In einem Schreiben an mehrere EU-Behörden hat der Europäische Datenschutzbeauftragte (EDSB) zu einem Themenkomplex Stellung genommen, der in vielen Compliance-Abteilungen seit Monaten für Kopfzerbrechen sorgt. Der Geltungsbeginn der Datenschutzgrundverordnung (DS-GVO) im Mai 2018 und die drastisch verschärften Bußgeldandrohungen für Datenschutzverstöße haben für Verunsicherung bei Unternehmen gesorgt, die mit Kartellverfahren, behördlichen Compliance-Untersuchungen oder Beihilfekontrollen konfrontiert sind. Sie fragen sich, ob sie die von den Behörden in diesen Verfahren regelmäßig geforderten Unterlagen mit personenbezogenen Daten ohne weiteres zur Verfügung stellen dürfen, ohne einen unter Umständen teuren Datenschutzverstoß zu riskieren. Zuletzt war diese Verunsicherung offenbar so groß, dass sich die Datenschutzbeauftragten der EU-Kommission, des Europäischen Amtes für Betrugsbekämpfung (OLAF), der Europäischen Investitionsbank und des Europäischen Investitionsfonds an den EDSB gewandt und um Klärung gebeten haben. Mit seinem Schreiben vom 22. Oktober 2018 kommt der EDSB, der die Datenschutzaufsicht über die europäischen Behörden und Institutionen führt, dieser Bitte nach.
Die Kernaussagen der Stellungnahme des EDSB
Die Kernaussagen des EDSB sind zusammengefasst folgende:
- Die DS-GVO hat die Regeln für die Herausgabe von personenbezogenen Daten durch Unternehmen an Behörden und Institutionen der EU (und der Mitgliedsstaaten) im Vergleich zur bis Mai 2018 geltenden Rechtslage nicht verändert.
- Die für Wettbewerbsaufsicht, Betrugsbekämpfung und Beihilfekontrollen zuständigen EU-Behörden sind im Rahmen ihres Kompetenzbereichs befugt, personenbezogene Daten zu verarbeiten, soweit das zur Erfüllung ihrer jeweiligen Aufgaben erforderlich ist. Die dafür datenschutzrechtlich notwendige Rechtsgrundlage ergibt sich nicht aus der DS-GVO, sondern aus einer eigenen Datenschutzverordnung für die EU-Institutionen (seit dem 12.12.18 VO (EU) 2018/1725). .
- Spiegelbildlich zur Befugnis der Behörden zur Verarbeitung der für ihre Aufgabenerfüllung erforderlichen personenbezogenen Daten dürfen private Unternehmen diese Daten an die Behörden weitergeben. Das gilt sowohl in den Fällen, in denen das Unternehmen durch eine explizite gesetzliche Regelung oder eine behördliche Anordnung zur Herausgabe bestimmter Informationen verpflichtet ist (Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO), als auch für „freiwillige“ Kooperationen mit den Behörden, z.B. bei „Whistleblowing“ oder der Stellung von Kronzeugenanträgen in Kartellverfahren. In diesen letztgenannten Konstellationen können sich Unternehmen datenschutzrechtlich auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO stützen, der eine Datenverarbeitung zur Wahrung „berechtigter Interessen“ erlaubt, soweit das erforderlich ist und keine überwiegenden Interessen der Betroffenen entgegenstehen.
- Die DS-GVO zwingt nicht dazu, betroffene Personen (z.B. Arbeitnehmer) über die Weitergabe ihrer Daten zu informieren, soweit die Datenübermittlung im Zusammenhang mit konkreten behördlichen Untersuchungen steht. Zwar sehen die Art. 13, 14 DS-GVO ausdrücklich vor, dass betroffene Personen über die Weitergabe ihrer Daten und den jeweiligen Empfänger informiert werden. Der EDSB verweist in seiner Stellungnahme aber auf einen definitorischen „Kniff“ in Art. 4 Nr. 9 DS-GVO, der eine Informationspflicht in den hier angesprochenen Fällen vermeiden soll: Danach gelten Behörden, die im Rahmen eines „bestimmten Untersuchungsauftrags“ nach dem Recht der EU oder eines Mitgliedsstaates personenbezogene Daten erhalten, nicht als „Empfänger“ dieser Daten.
- Die DS-GVO ist auch kein Hindernis für die Vereinbarung von behördlichen Audit- und Kontrollrechten in Verträgen über Beihilfen oder die Finanzierung von Projekten mit öffentlichen Mitteln. Bei der Durchführung solcher Audits oder Kontrollen handeln die Behörden aber nicht im Rahmen eines „bestimmten Untersuchungsauftrags“ i.S.d. Art. 4 Nr. 9 DS-GVO. Deshalb müssen Unternehmen, die den Behörden auf diese Weise den Zugriff auf Unterlagen mit personenbezogenen Daten ermöglichen, die betroffenen Personen (in der Regel ihre Arbeitnehmer) über die (möglichen) behördlichen Maßnahmen und die damit verbundene Datenverarbeitung informieren.
