Konzerninterner Datentransfer mittels Betriebsvereinbarung

Konzerne sind meist auf eine konzernweite IT-Infrastruktur, beispielsweise ein ERP- oder CRM-System, angewiesen. Die große Herausforderung besteht darin, einen aus Sicht des Datenschutzes rechtskonformen Einsatz zu gewährleisten, ohne dabei größeren technischen oder organisatorischen Aufwand zu erzeugen oder den Datentransfer zu beschränken. Ein geeignetes Mittel dafür kann eine Betriebsvereinbarung sein, deren Form und Inhalte hier erläutert werden.

Was schreibt der Datenschutz beim konzerninternen Datentransfer vor?

Das grundlegende Problem ist, dass das deutsche und wohl auch das sich anbahnende europäische Datenschutzrecht kein Konzernprivileg vorsehen, das einen freien Datenaustausch im Konzern ermöglichen würde. Vielmehr sind auch Datentransfers zwischen unternehmerischen Müttern und Schwestern den gleichen Regeln unterworfen, wie zwischen beliebigen fremden Unternehmen.

Daher müssen auch Konzernunternehmen mit Niederlassung(en) in Deutschland mit den Instrumenten auskommen, die das deutsche Rechtssystem zur Verfügung stellt. Dies sind als mögliche Rechtsgrundlagen

  1. die Einwilligung der Betroffenen,
  2. das Stützen auf einen gesetzlichen Erlaubnistatbestand oder
  3. der Abschluss einer Betriebsvereinbarung.

Mangels Praktikabilität kann die Einwilligung bereits im Vorfeld außer Acht gelassen werden. Auch das Stützen auf einen gesetzlichen Erlaubnistatbestand ist meist nicht empfehlenswert, da diese regelmäßig auf einer Interessenabwägung basieren, deren positiver Ausgang für jede einzelne Datenübertragung erneut festgestellt werden müsste. Daher bleibt oft allein die Betriebsvereinbarung als sinnvolle rechtliche Gestaltungsmöglichkeit.

Die Betriebsvereinbarung als Form einer Einwilligungserklärung

Die Betriebsvereinbarung stellt eine sogenannte „andere Rechtsvorschrift“ nach § 4 Abs. 1 BDSG dar und kann somit grundsätzlich eine Datenweitergabe rechtfertigen. Sie ist (nicht-juristisch) als eine Art kollektive Einwilligungserklärung aller Mitarbeiter zu sehen. Die Betriebsvereinbarung ist deshalb unter anderem auch dem Transparenzgebot, das für Einwilligungserklärungen gilt, unterworfen. Für die Betroffenen muss also aus der Betriebsvereinbarung klar hervorgehen, wer welche Daten zu welchem Zweck verarbeitet.

Behördliche Anforderungen an die Betriebsvereinbarung

Folgende Mindestanforderungen stellen die Aufsichtsbehörden an eine Betriebsvereinbarung, die als Legitimationsgrundlage für den konzernweiten Datenaustausch fungieren soll:

1. Schaffung eines konzernweiten Datenschutzkonzepts

Ein konzernweites Datenschutzkonzept soll zum einen die konkreten Zwecke festlegen, zu denen personenbezogene Daten im Konzern verarbeitet werden dürfen. Hierdurch wird der Arbeitnehmer auf organisatorischer Ebene davor geschützt, dass seine personenbezogenen Daten in nach deutschen Gesetzen rechtswidriger Art und Weise ausgewertet werden. Zum anderen sollen auch technisch-organisatorische Maßnahmen festgelegt werden, die den Schutz der Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten sollen.

2. Transparenz bzgl. des Verarbeitungsverlaufs der Daten

Da jede Verarbeitung von personenbezogenen Daten eines Mitarbeiters im Konzern grundsätzlich einen (wenn auch gerechtfertigten) Verstoß gegen das informationelle Selbstbestimmungsrecht darstellt, muss für den Mitarbeiter zumindest erkenntlich sein, von wem, auf welche Art und zu welchem Zweck seine Daten verarbeitet werden. Eine solche Schaffung geeigneter Transparenz-Maßnahmen ist Grundvoraussetzung dafür, dass der Mitarbeiter seine Betroffenenrechte überhaupt wahrnehmen kann.

