Nach Schrems II haben Datenschutzbehörden angekündigt, eine länderübergreifende Kontrolle internationaler Datentransfers durchzuführen. Außerdem läuft am 27. Dezember 2022 die Frist zu Anpassung der SCCs ab. Für international tätige Konzernunternehmen gibt es daher Handlungsbedarf: Wem das „Intra Group Data Transfer Agreement“ (IGDTA) noch kein Begriff ist, sollte nun aufhorchen; wer es bereits kennt, eine Bestandsaufnahme machen.
In Konzernunternehmen werden personenbezogene Daten von Arbeitnehmern sowie Bewerbern oftmals nicht nur innerhalb der deutschen Anstellungsgesellschaft verarbeitet, sondern auch an die im Ausland ansässige Muttergesellschaft oder andere Konzerngesellschaften übermittelt. Die Gründe hierfür sind vielfältig: Im Zeitalter des mobilen Arbeitens berichten Arbeitnehmer in Matrixstrukturen an Vorgesetzte einer anderen (ausländischen) Gesellschaft, die HR-Abteilung wird für alle Konzerngesellschaften zentralisiert oder zur Vereinheitlichung soll ein gemeinsames Human Resource Information System (HRIS) genutzt werden. Diese Konstellationen sind datenschutzrechtlich in zweifacher Hinsicht relevant: Zum einen muss in einem ersten Schritt geklärt werden, ob die Verarbeitung personenbezogener Daten an sich datenschutzrechtlich zulässig ist, zum anderen stellt sich die Frage, inwieweit in dem Drittland, in welchem die anderen Konzerngesellschaften ansässig sind, überhaupt ein vergleichbares Datenschutzniveau besteht.
Um die datenschutzrechtliche Compliance zu prüfen, sollte zunächst einmal Fact-Finding betrieben werden. Diese Prüfungsebene sollte bekannt sein, da sie regelmäßig auch bei Datentransfers innerhalb Deutschlands (bzw. der EU/EWR) stattfindet. Im Großen und Ganzen stellt sich hierbei folgende Frage: Welche personenbezogenen Daten sollen zu welchen Zwecken an welche Konzerngesellschaften übermittelt werden? Es ist empfehlenswert, bereits auf dieser ersten Stufe datenschutzrechtliche Expertise zu Rate zu ziehen, denn allein die Definition eines personenbezogenen Datums, wirft in der Praxis oftmals Fragen auf. Nicht zu unterschätzen ist außerdem der damit einhergehende Aufwand, der bei der Einführung von komplexen IT-Systemen erfahrungsgemäß zeitintensiv ausfallen und auch andere arbeitsrechtliche relevante Themen triggern kann.
In a nutshell: Die Datenschutzgrundverordnung (DSGVO) verbietet die Verarbeitung personenbezogener Daten, sofern sie nicht gesondert legitimiert ist. Im Arbeitsverhältnis kommt hierbei dem gesetzlichen Erlaubnistatbestand des § 26 Abs. 1 Satz 1 BDSG besondere Bedeutung zu. Dieser erlaubt eine Datenverarbeitung unter anderem, sofern dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist. Der Begriff der „Erforderlichkeit“ ist hierbei restriktiv zu verstehen: Nicht alles, was zweckmäßig ist, mag auch erforderlich sein. Hier sei beispielsweise an die Zentralisierung der HR-Abteilung zu denken. Diese kann finanziell durchaus zweckmäßig sein, wird jedoch für das einzelne Arbeitsverhältnis wohl nicht erforderlich sein. Sofern die Erforderlichkeit verneint wird, besteht ggf. die Möglichkeit, den Datentransfer über einen anderen Erlaubnistatbestand zu legitimieren. Sofern hierbei auf eine Einwilligung der Arbeitnehmer zurückgegriffen wird, sollte dies besonders kritisch geprüft werden, da im Beschäftigungsverhältnis erhöhte Anforderung an die Prüfung der Freiwilligkeit zu stellen sind.