Offene Fragen bleiben
Die Stellungnahme des EDSB ist grundsätzlich zu begrüßen. Sie bringt Klarheit zumindest in einigen wichtigen Punkten. Allerdings beschränkt sie sich im Wesentlichen auf die Perspektive der (EU) Behörden. Wesentliche praktische Fragen, mit denen sich Unternehmen im Kontext von behördlichen Untersuchungs- und Aufsichtsmaßnahmen konfrontiert sehen, spricht der EDSB nicht an:
- Eines der Hauptprobleme besteht für Unternehmen häufig darin, dass sie entscheiden müssen, welche personenbezogenen Daten für die Erfüllung der Aufgaben der Behörden erforderlich sind und deshalb herausgegeben werden dürfen. Anders ist das nur in den seltenen Fällen, in denen eine Behörde die von ihr gewünschten Unterlagen ausdrücklich bezeichnet und dabei auch gleich erklärt, ob und in welchem Umfang sie eine Anonymisierung von Informationen akzeptiert. Im Normalfall befinden sich die Unternehmen dagegen in einer Zwickmühle. Übermitteln sie zu viele personenbezogene Informationen, riskieren sie ein Bußgeld nach der DS-GVO. Halten sie demgegenüber eine größere Anzahl von Dokumenten zurück oder nehmen umfangreiche Schwärzungen vor, drohen Sanktionen wegen mangelnder Kooperationsbereitschaft, insbesondere in Kronzeugenfällen. Wünschenswert wäre hier eine Klarstellung von Seiten der Behörden, dass Unternehmen personenbezogene Daten, die nicht offensichtlich für das jeweilige behördliche Verfahren relevant sind, zurückhalten bzw. schwärzen dürfen und erst auf konkrete Nachfrage der Behörde herausgeben müssen.
- Insbesondere in Kartelluntersuchungen werden Unternehmen von den Behörden häufig mit der Forderung konfrontiert, auf Einwände gegen die Weitergabe von Unterlagen und Informationen an ausländische Kartellbehörden zu verzichten. Mit Blick auf diese Praxis wäre es gut, wenn der EDSB klarstellen würde, dass eine solche Verzichtserklärung sich nicht auf personenbezogene Daten beziehen kann, die das Unternehmen an eine Behörde herausgegeben hat. Für diese Daten und ihre (weitere) Verarbeitung trägt allein die jeweilige Behörde die datenschutzrechtliche Verantwortung. Eine Verzichtserklärung des Unternehmens entbindet die Behörde daher nicht von der Verpflichtung selbst zu prüfen, ob die Weitergabe der Daten an andere Stellen im In- oder Ausland datenschutzrechtlich zulässig ist. Einen Sinn machen solche Verzichtserklärungen allenfalls für die Weitergabe von Betriebs- oder Geschäftsgeheimnissen.
- Die Stellungnahme des EDSB beschäftigt sich schließlich auch nicht mit den Konstellationen, in denen Unternehmen vor der Frage stehen, ob sie direkt personenbezogene Daten an Behörden oder Gerichte außerhalb der EU weitergeben dürfen. Die Regelungen der DS-GVO zu dieser Frage sind in der Tendenz restriktiv, zugleich im Detail aber auch unscharf. Immer wieder stehen Unternehmen daher vor dem Dilemma, entweder wegen mangelnder Kooperation Sanktionen in Drittländern zu riskieren oder gegen bußgeldbewehrte Vorgaben der DS-GVO zu verstoßen. Klare Handlungsanleitungen der Datenschutzaufsichtsbehörden zu den Spielräumen, die die DS-GVO für Datenübermittlungen an Behörden im Nicht-EU-Ausland lässt, wären daher eine große Hilfe. Letztlich wird sich die skizzierte Problematik allerdings nur auf der politischen Ebene durch eine Harmonisierung der internationalen Datenschutzregeln und praktikable Rechtshilfeabkommen lösen lassen.
Dieser (unvollständige) Kurzüberblick dürfte klarmachen, dass mit der Stellungnahme des EDSB vom 22. Oktober 2018 längst nicht alle Probleme aus dem Spannungsfeld Datenschutz und Weitergabe von personenbezogenen Daten an Behörden gelöst sind. Eine sorgfältige datenschutzrechtliche Analyse wird daher in vielen Fällen unverzichtbar bleiben, bevor eine Entscheidung über die Herausgabe von Dokumenten in behördlichen Verfahren getroffen werden kann.