3. Arbeitgeber bleibt Verantwortlicher für personenbezogene Daten

Der eigene Arbeitgeber muss umfassender Ansprechpartner des Arbeitnehmers bleiben, dessen Daten im Konzern verarbeitet werden. Diese Anforderung dient ebenso wie das Transparenzgebot der Wahrnehmung der Rechte der Mitarbeiter. Denn gäbe es den eigenen Arbeitgeber nicht als zentralen Ansprechpartner, so müssten die Mitarbeiter sich unmittelbar an das datenverarbeitende Unternehmen wenden, was oftmals mit Sprachbarrieren oder auch Problemen bei der Auffindung eines zuständigen Ansprechpartners verbunden wäre. Um dies zu verhindern, werden diese Probleme auf den eigenen Arbeitgeber abgewälzt.

Verbindlichkeit der & Zuständigkeit für die Betriebsvereinbarung

Soll eine Betriebsvereinbarung konzernweit Transfer und Verarbeitung von Daten legitimieren, ist sicherzustellen, dass dafür überhaupt die notwendigen Befugnisse der Vertragspartner vorliegen. Denn die Zuständigkeit des eigenen Betriebsrats endet an der Unternehmensgrenze. Das heißt, der Betriebsrat kann Verarbeitungen im eigenen Unternehmen regeln; es ist ihm aber nicht möglich, über die Rechte der eigenen Mitarbeiter hinsichtlich der Datenverarbeitung durch andere konzernangehörige Unternehmen zu bestimmen.

Infrage kommt deswegen nur eine Konzernbetriebsvereinbarung. Für den Abschluss einer solchen Regelung muss jedoch – sofern ein solcher existiert – der Konzernbetriebsrat herangezogen werden. Denn nur ein solches Gremium kann eine vertragliche Bindung aller konzernangehörigen Unternehmen herstellen.

Betriebsvereinbarung gilt nur für Beschäftigte

Zu guter Letzt noch der Hinweis, dass eine Betriebsvereinbarung stets nur Wirkung für Beschäftigte haben kann. Abgesehen von Konzernbetriebsvereinbarungen sind auch nur die Kollegen in einem konkreten Betrieb erfasst, für den die Betriebsvereinbarung gilt. Niemals können jedoch Rechtsverhältnisse von Bewerbern oder Dritten, externen Personen, mit einer Betriebsvereinbarung geregelt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Anleitung: Datenschutzkonformer Einsatz von Outlook Web Access (OWA) im Unternehmen

Viele Mitarbeiter sind grundsätzlich motiviert, auch unterwegs oder von zuhause geschäftliche E-Mails zu lesen und ggf. auch zu bearbeiten. Nicht allen diesen Mitarbeitern stehen dazu geschäftliche Geräte, insbesondere „Diensthandys“ zur Verfügung. Werden aber geschäftliche Informationen auf Geräte übertragen, die sich außerhalb des Einflussbereichs des Unternehmens befinden (Stichwort: Bring Your Own Device, BYOD), wird es datenschutzrechtlich heikel. Dabei existieren technische Möglichkeiten, die eine legale Lösung ermöglichen: Zum Beispiel Outlook Web Access (OWA), dessen datenschutzkonformen Einsatz der folgende Beitrag erklärt.

Das Problem: BYOD & Datenschutz

Werden E-Mails durch Systeme abgerufen, die nicht Eigentum der verantwortlichen Stelle sind, entstehen mehrere Probleme:

  • Die Erfüllung der „Acht Gebote des Datenschutzes“ ist nicht mehr möglich. Insbesondere Zugangs- und Zugriffs-, aber auch die Eingabekontrolle sind regelmäßig nicht mehr zu gewährleisten.
  • Zudem müssen sich Unternehmer fragen, ob es sich in solchen Fällen nicht um eine „Übermittlung“ im gesetzlichen Sinne handelt, die schlicht verboten ist, solange man nicht eine passende Rechtsgrundlage dafür findet.
  • Oder das Unternehmen bewegt sich in den Bereich der „Verarbeitung im Auftrag“ wodurch die umfangreichen Pflichten nach § 11 BDSG ausgelöst werden. Besonders die eventuell notwendigen Rechte, auch zu Kontrollen beim Arbeitnehmer zuhause, lösen selten Begeisterung aus.

Lösung: Datenhoheit bleibt auf dem Unternehmensserver

Umgehen lassen sich diese Probleme, wenn das Unternehmen verhindert, dass die Daten den eigenen Herrschaftsbereich verlassen. Der Zugriff auf E-Mails per Internetbrowser kann hierzu eine Lösung darstellen.

Entscheidend ist, dass nur der flüchtige Fernzugriff auf das Mailsystem erlaubt, die dauerhafte Übertragung von Daten – insbesondere durch den Download von Anhängen – aber verhindert wird. Hierfür bietet sich OWA als flexible technische Lösung an.

