Auswirkungen der EU-DSGVO auf internationale, in Deutschland ansässige Konzerne in Bezug auf deren Zusammenarbeit mit Kunden und Dienstleistern

INHALTSVERZEICHNIS

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Einleitung
1.1. Problemanalyse und Relevanz des Themas
1.2. Zielsetzung dieser Seminararbeit
1.3. Abgrenzung des Themas
1.4. Datenerhebung
1.5. Aufbau dieser Seminararbeit

2. Einführung und Definitionen

3. Vorüberlegungen im Datenschutzrecht
3.1. Historische Entwicklung
3.2. Rechtslage vor Einführung der EU-DSGVO
3.3. Erwägungsgründe für die Einführung der EU-DSGVO
3.4. Ziele und Aufgaben der EU-DSGVO

4. Auswirkungen der EU-DSGVO auf deutsche Konzerne
4.1. Allgemeingültige Vorschriften für Unternehmen
4.2. Veränderungen für die Unternehmen durch die EU-DSGVO
4.3. Spezifische Besonderheiten der EU-DSGVO für Konzerne

5. Auswirkungen auf die internationale Zusammenarbeit
5.1. Besonderheiten für internationale Unternehmen
5.2. Auswirkungen auf die Zusammenarbeit mit Dienstleistern
5.3. Auswirkungen auf die Zusammenarbeit mit Kunden

6. Abschluss und Fazit

Literaturverzeichnis

ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

ABBILDUNGSVERZEICHNIS

Abbildung 1: Interesse am Begriff "Datenschutz" bei Google Trends (trends.google.com, 2019)

Abbildung 2: Maximale Strafe bei Datenschutzvergehen (Eigene Abbildung in Anlehnung an Voigt, P. / Bussche, A. (2018, S. 275)

1. EINLEITUNG

Die folgende Einleitung soll dem Leser¹ einen Überblick über diese Seminararbeit geben. Zunächst wird die Relevanz des Themas herausgestellt. Es folgt die Beschreibung der Ziele, die mit dieser Arbeit adressiert werden sollen und eine Abgrenzung des Themengebiets. Anschließend erfolgt die Darstellung der verwendeten Methoden zur Datensammlung und -analyse und ein Kurzüber­blick über den Aufbau der folgenden Seminararbeit.

1.1. Problemanalyse und Relevanz des Themas

Im Mai 2018 war der Begriff „Datenschutz“ in den Medien allgegenwärtig. In Amerika waren für europäische Websitebesucher die Inhalte nicht mehr aufrufbar, zahlreiche E-Mails mit der Bitte um die Datenfreigabe erreichten die Verbraucher und teilweise gingen Websites komplett offline. Der Grund dafür wird mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) ausgemacht.²

Bemerkenswert ist außerdem die Analyse des Suchbegriffes „Datenschutz“ bei Google Trends. Dort wird der tatsächliche Suchbegriff in Relation zum gesamten Suchvolumen gesetzt. Dies er­möglicht einen Schluss auf das Interesse an Suchbegriffen.³ Die folgende Abbildung zeigt das In­teresse der deutschen Bevölkerung am Suchbegriff „Datenschutz“ im Zeitraum von 01. Januar 2017 bis 31. Dezember 2018.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Interesse am Begriff "Datenschutz" bei Google Trends (trends.google.com, 2019)

Der rapide Anstieg dieser Kurve ist im Zeitraum Mai 2018 zu beobachten. Der Grund hierfür lässt sich wohl mit dem Inkrafttreten der EU-DSGVO zum 25. Mai 2018 ermitteln. Dies beweist erneut, dass die Themen Datenschutz und EU-DSGVO einer genaueren Betrachtung bedürfen und somit diese Seminararbeit rechtfertigen.

1.2. Zielsetzung dieser Seminararbeit

In dieser Seminararbeit sollen die Auswirkungen der EU-DSGVO auf deutsche, international tätige Konzerne überprüft werden. Hier soll im Detail auf die möglichen Änderungen bei der Zusammen­arbeit mit Dienstleistern und Kunden eingegangen werden. Dazu ist es allerdings notwendig, auch einschlägige, allgemeingültige Regelungen der EU-DSGVO für Unternehmen zu erläutern.

1.3. Abgrenzung des Themas

Diese Arbeit versucht die sehr umfangreiche Thematik des EU-Datenschutzrechts auf die Gruppe von deutschen Konzernen einzugrenzen. Außerdem wird im Speziellen die Zusammenarbeit mit Dienstleistern und Kunden analysiert. Die Arbeit kann daher nicht als allgemeingültige Analyse der EU-DSGVO angesehen werden, da dies den Rahmen der Arbeit sprengen würde. Auch gibt diese Arbeit keine Handlungsempfehlungen für Unternehmen. Es können aufgrund der Vielzahl an An­forderungen des Datenschutzrechts auch nicht alle einschlägigen Vorschriften im Detail erläutert werden.

1.4. Datenerhebung

Die Datenerhebung in dieser Arbeit erfolgt anhand einschlägiger fachlicher Literatur. Die vorhan­denen Fragestellungen sollen durch Zusammentragen und Analysieren vorhandener, fachlich fun­dierter Beiträge kritisch beantwortet werden.

Auf weitere Formen der Datenerhebung wie Fragebögen, Experteninterviews oder gar praktischen Analysen wird aufgrund des begrenzten Rahmens und der Aktualität des Themas verzichtet.

