenbestands voraus. Finden sich im E-Mail-Account eines Mitarbeiters einer Gruppengesellschaft E-Mails, die verschiedenen Gruppengesellschaften zuzuordnen sind, müssen diese händisch in verschiedene Ordner bzw. Sub-Accounts aufgeteilt werden. Liegen in einer Datenbank Datensätze, die verschiedenen Gruppengesellschaften zuzuordnen sind, muss die Datenbank aufgeteilt werden oder es müssen mehrere Datenbanken generiert werden, die ihrerseits jeweils nur die relevanten Daten eines Verantwortlichen umfassen. Stets sind diese Maßnahmen durch entsprechende Berechtigungen abzusichern, um „mandantenübergreifende Zugriffe“, wie es der „Baustein 50 – Trennen“ nennt, auszuschließen. In manchen Fällen mag eine Trennung der Datenbestände nicht notwendig sein, wenn die softwaretechnischen Möglichkeiten der Berechtigungssteuerung so granular sind, dass eine Steuerung auf Einzeldatenebene möglich ist, etwa bei Dokumentenmanagementsystemen, bei dem für jedes Dokument eigene Zugriffsberechtigungen definiert werden können. Auch in diesem Fall ist allerdings zu beachten, dass die Trennung eigentlich auch eine „sicherheitstechnische Isolation“ bedeutet, d. h. Datenschutzprobleme oder -vorfälle in einem Bestand sollen die anderen Bestände unberührt lassen. Ob dies bei Verwendung desselben Systems und „nur“ einer Berechtigungssteuerung auf Ebene der Verantwortlichen, d. h. ungetrennten zugrundeliegenden Daten-Pools möglich ist, kann zweifelhaft sein.
Wie oben gezeigt, kann auch bei den so nachträglich auf die einzelnen Verantwortlichen aufgetrennten Datenbeständen in Bezug auf das einzelne Datum eine spätere Übermittlung von einer Gruppengesellschaft an die andere datenschutzrechtlich erforderlich und zulässig sein. Derartige Übermittlungen sind dann zu dokumentieren und zu protokollieren, um später nachverfolgen zu können, welche Gruppengesellschaft in den „Besitz“ personenbezogener Daten anderer Gruppengesellschaften gelangt ist und warum.
Der zweite Ansatz besteht schlicht darin, durch ein Geflecht bilateraler Vereinbarungen zwischen den Gruppengesellschaften den bisherigen faktischen Zustand für die Zukunft (!) datenschutzrechtlich zu legitimieren und die parallele Zugriffsmöglichkeit der Gruppengesellschaften (also den Status Quo) weitgehend aufrechtzuerhalten. Juristisch-technisch kann das natürlich auch im Wege einer mehrseitigen, konzerninternen Vereinbarung unter Teilnahme mehrerer oder aller Gruppengesellschaften umgesetzt werden, die daneben auch noch die Übermittlung erleichtert (s. o.). Diese vielleicht zunächst als „Abrakadabra“ anmutende Vorgehensweise ist allerdings mit mehr Haken und Ösen versehen, als es auf den ersten Blick den Anschein hat. In einem ersten Schritt würde man Auftragsverarbeitungssituationen (zur Begründung einer Auftragsverarbeitungsvereinbarung) und Zwecküberschneidungen (zur Begründung einer Stellung als gemeinsam Verantwortliche) identifizieren. So wird man typologisch Stabsfunktionen, die bei einem Gruppenunternehmen konzentriert wurden (wie eine Personalabteilung), als Auftragsverarbeitungen einordnen, und mehrere Gruppengesellschaften, die parallel, aber in unterschiedlichen Phasen an einem (Kunden-) Auftrag arbeiten (wie Vertrieb, Einkauf, Produktion, Service), ggf. als gemeinsam Verantwortliche charakterisieren können. Geht man hier ins Detail, ergeben sich jedoch erfahrungsgemäß einige Fragezeichen. Die Auftragsverarbeitung scheitert, wie schon oben erwähnt, immer wieder daran, dass der vermeintliche Auftragsverarbeiter die Daten dann doch zu anderen, eigenen Zwecken verarbeitet als ausschließlich für den Auftraggeber (und zu dessen Zwecken). Außerdem kann bei Etikettierung eines gemeinsam genutzten Datenpools zu Auftragsverarbeitungszwecken die Frage aufkommen, warum der Auftragsverarbeiter „vorsorglich“ Zugriff auf viele Datensätze erhält, die er zumindest nicht jetzt benötigt, wahrscheinlich aber auch niemals benötigen wird. Die gemeinsame Verantwortlichkeit hingegen steht und fällt mit den oben diskutierten Fragen, ob alleine eine Mittel- oder Zwecküberschneidung ausreicht, und soweit der Zweck eine Rolle spielt, ob der Zweck „legitim“ umfassend genug umrissen werden darf. Gerade wenn große, unsortierte Datenbestände pauschal vielen Gruppengesellschaften mit Berufung auf einen angeblich überschneidenden Zweck gleichermaßen zur Verfügung gestellt werden, wird dies Argwohn erwecken, dass hier die Voraussetzungen nicht im Detail geprüft wurden. Es empfiehlt sich hier, den Datenbestand und die datenschutzrechtliche Rechtfertigung besonders genau zu dokumentieren.