Datenschutzkonformer Einsatz von OWA durch optimale Konfiguration des Exchange Servers

Exchange sieht Möglichkeiten vor, den Dateizugriff per OWA zu steuern. Hier ist es möglich, zwar den Abruf des Textes einer Mail zuzulassen, den Aufruf oder Abruf von Anhängen aber zu unterdrücken. Dies bewirkt, dass es nicht zu lokalen Kopien aufgerufener Anhänge kommen kann. Diese lokalen Kopien würden ansonsten regelmäßig entstehen, selbst wenn der Anhang nur betrachtet und nicht bearbeitet wurde.

Die notwendigen Einstellungen sind im Exchange Admin Center vorzunehmen.

  1. Im Bereich Berechtigungen finden sich die Outlook Web App-Richtlinien.
  2. In den Richtlinien lassen sich Regelungen für den Dateizugriff
  3. Der Aufruf von Dateien lässt sich künftig verhindern, indem alle Optionen abgewählt

Die folgenden Screenshots zeigen die vorzunehmenden Einstellungen in der Version Exchange 2013 (klicken Sie auf die Bilder, um Sie zu vergrößern):

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa01.png‘ attachment=’10078′ attachment_size=’full‘ align=“ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-3jm7la1′][/av_image]

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa02.png‘ attachment=’10080′ attachment_size=’full‘ align=“ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-3252uc9′][/av_image]

Auf diese Weise wird der flüchtige Zugriff auf dem Text von E-Mails und auch die Bearbeitung von Nachrichten ermöglicht, aber zugleich weitestgehend verhindert, dass „Reste“ auf dem Computer verbleiben, von dem aus der Zugriff erfolgte. Weiterführende Details, insb. für ältere Exchange Versionen, finden Sie im Technet von Microsoft.

Zusätzliche Konfiguration des verwendeten Webbrowsers für mehr Datenschutz

Um den Datenschutz abzurunden, empfiehlt es sich, auch den Browser, mit dem OWA genutzt wird, entsprechend zu konfigurieren. Hierzu sollte das Löschen der temporären Internetdateien (Browsercache) beim Ende der Sitzung vorgesehen werden.

Beispiel Internetexplorer:

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa03.png‘ attachment=’10089′ attachment_size=’full‘ align=’center‘ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-w7rll‘][/av_image]

Andere Browser bieten entsprechende Konfigurationsmöglichkeiten; hier das Beispiel Firefox:

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa04.png‘ attachment=’10090′ attachment_size=’full‘ align=’center‘ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-25w1fjt‘][/av_image]

Beim Einsatz von Verschlüsselung erfolgt standardmäßig ohnehin keine Speicherung von Inhalten; sichtbar zum Beispiel beim Internet Explorer:

[av_image src=’https://www.activemind.de/wp-content/uploads/activeMind-artikel-datenschutz-owa05.png‘ attachment=’10092′ attachment_size=’full‘ align=’center‘ animation=’no-animation‘ link=’lightbox‘ target=“ styling=“ caption=“ font_size=“ appearance=“ av_uid=’av-1gw9109′][/av_image]

Es sollte ggf. geprüft werden, ob diese Standardeinstellung besteht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Sind Cookies datenschutzkonform?

Für Onlineshops sind Cookies technisch notwendig, andere Webseitenbetreiber wollen so vor allem Informationen über Nutzerverhalten sammeln. Doch welche Cookies sind überhaupt zulässig? Wie lange können sie gültig sein? Welche Daten dürfen gespeichert werden? Und wie muss eine Einwilligung erfolgen? Leider sind die Antworten auf diese Fragen zum korrekten und datenschutzkonformen Einsatz von Cookies nicht ganz einfach, weil die Rechtslage in Deutschland derzeit nicht eindeutig ist.

Welche Cookies sind überhaupt zulässig?

Rein datenschutzrechtlich betrachtet, dürfen Cookies eingesetzt werden, solange diese entweder keinen Personenbezug aufweisen (also einen Webseitenbesucher nicht bestimmbar oder wiedererkennbar machen) oder wenn eine Rechtsgrundlage vorliegt. Letzteres kann zum einen die Notwendigkeit sein, einen (Sitzungs-)Cookie zu setzen, weil sich anders die Webseitenanfrage technisch nicht erfüllen lässt. Zum anderen kann man eine Einwilligung einholen, wenn es um Zwecke neben der korrekten Auslieferung der Webseite geht.

Das technisch erforderliche Cookie darf Bestand haben, solange es technisch notwendig ist; das letztere, solange die Einwilligung besteht. Wobei selbst hier die Situation wieder nicht ohne Haken ist, da Gerichte und Behörden zunehmend davon ausgehen, dass Einwilligungen ungültig werden, wenn sie länger ungenutzt bleiben. Nach zwei Jahren soll hier oft Schluss sein.