Auf der zweiten Stufe kommt nun das Intra Group Data Transfer Agreement (IGDTA) ins Spiel. Hierbei handelt es sich um eine vertragliche Vereinbarung zwischen den verschiedenen Konzerngesellschaften, die (internationale) Datenübermittlungen im Konzern regelt. Werden personenbezogene Daten in ein Drittland, d.h. ein Land außerhalb der EU bzw. dem EWR, übermittelt, unterliegt dieser internationale Datentransfer weiteren Anforderungen. Ziel ist, ein vergleichbares Schutzniveau der personenbezogenen Daten im Drittland sicherzustellen. Die DSGVO sieht hierfür verschiedene Möglichkeiten vor: unter anderem das Vorliegen eines Angemessenheitsbeschluss durch die Europäische Kommission, die Festlegung von verbindlichen internen Datenschutzvorschriften („Binding Corporate Rules“) oder die Vereinbarung der Standarddatenschutzklauseln („Standard Contractual Clauses“ bzw. „SCCs“).
Sofern kein Angemessenheitsbeschluss (Link zur Übersicht gegenwärtiger Drittländer mit Angemessenheitsbeschluss) für das entsprechende Drittland vorliegt, wählen in der Praxis viele Unternehmen die zuletzt genannte Möglichkeiten und schließen ein Intra Group Data Transfer Agreement (IGDTA), in welchem sie die Anwendbarkeit der SCCs vereinbaren. Bei den SCCs handelt es sich um Vertragsklauseln, welche von der Europäischen Kommission veröffentlicht wurden und Regelungen enthalten, die angemessene Datenschutzgarantien gewährleisten sollen. Am 4. Juni 2021 hat die Europäische Kommission neue SCCs veröffentlicht, die für neue Vereinbarungen (IGDTAs) umgehend genutzt werden müssen. Bestehende Altvereinbarungen sollten einer Bestandsaufnahme unterzogen werden, da die „alten“ SCCs bis zum 27. Dezember 2022 ersetzt werden müssen.
Im IGDTA muss das Verhältnis der jeweiligen Gesellschaften untereinander, d.h. in welcher Rolle diese auftreten (Verantwortlicher/Controller oder Auftragsdatenverarbeiter/Processor), bestimmt und geregelt werden. Sodann kann das passende der vier verschiedenen Module der SCCs gewählt und als Teil des IGDTA verwendet werden (z.B. als Anhang). Der reine Abschluss eines IGDTA bzw. die Vereinbarung der SCCs allein genügt jedoch nicht, um datenschutzrechtliche Compliance herbeizuführen. Schließlich müssen die SCCs – wie insbesondere im Schrems II Urteil des EuGH entschieden - auch das Papier wert sein, auf dem sie geschrieben stehen. Um dies zu gewährleisten, sehen die SCCs unter anderem vor, dass das Unternehmen das Datenschutzniveau im Drittland überprüft und durch Ergreifen von zusätzlichen Schutzmaßnahmen sicherstellt. Diese Prüfung erfolgt durch die verpflichtende Durchführung eines sogenannten „Transfer Impact Assessment“ (TIA), welches das Risiko des Datentransfer unter Berücksichtigung der Rechtslage im Drittland analysiert. Hierfür ist eine detaillierte Prüfung des im Drittland geltenden Rechts erforderlich. Außerdem müssen die konkret ergriffenen Maßnahmen zum Schutz der Daten betrachtet und bewertet werden. Hierbei handelt es sich nicht um eine einmalige Aufgabe, sondern vielmehr um einen dynamischen Prozess, der eine stetige Überprüfung und Anpassung vorsieht. Damit einher geht auch die Pflicht des Unternehmens, stetig Schutzmechanismen, wie technisch und organisatorische Maßnahmen, zu treffen, um ein vergleichbares Datenschutzniveau im Drittland permanent gewährleisten zu können und vom Datentransfer abzusehen, sofern dieses nicht mehr zugesichert werden kann. Als Handlungshilfe kann hierbei die Empfehlung des Europäische Datenschutzausschuss (EDSA) herangezogen werden.
Konzerngesellschaften sollten bei internationalen Datentransfers erhöhte Aufmerksamkeit walten lassen, ansonsten drohen nach der DSGVO signifikante Geldbußen. Spätestens die Umsetzung der neuen SCCs sollte genutzt werden, einmal den Datenfluss und das dazugehörige Vertragswerk zu überdenken und anhand des TIA das jeweilige Risiko (neu) zu bewerten.