Selbstverständlich ist auch bei diesem zweiten Ansatz der durch die abgeschlossenen Vereinbarungen erreichte Zustand – die Rechtswidrigkeit des „Daten-Saustalls“ in der Vergangenheit kann damit natürlich nicht geheilt werden – durch technisch-organisatorische Maßnahmen abzusichern. Das betrifft nicht nur die Trennung der so geschaffenen „Datensilos“, soweit getrennt wurde, sondern auch z. B. die Sicherstellung, dass eine Verarbeitung von Daten in Auftragssituationen nur weisungsgemäß erfolgt, oder dass die Betroffenenrechte bei einer Stellung als gemeinsam Verantwortliche auch tatsächlich von der in der dazu geschlossenen Vereinbarung benannten Gruppengesellschaft gewahrt werden.
Geschäftliche Kontaktdaten als privilegierter Sonderfall?
Personaldaten verarbeitet jedes Unternehmen bzw. jede Unternehmensgruppe. Der Umfang dieser Daten wird bisweilen unterschätzt; man denke nur an die vielen Datenspuren, welche die eigenen Mitarbeiter beständig im Unternehmen hinterlassen. Viele dieser „Verlaufsdaten“ bzw. „Bewegungsdaten“ sind auch für Überwachungszwecke einsetzbar und es ist rechtlich unklar, in welchem Umfang und für welche genauen Zwecke sie überhaupt erhoben und verarbeitet werden dürfen („Performance-Messung“ von Abteilungen etc.). Rechtlich wird hier oft argumentiert, dass der Arbeitgeber selbst bestimmen könne, wie er seinen Betrieb organisiert, und damit auch darüber, welche Daten genau anfallen, aber bei zu großer „Datendichte“ werden dann dennoch Grenzen offenbar. Dass in den meisten Unternehmen stark „personalüberwachungsfähige“ Daten aufgezeichnet werden, tatsächlich aber (ohne Löschfristen) „einfach herumliegen“ – was datenschutzrechtlich eigentlich irrelevant ist, weil es auf das Nutzungspotenzial ankommt, nicht auf die tatsächliche Nutzung –, wurde bislang kaum thematisiert. Außerhalb der Personaldaten wird in der Praxis insbesondere produzierender Betriebe jedoch häufig behauptet, dass es im Kerngeschäft keine personenbezogenen Daten in nennenswertem Umfang gebe. Das ist vermutlich richtig, wenn man personenbezogene Daten mit besonders sensiblen Daten gleichsetzt. Ein E-Commerce-Händler verfügt über viele personenbezogene Daten von Privatpersonen inklusive Bank- oder Kreditkartendetails, der Betreiber einer Social-Media-Plattform über viele Details aus dem Leben seiner „Kunden“, aber ein Maschinenbauunternehmen eher nur über die geschäftlichen Kontaktdaten der Ansprechpartner seiner Lieferanten und Kunden. Einer Denkweise aber, dass ein Datenschutz für geschäftliche Kontaktdaten dem Schießen mit Kanonen auf Spatzen entspricht, widerspricht die DSGVO mit ihrem „one size fits all“-Ansatz, auch wenn erst kürzlich in der juristischen Literatur behauptet wurde, der Gesetzgeber habe diese – in der Unternehmenspraxis extrem bedeutsame – Datenkategorie bei seinen Überlegungen im Zuge der Gestaltung der DSGVO schlicht überhaupt nicht auf dem Schirm gehabt.
