Webinar: Datenschutzrecht - Compliance der Compliance?

Wissen Sie, was Sie bei umfassenden Compliance-Vorkehrungen in Ihrem Unternehmen beachten müssen? Welche Rolle spielt dabei das Thema Datenschutz?

In unserem Webinar, das sich speziell an Fach- und Führungskräfte aus Compliance und Risikomanagement richtet, spricht Dr. Axel von Walter, Rechtsanwalt und Partner bei BEITEN BURKHARDT, über Risiken und notwendige Vorkehrungen im Rahmen von Compliance-Aktivitäten in Unternehmen.

Die Schwerpunkte des Webinars sind:

• Grundlagen Datenschutz für Compliance
• Spannungsfeld: Prävention, Internal Investigations und Datenschutz
• Welche Risiken drohen und wie vermeidet man diese?

Die Fragen und Antworten aus dem Webinar haben wir für Sie zusammengestellt.

Wir stellen Ihnen gerne die Präsentationsunterlagen zum Webinar zur Verfügung.

Wir haben für Sie die Fragen und Antworten aus unserem Webinar mit Dr. Axel von Walter, BEITEN BURKHARDT, zusammengefasst. Bei weiteren Anfragen, können Sie gerne mit uns Kontakt aufnehmen.

Gelten Daten aus Social Media-Kanälen im Rahmen des § 28, Abs. 1 BDSG als allgemein zugänglich?
Nicht alle Daten aus Social-Media-Kanälen können als allgemein zugänglich eingestuft werden. Allgemein zugänglich sind Daten nur dann, wenn sie sowohl ihrer Zielsetzung nach als auch ihrer Publikationsform nach dazu geeignet sind, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln. Sind die Informationen aus Social-Media-Kanälen also erkennbar und nachprüfbar an die allgemeine Öffentlichkeit gerichtet, können Sie diese Informationen auch mit der Erlaubnisnorm des § 28 Abs. 1 S. 1 Nr. 3 BDSG verwenden, es sei denn, die schutzwürdigen Interessen des Betroffenen überwiegen offensichtlich. Insbesondere bei Facebook ist also darauf zu achten, für welchen Personenkreis die Information veröffentlicht wurde. Auch ein sehr großer Facebook-Freundeskreis von mehreren Hundert Personen ist nicht zwingend "allgemeine Öffentlichkeit". Es handelt sich hier um einen bestimmbaren und abgegrenzten Personenkreis, an den sich die Veröffentlichung des Betroffenen richtet. In einem solchen Fall greift die Erlaubnis des § 28 Abs. 1 S. 1 Nr. 3 BDSG nicht. Twitter-Informationen hingegen richten sich beispielsweise per se an die allgemeine unbestimmte Öffentlichkeit.

Ist das Instrument der Einwilligung des Betroffenen im Rahmen von § 4, Abs. 1 BDSG nur faktisch schwer zu benutzen oder ist es auch rechtlich unsicher?
Die Einwilligung ist in einem Beschäftigungsverhältnis immer auch mit rechtlichen Unsicherheiten behaftet. Das liegt daran, dass eine wirksame Einwilligung immer informiert und freiwillig abgegeben werden muss. Selbst wenn man den Mitarbeiter über Art, Umfang und Zweck der Datenverarbeitung ausreichend informiert, bleibt im Arbeitsverhältnis immer die Unsicherheitsfrage der "Freiwilligkeit" einer Einwilligung. Ein gewisses Abhängigkeitsverhältnis zwischen Arbeitgeber und Arbeitnehmern kann nicht geleugnet werden, so dass viele maßgebliche datenschutzrechtliche Stimmen davon sprechen, dass eine Einwilligung im Arbeitsverhältnis, die zudem noch auf das Arbeitsverhältnis bezogen ist, nicht freiwillig ist. Man kann selbstredend mit guten Argumenten das Gegenteil vertreten, jedoch bleibt die rechtliche Unsicherheit.

