Eine globalisierte Wirtschaft funktioniert nur durch den globalen Austausch von Informationen. Der Austausch personenbezogener Daten im Konzernverband steht dabei jedoch oftmals im Spannungsverhältnis zwischen den Begehrlichkeiten der Konzernleitung nach einem möglichst umfänglichen Datenaustausch und der grundsätzlich restriktiven Haltung des österreichischen Datenschutzrechts.

Das österreichische Datenschutzgesetz 2000 (DSG 2000) sieht nämlich kein allgemeines "Konzernprivileg" vor, das einen Datenaustausch im Konzernverband begünstigen würde. Ein österreichisches Unternehmen bleibt daher für die Rechtmäßigkeit der Verarbeitung und Übermittlung seiner personenbezogenen Daten auch im Rahmen eines Konzerns selbst verantwortlich. Dies gilt auch dann, wenn die Entscheidung zum Datenaustausch faktisch gar nicht von der lokalen Geschäftsleitung, sondern von der im Ausland befindlichen Konzernleitung getroffen wird - etwa das Roll-out einer konzernweiten Personalverwaltungssoftware mit Zugriffsberechtigungen anderer Konzerngesellschaften.

Zulässiger Austausch

Nur in einem sehr limitierten Umfang wird die Datenverarbeitung einschließlich der Datenübermittlung im Konzern ausdrücklich für zulässig erklärt, so im Rahmen der Standardanwendung SA033 "Datenübermittlung im Konzern", die (ausschließlich) im darin beschriebenen Umfang einen konzernweiten Datenaustausch zur Führung einer Kontakt- und Termindatenbank, einer Karrieredatenbank sowie zur Verwaltung von Bonus- und Beteiligungsprogrammen vorsieht.

In allen sonstigen Bereichen ist die Zulässigkeit des Datentransfers individuell zu beurteilen und setzt zum einen voraus, dass die zu transferierenden Daten rechtmäßig verarbeitet werden. Andererseits ist zu prüfen, ob auch die rechtlichen Voraussetzungen für eine Datenübermittlung vorliegen: Dabei kommen insbesondere das Vorliegen eines "überwiegenden rechtlichen Interesses" (z. B. im Rahmen der Vertragserfüllung) oder die Zustimmung des Betroffenen (z. B. im Rahmen eines Kundenbindungsprogramms) in Betracht.

Für bloße Datenüberlassungen an Dienstleister verlangt das Datenschutzgesetz dagegen den Abschluss einer Dienstleistervereinbarung, in der die datenschutzrechtlichen Pflichten des Dienstleisters betreffend eine rechtmäßige und sichere Datenverarbeitung spezifiziert werden.

Safe-Harbor-Abkommen

Zudem ist für Datenübermittlungen und -überlassungen nach dem Zielort des Datentransfers zu unterscheiden: Ein Datentransfer innerhalb des Europäischen Wirtschaftsraumes (EWR) sowie in Drittstaaten mit einem festgestellten "angemessenen Datenschutz" (z. B. Schweiz, Kanada, Argentinien, die Kanalinseln etc.) bedarf keiner Genehmigung durch die österreichische Datenschutzkommission (DSK). Dies trifft auch auf Unternehmen in den USA zu, die sich freiwillig den Regeln des sogenannten "Safe-Harbor-Abkommens" unterworfen und zur Einhaltung eines Mindestmaßes an Datenschutz verpflichtet haben.

Der Datentransfer an alle sonstigen Unternehmen im Ausland bedarf demgegenüber einer vorherigen Genehmigung durch die DSK. Dies wiederum knüpft an den Nachweis eines angemessenen Datenschutzniveaus im individuellen Fall wie z. B. durch den Abschluss sogenannter "EU-Standardvertragsklauseln" zwischen dem österreichischen Datenexporteur und dem ausländischen Empfänger an.

Aufgrund teils mehrmonatiger Bearbeitungszeiten durch die DSK ist die Einholung solcher Genehmigungen allerdings nicht nur administrativ aufwändig, sondern kann den Roll-out bestimmter Datenaustauschprogramme im Konzern auch zeitlich massiv beeinträchtigen. Dies gilt es bereits im Vorfeld zu bedenken.

Alternative für Multis

Eine Alternative für multinationale Konzerne mit Konzernstandorten außerhalb des EWR können auch "Binding Corporate Rules" darstellen. Diese schaffen - nach Genehmigung durch die nationalen Datenschutzbehörden der betroffenen Konzernstandorte - eine vertragliche Grundlage für den gegenseitigen Konzerndatenaustausch in den vereinbarten Bereichen.

Der aktuelle Entwurf für eine zukünftige EU-Datenschutzverordnung beschreitet darüber hinaus auch neue Wege und sieht eine freiwillige aufsichtsbehördliche Zertifizierung von Unternehmen vor. Ein solches "European Data Protection Seal" würde den internationalen Datentransfer ebenfalls von Genehmigungspflichten ausnehmen.

Überhaupt wird die Thematik durch den Verordnungsentwurf der EU weiter ins Blickfeld rücken: Der momentane Strafrahmen von bis zu 10.000 Euro soll nämlich von einer Strafdrohung von bis zu fünf Prozent des weltweiten Konzernumsatzes abgelöst werden. Vorausschauende Maßnahmen im Bereich des Datenschutzes sind angesichts solcher Meldungen daher bereits jetzt angezeigt. (Roland Marko, DER STANDARD, 13.11.2013)