Die gute Nachricht ist, dass geschäftliche Kontaktdaten weniger schutzbedürftig sind als andere, sensiblere Datenkategorien. Das bedeutet nicht, dass sie nicht Gegenstand des Datenschutzes sind, aber die Schutzmaßnahmen dürfen hier dürftiger ausfallen. Nicht nur muss ein Mitarbeiter, der (freiwillig) im Vertrieb eines Unternehmens tätig ist, davon ausgehen, dass seine geschäftlichen Kontaktdaten in der Geschäftswelt geteilt werden, sondern höchstwahrscheinlich möchte dieser Mitarbeiter das sogar, damit potenzielle Käufer der Produkte seines Unternehmens ihn kontaktieren. Eine Grenze findet das aber dort, wo Daten über die Person gesammelt werden und nicht nur über dessen geschäftliche Aktivität für seinen Arbeitgeber. Der Umfang der Daten, die in CRM-Tools über die Einkäufer auf Kundenseite oder über die Verkäufer auf Lieferantenseite gesammelt werden – Wein- oder Hotel-Präferenzen, Familienstand, halb-private Anknüpfungspunkte für Gespräche etc. –, stellen dann datenschutzrechtlich ein durchaus kritisch zu würdigendes „Profil“ des Betroffenen dar. Dasselbe gilt für E-Mail-Verkehre, die private und berufliche Aspekte mischen und in denen zwischen den Angestellten zweier Unternehmen bzw. Unternehmensgruppen neben der Erteilung eines Auftrags etc. auch über Dritte (Ehegatten, Kinder) oder sensible Themen (Krankheiten, politische Ansichten etc.) gesprochen wird. Bei der Einordnung und den rechtlichen Folgen derartiger E-Mails stößt das Datenschutzrecht an Grenzen und ein effektives, sprich rechtlich unzweifelhaftes, Verbot privater E-Mails bzw. E-Mail-Inhalte besteht nahezu nirgends.
Es sind bislang keine datenschutzrechtlichen Verfahren, sei es vor Gerichten oder Behörden, ersichtlich, in denen es lediglich um geschäftliche Kontaktdaten ging, auch wenn in der Anfangszeit der DSGVO durchaus darüber diskutiert wurde, wie denn nun beispielsweise mit (physischen oder virtuellen) Visitenkarten von Unternehmensangehörigen umzugehen sei. Auch B2B-E-Mails sind bislang nur Gegenstand arbeitsrechtlicher Auseinandersetzungen, wenn ein Mitarbeiter seinen (ehemaligen) Arbeitgeber mit datenschutzrechtlichen Auskunftsansprüchen traktiert, nicht aber im Verhältnis zwischen den Verantwortlichen (d. h. den beiden involvierten Arbeitgebern eines solchen Austausches).
Ob dieser scheinbar „blinde Fleck“ des Datenschutzrechts nun dazu genutzt werden kann, bei der Verarbeitung solcher geschäftlichen Kontaktdaten gruppenweit von einer Stellung als gemeinsam Verantwortliche auszugehen, eben weil hier ein unternehmensübergreifender Zweck des Aufbaus und der Pflege einer „Kontaktdatenbank mit Kunden- und Lieferantendaten“ von Ansprechpartnern anderer Unternehmen vorliegt, bleibt weiterhin unklar. Immerhin würde dies mit wenig Aufwand rechtfertigen, dass jedes Gruppenunternehmen insoweit mit einem „losen“ Berechtigungskonzept auf einen gemeinsamen Datenpool zugreifen darf, und auch die Übermittlung solcher Datensätze an ein anderes Gruppenunternehmen – ebenso wie an einen Dritten – würde damit kein nennenswertes datenschutzrechtliches Problem darstellen. Solange auch inner- und zwischenbetriebliche Korrespondenz, letztere im Handels- und Steuerrecht „Geschäftsbriefe“ genannt, nur die geschäftlichen Kontaktdaten enthält, könnte man möglicherweise auch den Bestand auftragsbezogener Dokumente innerhalb der Unternehmensgruppe in gleicher Weise „poolen“. Alternativ bleibt die Übermittlung zwischen selbstständig Verantwortlichen (s. o.), die aber mit zusätzlichem administrativem Aufwand für die einzelne Übermittlung versehen ist, der bislang in der Praxis nicht betrieben wird; für das Argument, dass etwa die Dokumentation jeder einzelnen Übermittlung mit Hinweis auf den niedrigen Risikogehalt geschäftlicher Kontaktdaten entbehrlich ist, findet sich zumindest im Standard-Datenschutzmodell keine Stütze.
