Datenschutz stellt Manager vor neue Herausforderungen

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) anzuwenden. Sie bringt weitreichende Änderungen für den Datenschutz von Unternehmen und dabei auch für den Informationsaustausch zwischen Vorständen und Geschäftsführern. Wenn sie personenbezogene Daten miteinander teilen, greifen die neuen Bestimmungen. Darauf können sich Manager mit digitaler Unterstützung vorbereiten.

Zur Anwendung kommt die DSGVO seit dem 25. Mai 2018 auf personenbezogene Daten. Dies sind nach Artikel 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei wird als „identifizierbar“ eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Das ist gerade im B2C-Bereich der Fall, wenn Listen mit natürlichen Personen als Interessenten bzw. Potenzialkunden ausgetauscht werden.

Auch künftig kein Konzernprivileg

Wenn Großunternehmen mit verschiedenen Tochtergesellschaften personenbezogene Daten gruppenintern austauschen, ist erhöhte Sorgfalt angebracht. Denn auch nach dem 25. Mai 2018 gibt es kein Konzernprivileg. Vorgesehen ist in Erwägungsgrund 48 der DSGVO lediglich, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein „berechtigtes Interesse“ haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Was ist ein berechtigtes Interesse?

Zwar können personenbezogene Daten zwischen Konzerngesellschaften ausgetauscht werden, wenn die Interessen des Verarbeiters die schutzwürdigen Interessen der Betroffenen überwiegen. Dazu heißt es in Erwägungsgrund 47 Satz 2 DSGVO, dass ein berechtigtes Interesse beispielsweise dann vorliegen könnte, wenn eine „maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ Ist im B2C-Geschäft eine natürliche Person aber noch kein Kunde, sondern lediglich ein Interessent oder ein „Lead“ bzw. loser Kontakt, wird man noch keine maßgebliche und angemessene Beziehung annehmen können. In diesem Fall dürfen die Daten im Konzern nicht ausgetauscht werden. Auch interne Auswertungen bzw. Revisionsberichte mit personenbezogenen Daten von externen natürlichen Personen ohne Kundenbeziehung dürfen nicht zwischen Konzerngesellschaften ausgetauscht werden.

Besonderheiten beim grenzüberschreitenden Datenaustausch

Erwägungsgrund 48 der DSGVO regelt zudem, dass die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt bleiben. Gerade in international agierenden Unternehmensgruppen werden Kundendaten aber oft grenzüberschreitend an Tochtergesellschaften außerhalb der Europäischen Union (EU) weitergegeben. Zudem ist es nicht unüblich, dass einzelne Vorstandsmitglieder ihren Sitz auf anderen Kontinenten haben und z.B. für Board Meetings digital mit Kundendaten oder Sitzungsunterlagen versorgt werden. Datenschutzrechtlich kann das problematisch sein, wenn die Länder kein im Vergleich zur EU angemessenes, anerkanntes Datenschutzniveau aufweisen. Dies ist beispielsweise in den USA oder in China der Fall. In dieser Hinsicht müssen Standardvertragsklauseln oder ähnliche Garantien vereinbart werden, die das europäische Datenschutzniveau faktisch in das betreffende Land „exportieren“. Ein konzernweit eingesetztes Board Portal wie Diligent Boards, das EU-Standards entspricht (z.B. ISO 27001- und TRUSTe-Zertifizierung, geprüft nach SSAE 16/ISAE 3402/SOC 1-Type II, Zwei-Faktor-Authentifizierung), kann hier helfen – und dies sowohl bei dem Datenaustausch im Management innerhalb als auch außerhalb Deutschlands. Mit solchen Tools lassen sich Zugriffsrechte auf Dateien für Board Meetings bis auf die Dokument- und Benutzerbene individuell einstellen. Zudem ist Echtzeitkommunikation mit höchster Sicherheit möglich. Informationen und Dokumente können ohne Bedenken sowohl in Deutschland als auch weltweit mit dem gesamten Management-Team geteilt werden.

Datenschutz als strategisches Thema

Weil Datenschutzbehörden bei Verstößen drakonische Geldbußen verhängen können, sollten sich Top-Entscheider mit den datenschutzrechtlichen Aspekten der Geschäftspraxis bzw. internen Prozesse ihres Unternehmens intensiv befassen. Dazu ist die schriftlich dokumentierte Vernetzung mit dem Datenschutzbeauftragten und die Einschaltung von datenschutzrechtlich spezialisierten Anwälten empfehlenswert, um den gesellschaftsrechtlichen Sorgfaltspflichten zu genügen und somit im Schadensfall die Haftungsrisiken einzudämmen.