Was erlaubt die europäische „Cookie-Richtlinie“?

Die aktuellen Fragen zu Cookies entstammen aber oft mehr dem Bereich der ominösen „Cookie-Richtlinie“. In dieser europarechtlichen Vorgabe steht eindeutig zu lesen, dass Cookies – wiederum abgesehen von solchen, ohne die eine Webseite die vom Besucher angeforderten (!) Dinge in der jeweiligen Sitzung technisch nicht erledigen kann – nur gesetzt werden dürfen, wenn der Nutzer „auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat“.

Einwandfrei zulässig sind nur Sitzungscookies

Das Problem ist nur, dass Deutschland diese Richtlinie noch gar nicht in innerstaatliches Recht umgesetzt hat, obwohl die Frist hierfür schon abgelaufen ist. Die Praxis rätselt nun, was gilt. Formaljuristisch muss man hier davon ausgehen, dass nach der fehlenden Umsetzung die Richtlinie mittlerweile direkt gilt und sich Betroffene also unmittelbar auf die darin enthaltenen Regelungen berufen können. Alles was ohne Einwilligung passiert, kann also im Ernstfall kritisch sein – falls sich jemand beschwert oder gar klagt.

Wenn man hier sicher gehen will, sollte man keinerlei Cookies einsetzen, außer den besagten Sitzungscookies, ohne die das, was der Besucher machen möchte, schlicht nicht funktioniert. Beispiele wären Cookies für Anmeldung, Spracheinstellungen, Warenkorb o. ä.

Die Frage nach der zeitlichen Gültigkeit der Cookies ist mit der Bezeichnung „Sitzungscookies“ bereits ausreichend beantwortet. Endet die Sitzung, ist das Cookie nicht mehr erforderlich und die Grundlage für die Verwendung entfallen.

Bereits Cookies, die bei einem erneuten Besuch die Wiederanmeldung oder die Mitnahme von Benutzereinstellungen erleichtern sollen, werden in diesem Zusammenhang als nicht mehr zwingend angesehen. Gleiches gilt für alle Cookies, die das Nutzerverhalten verfolgen sollen, etwa für „behavioral advertising“. Ohne eine Einwilligung wird es hier also schwierig.

Worüber müssen Webseiten-Betreiber informieren?

Für alle Cookies sollte man derzeit vor dem ersten Setzen informieren über:

  • die in dem Cookie gespeicherten Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • den Verantwortlichen für die Speicherung und
  • dem Bestehen eines Widerrufsrechts hinsichtlich der erteilten Einwilligung zur Cookie-Verwendung.

Wie in § 13 Abs. 1 Satz 2 TMG angedeutet, sind diese Information in den Datenschutzhinweisen einer Webseite gut aufgehoben.

Wie ist die Einwilligung für Cookies einzuholen?

Für alle nicht zwingenden Cookies sollte man eine Einwilligung einholen. Was, je nachdem welcher Auffassung man folgt, mehr oder weniger einfach ist. Die Datenschutzbehörden gehen hier in die Richtung einer „vollwertigen“ Einwilligung, also ggf. Registrierung bzw. Anklicken eines Schalters, einer Tickbox etc.

Andere (allerdings vor allem nicht-deutsche) Stellen erlauben auch eine „konkludente“ Einwilligung im Sinne eines Hinweises wie: „Wenn Sie diese Hinweise gelesen haben und trotzdem weitersurfen, sind Sie mit der Verwendung von Cookies einverstanden.“ Mit dieser Ansicht sollte man aber hierzulande sehr vorsichtig sein.

Ebenso darf man sich nicht darauf verlassen oder zurückziehen, was Benutzer mit ihren Browsereinstellungen machen oder machen könnten. Z. B. trägt man als Webseitenbetreiber das Risiko, dass ein Popup, in dem man auf Cookies hinweisen möchte, geblockt wird und man sich dann hinsichtlich der mutmaßlichen Akzeptanz durch den Nutzer „irrt“.

Fazit: Zurückhaltung beim Einsatz von Cookies ist geboten!

Der Bereich des Cookie-Einsatzes ist leider derzeit rechtlich noch reichlich unklar. Wer völlig sicher gehen will, darf nur zwingend notwendige Sitzungscookies einsetzen, solange die jeweilige Sitzung dauert.

Alles andere wird, wegen der Zweifel die Einwilligung betreffend, oft juristisch streng betrachtet nicht einwandfrei sein. Und wenn etwas an sich schon gar nicht vorhanden sein sollte, stellt sich auch die Frage nach der Gültigkeitsdauer nicht mehr.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!