Trennung auch innerhalb der Unternehmen?
Je umfangreicher ein gruppenweit geteilter oder auch nur einem Gruppenunternehmen zuordenbarer Datenbestand, in dem sich „irgendwelche“ Daten über geschäftliche Aktivitäten der Mitarbeiter befinden, wird, desto höher wird auch das Missbrauchspotenzial. Besteht die Aufgabe einer Person in erster Linie darin, Buchungs-Datensätze zu erarbeiten, überarbeiten oder freizugeben, kann man aus den Zeitstempeln der protokollierten Änderungen – ggf. in Kombination mit dem betrieblichen Kalender der betroffenen Person – durchaus Rückschlüsse über Anwesenheiten, Produktivität und Fehlzeiten führen. Man darf dabei nicht vergessen, dass auch geschäftliche Kontaktdaten, Bewegungs- und Verlaufsdaten von Arbeitnehmern, Arbeitsergebnisse, Kalendereinträge etc. letztlich allesamt „Personaldaten“ sind, entweder des eigenen oder eines fremden Unternehmens. Und Personaldaten lassen nun einmal Rückschlüsse auf das Personal zu. Deshalb gibt es verschiedentliche explizite Aussagen der Aufsichtsbehörden, wonach betriebliche Kalender nur in dem Ausmaß einsehbar durch andere Mitarbeiter zu gestalten sind, in dem die Information auch tatsächlich im Organisationsablauf zwingend benötigt wird. Die nicht benötigten Informationen sind dann entsprechend unkenntlich zu machen (bis hin zum gesamten Kalenderinhalt).
Dies ergibt sich aus dem sog. „need to know“-Grundsatz des Datenschutzrechts, der innerhalb der betrieblichen Organisation beim Verantwortlichen maßgeblich ist und verlangt, dass jeder Teil der Organisation bis hin zum einzelnen Mitarbeiter Zugriff nur auf die Informationen hat, die für ihn bzw. für sein Aufgabengebiet relevant sind. Das zeigt, dass selbst bei einem „Pooling“ von Datenbeständen zwischen Verantwortlichen (Gruppenunternehmen) noch bei Weitem nicht alles getan ist, um Datentrennung zu betreiben bzw. selektive Berechtigungen zum Datenzugriff einzuführen. Nach dem „Baustein 50 – Trennen“ des Standard-Datenschutzmodells führt die interne Datentrennung zwischen Abteilungen, Referaten und Arbeitsgruppen die externe Trennung der Daten verschiedener Verantwortlicher mit ähnlichen Kriterien fort, einschließlich der Sicherung, Kontrolle und Protokollierung der „Datenflüsse zwischen Bereichen mit unterschiedlichen Zwecken“. Ob und inwieweit das „need to know“-Prinzip über den „Kunstgriff“ einer weiten Zweck- bzw. Rollendefinition unterlaufen werden kann, ist unklar. Da hilft auch folgender Satz im „Baustein 50 – Trennen“ nicht weiter: „Die Zweckbeschreibung muss den Zweck so eng fassen, dass die Grenzen der Verarbeitungstätigkeit mit den für den Prozess der Verarbeitung notwendigen und erforderlichen Daten im dafür angemessenen Umfang technisch und datenschutzrechtlich bestimmbar sind.“
Der wichtigste Praxisfall