Wenn es um Abwägungsfragen geht, stehen dann persönliche Strafen nicht in Widerspruch zum Bestimmtheitsgebot des Strafrechts? Bestraft wird ja non-Compliance. Was das überhaupt ist, kann man aber nur im Einzelfall feststellen.
Die Fragestellung wäre ggf. noch zu präzisieren. Die praxisrelevantesten Straftatbestände, zum Beispiel im Zusammenhang mit der Sichtung von Telekommunikationsinformationen oder zugangsgesicherten Informationen kommen direkt aus dem Strafgesetzbuch und haben einen klar umrissenen Tatbestand. Abwägungsfragen spielen hier allenfalls auf der Rechtfertigungsebene eine Rolle. Bei § 44 BDSG werden konkret Datenschutzverstöße geahndet, die in Gewinnerzielungs- oder Schädigungsabsicht begangen werden.

Kann denn der UK Bribery Act ein berechtigtes Interesse des Beispielunternehmens gem. § 28 BDSG überhaupt darstellen? Es handelt sich ja um das Recht eines anderen Landes.
Es ist richtig, dass für die Rechtfertigung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG auf das Interesse der verantwortlichen Stelle abzustellen ist. Das war in unserem Fall die deutsche Tochtergesellschaft, so dass originäre Interessen der englischen Muttergesellschaft nicht mit den berechtigten Interessen der deutschen Tochtergesellschaft gleichzusetzen sind. Im Fall des UK Bribery Acts ist es aber so, dass die dort vorgehaltenen Sanktionen auch deutsche Unternehmen direkt treffen können, sofern ein Bezug zu England besteht. Ohne in die Tiefen des UK Bribery Acts weiter einzugehen, können wir für unseren Fall also ein originäres Interesse der deutschen Gesellschaft aus dem UK Bribery Act herleiten. In anderen Länderkonstellationen wäre aber im Einzelfall zu prüfen, wie die konkrete Interessenlage ist.

Kann auch innerhalb der EU der Abschluss von Standardvertragsklauseln erforderlich sein? Z. B. hat ganz konkret die Datenschutzaufsichtsbehörde aus Portugal unserem Unternehmen gegenüber eine solche Forderung geäußert. Insbesondere wird eine Einwilligung aller Mitarbeiter verlangt. Was ist dabei der Hintergrund? Gibt es nicht in alle EU-Staaten eine mit dem § 32 BDSG vergleichbare Norm? Unser Verständnis ist, dass ein einheitliches Datenschutzniveau im europäischen Wirtschaftsraum per se gewährleistet wird.
Es ist richtig, dass das europäische Datenschutzrecht vollharmonisiert ist (Richtlinie 95/46/EG) und insoweit von einem europäischen einheitlichen Datenschutzniveau auszugehen ist. Auch wenn andere Rechtsordnungen keine Spezialnorm wie den § 32 BDSG kennen sollten, dürften die Anforderungen an Personaldatenverarbeitung nicht wesentlich von den hiesigen Anforderungen abweichen. Zum portugiesischen Recht kann ich an dieser Stelle keine Aussage treffen. Grundsätzlich ist es aber so, dass eine Einwilligung nur dann notwendig ist und auch nur dann gefordert werden soll, sofern keine gesetzliche Grundlage für eine Datenverarbeitung besteht. Für Ihren konkreten Fall und die Forderung der portugiesischen Datenschutzaufsichtsbehörde wären aber weitergehende Hintergrundinformationen erforderlich, um eine belastbare Aussage zu treffen.

Wie sieht es beim Datentransfer im Konzern aus, wenn der Konzern nur in Deutschland tätig ist, sollte dort auch der Konzerndatenfluss geregelt werden?
Ein Konzern, der nur in Deutschland tätig ist und Daten auch nur in Deutschland übertragen möchte, benötigt keine Konzerndatenschutzregelung (Binding Corporate Rules), um ein angemessenes Datenschutzniveau herzustellen. Gleichwohl kann es sinnvoll sein auch in rein inländischen Konzernen, zum Beispiel mit den Betriebsräten Regelungen zum Konzerndatenfluss zu schaffen. Ich erinnere daran, dass Betriebsvereinbarungen als "andere Rechtsnorm" im Sinne des § 4 Abs. 1 BDSG Erlaubnisnormen zur Datenverarbeitung schaffen können. Details hängen aber von der Konzernstruktur, Mitarbeiterorganisation und anderen Details ab.

Bei weiteren Fragen zu den Know Your Customer-Lösungen von LexisNexis können Sie gerne mit uns Kontakt aufnehmen.