Die Erfahrungen in der Praxis zeigen, dass bezüglich der Verarbeitung von personenbezogenen Daten in Unternehmensgruppen bislang kaum eine „Awareness“ vorhanden ist. Das liegt einerseits an einer intuitiven Ablehnung der „Einmischung“ des Datenschutzrechts in „gruppeninterne Angelegenheiten“ (obwohl das Datenschutzrecht ja noch weitergeht und sich auch in die gesellschaftsinterne Organisation einmischt) und andererseits an der fehlenden Kontrolldichte (inklusive fehlender „spektakulärer“ Bußgeldentscheidungen, besonders im Mittelstand). Das Thema führt also ein Schattendasein in der Datenschutzpraxis und entsprechend groß ist der Wildwuchs vor Ort. Dennoch lässt sich die Frage, für welchen Fall ein sauberes gruppeninternes Management personenbezogener Daten dann überhaupt gut sein sollte, leicht beantworten: Für den Verkauf einer Gruppengesellschaft, der zu ihrer Herauslösung aus dem „Datenverbund“ führen muss. Dann besteht ein vitales Interesse sowohl seitens des Verkäufers (der Unternehmensgruppe) als auch des Käufers als auch der verkauften Gesellschaft aus der Sicht ihrer Geschäftsführung, die relevanten Daten und datenschutzrechtlichen Rechtsbeziehungen in geordneten Verhältnissen zu überführen. Ein Beschluss der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden zur Übertragbarkeit von Daten beim Asset Deal – man mag davon inhaltlich halten, was man will – zeigt auch außerhalb von Konzernsachverhalten auf, dass beim Unternehmenskauf nicht einfach sämtliche Daten des Verkäufers mit übernommen werden dürfen, sondern „ausgesiebt“, zumindest aber der Zugriff (weiter) beschränkt werden muss. Derartige Aspekte spielen aber in vielen Verkaufsverhandlungen, wenn überhaupt, dann nur eine untergeordnete Rolle.
Ein Leichtes ist es noch, einem ehemaligen Gruppenunternehmen, das verkauft wird – meist im Rahmen eines Share Deals (Verkauf von Gesellschaftsanteilen) –, einen Zugriff auf Daten(banken) zu kappen, der nur faktisch bestand und rechtlich vielleicht gar nicht zu rechtfertigen war. Daneben gibt es aber zwei weitere Fälle: Das verkaufte Zielunternehmen hat erstens „seine“ Daten nicht selbst verarbeitet, sondern von (ehemaligen) Gruppengesellschaften verarbeiten lassen bzw. mit diesen geteilt (aber so, dass sie nicht auf den dem Zielunternehmen gehörenden IT-Systemen lagen), ohne dass entsprechende (konzerninterne) Vereinbarungen abgeschlossen wurden. Und: Das verkaufte Zielunternehmen hat zweitens spiegelbildlich mit seiner IT Daten anderer Gruppengesellschaften verarbeitet, ohne dass entsprechende Vereinbarungen vorhanden waren. Im ersten Fall sollte das beim Käufer des Unternehmens zu entsprechenden Maßnahmen führen, im zweiten Fall bei der verbleibenden Unternehmensgruppe, um zuallererst einmal die „Besitzverhältnisse“ geradezurücken. Das hat nicht nur eine datenschutzrechtliche Komponente, sondern die Möglichkeit des Zugriffs auf bestimmte Daten kann ein wesentlicher wertbildender (oder werteinschränkender) Faktor sein, etwa wenn Kundendaten, die eigentlich bei der Zielgesellschaft „nicht hingehören“, faktisch an einen Wettbewerber als Käufer gelangen, dem man zwar die Zielgesellschaft, nicht aber diese Daten verkaufen wollte. Hier geht es also auch um Geschäftsgeheimnisse und wettbewerblich wichtige Informationen.
Der Käufer kann derartige Sachverhalte möglicherweise im Rahmen einer Due-Diligence-Prüfung aufdecken, wenn sie sich explizit auch auf Datenbestände bezieht und nicht nur als oberflächliche „red flag“-Prüfung ausgestaltet ist. Bei mittelständischen Transaktionen, die „hands on“ gemacht werden, wie es so schön heißt, dürfte es ein erhebliches Risiko geben, dass dies gar nicht thematisiert wird. Der Verkäufer hingegen führt im Regelfall keine besondere Prüfung der Zielgesellschaft daraufhin durch, ob in dieser nur das „liegt“, was er auch verkaufen möchte, zumal sich Datenbestände in IT-Systemen nicht anhand der Bilanz oder der Anlagenbuchhaltung ablesen lassen. Nach dem Vollzug einer Veräußerung kann es so zu bösen Überraschungen kommen, und meist werden die Regelungen des Unternehmenskaufvertrages keine Möglichkeit geben, die Entflechtung der Datenbestände zu fordern. Man ist also in diesem Fall auf die „Kulanz“ der anderen Seite angewiesen. Gerade in Auftragsverarbeitungssituationen ohne Auftragsverarbeitungsvereinbarung besteht zunächst einmal kein Anspruch auf „Rückgabe“ der verarbeiteten Daten, und datenschutzrechtlich sind Verkäufer und Zielgesellschaft dann als selbstständige Verantwortliche zu qualifizieren, zwischen denen grundsätzlich keine datenschutzrechtlichen Herausgabeansprüche bestehen. Stellt die Zielgesellschaft fest, die mitgenommenen Daten datenschutzrechtlich nicht „besitzen“ zu dürfen, wäre sie datenschutzrechtlich nur zur Löschung verpflichtet, nicht aber zur Übertragung an den „eigentlichen“ Verantwortlichen. Dass sich hieran auch weitere rechtliche Probleme bei der verkaufenden Unternehmensgruppe wie die Nichteinhaltung handels- und steuerrechtlicher Aufbewahrungsvorschriften anschließen können, sei nur am Rande erwähnt.
Fazit
Unternehmen einer Unternehmensgruppe sind datenschutzrechtlich zunächst einmal getrennte Verantwortliche. Allenfalls wird die Übermittlung personenbezogener Daten zwischen ihnen etwas erleichtert. Im Grundsatz sind daher auch die Datenbestände der jeweiligen individuellen Gruppengesellschaft isoliert zu verarbeiten. Allerdings können hier Auftragsverarbeitungsvereinbarungen der Gruppengesellschaften untereinander sowie die Stellung als gemeinsam Verantwortliche in gewissen Grenzen den parallelen Zugriff auf dieselben Datenbestände rechtfertigen. Dies ist im Einzelfall aber genau zu prüfen und ebenso auch, inwieweit der Zugriff auf die Daten intern beim jeweiligen Unternehmen eingeschränkt werden muss (auf Abteilungs- oder sogar Personenebene). Liegen die Daten bislang in ungetrennter Form und ohne rechtliche Hintergrundüberlegungen vor, ist es an der Zeit, die Datenbestände entweder physisch zu trennen oder durch entsprechende gruppeninterne Vereinbarungen, soweit das rechtlich möglich ist, den parallelen Zugriff zu ermöglichen. Letztlich kommt es bei allen Erwägungen zuallererst darauf an, den Zweck (rechtlich zulässig) zu definieren, zu dem die Daten verarbeitet werden, um dann entlang der Zweckgrenzen und unter Beachtung rechtlich zulässiger paralleler Nutzung durch mehrere Gruppengesellschaften (Auftragsverarbeitung, Stellung als gemeinsam Verantwortliche, Übermittlung) Datentrennung durch technisch-organisatorische Maßnahmen zu betreiben.
Ein „Wildwuchs“ der Datenbestände wird tendenziell solange unentdeckt bleiben, wie die Betroffenen und die Aufsichtsbehörden die Verhältnisse nicht hinterfragen und – vor allem – die jeweilige Gesellschaft (Verantwortliche) unter einheitlicher Führung Teil der Unternehmensgruppe bleibt. Wird eine Gesellschaft aus dem Verbund herausverkauft, können ungeklärte rechtliche Verhältnisse in Bezug auf die Datenbestände zu ernsthaften Problemen führen – nicht nur im Datenschutz, sondern auch darüber hinaus, wenn wichtige Datenbestände „weg“ sind und der Käufer sich weigert, diese herauszugeben.