1.5. Aufbau dieser Seminararbeit

Diese Seminararbeit ist in vier Hauptblöcke gegliedert. Nach dieser Einleitung erfolgt eine Einfüh­rung in die Kernbegriffe dieser Arbeit, was mithilfe von Definitionen dieser erfolgen soll.

Im dritten Kapitel werden Vorüberlegungen zum Datenschutzrecht getroffen. Für das Verständnis des Themas scheint es notwendig, eine Einführung in die Historie des Datenschutzrechts zu ge­ben und die Gründe, Ziele und Aufgaben der EU-DSGVO kurz zu beleuchten.

Das Kapitel Vier befasst sich mit den Auswirkungen auf (deutsche) Konzerne. Es werden die all­gemeingültigen Vorschriften der EU-DSGVO für Unternehmen beschrieben und die Veränderun­gen herausgestellt. Abgeschlossen wird das Kapitel mit einer Beschreibung der spezifischen und abweichenden Regeln für Konzerne.

Im fünften Kapitel werden die Auswirkungen auf die nationale und internationale Zusammenarbeit von Konzernen mit Dienstleistern und Kunden näher beleuchtet. Hierbei wird zunächst analysiert, welche speziellen Regelungen international tätige Unternehmen im Rahmen der EU-DSGVO zu beachten haben und im Anschluss die Zusammenarbeit mit Dienstleistern und Kunden beleuchtet.

Den Abschluss dieser Arbeit bildet der Abschluss, der die gewonnenen Erkenntnisse nochmals kritisch beäugen soll und zu einem Fazit führt.

2. EINFÜHRUNG UND DEFINITIONEN

Für die folgenden Kapitel ist es notwendig, die Kernbegriffe dieser Arbeit eindeutig abzugrenzen und deren Bedeutung zu definieren. In diesem Kapitel soll deshalb jeder Kernbegriff definiert und kurz erklärt werden.

Ein Konzern wird im Allgemeinen definiert als Zusammenschluss mehrerer Unternehmen zu einer wirtschaftlichen Einheit. Dabei kann ein herrschendes Unternehmen („ Mutter“) und eines oder mehrere abhängige Unternehmen („Töchter“) in der Gruppe vorhanden sein.⁴ In der EU-DSGVO wird synonym der Begriff der „Unternehmensgruppe“ verwendet, die „aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“ (Art. 4 Nr. 19 DSGVO).

Eine EU-Richtlinie definieren ein bestimmtes Ziel, welches zu erreichen ist. Wie dieses Ziel erreicht werden kann, ist den EU-Mitgliedern jedoch freigestellt. Dennoch müssen die Länder die Regeln der EU-Richtlinie in irgendeiner Form in nationales Recht überführen und die getroffenen Maß­nahmen bzw. Gesetze an die Europäische Kommission mitteilen.

Eine EU-Verordnung hingegen gilt nach Inkrafttreten automatisch für alle EU-Länder. Sie sind so­mit verbindlich in allen Teilen und gelten unmittelbar in den Ländern, ohne dass sie zuvor in natio­nales Recht überführt werden müssen. Verordnungen regeln eine Vielzahl von Sachverhalten in generell-abstrakter Form. Verstößt ein Mitgliedsstaat gegen eine EU-Verordnung kann von der Europäischen Kommission oder anderen Mitgliedsstaaten Klage beim Europäischen Gerichtshof erhoben werden.⁵

Bei der EU-Datenschutzgrundverordnung, kurz EU-DSGVO oder DSGVO, handelt es sich um eine EU-Verordnung, die dementsprechend ab ihrem Inkrafttreten allgemeingültig für die EU- Mitgliedsstaaten ist. Sie hat den Schutz natürlicher Personen bei der Verarbeitung personenbezo­gener Daten zum Inhalt und beschäftigt sich somit mit dem Datenschutz, wie in den folgenden Ka­piteln nochmals detaillierter beschrieben wird.

3. VORÜBERLEGUNGEN IM DATENSCHUTZRECHT

Dieses Kapitel trifft Vorüberlegungen zum Datenschutzrecht in Deutschland. Es beschreibt die historische Entwicklung dieses Rechtsgebietes und erläutert die Rechtslage vor der Einführung der EU-DSGVO.

Es folgen daraufhin zusammengefasst die Gründe für die Einführung der EU-DSGVO und die Ziele und Aufgaben, die die EU mit der Einführung dieser Datenschutzverordnung verfolgt, werden ebenfalls erläutert.

3.1. Historische Entwicklung

Der Schutz von Daten ist seit der Frühzeit in Geheimhaltungsnormen niedergeschrieben. Beispiele sind die ärztliche Schweigepflicht, das Beichtgeheimnis oder das Briefgeheimnis. Durch die fort­schreitende Technologisierung wurde der Schutzbedarf von Daten größer und personen- und situ­ationsunabhängig. In den 1960er-Jahren wurde der Bedarf an weiteren Schutzinstrumenten er­kannt und im Jahr 1970 durch das Hessische Datenschutzgesetz erstmals weltweit gesetzlich normiert. In den Folgejahren wurden auf nationaler und europäischer Ebene viele weitere Gesetze verabschiedet, so auch das Bundesdatenschutzgesetz (BDSG) im Jahre 1977.

Mit der europäischen Datenschutzkonvention im Jahr 1980 wurde Datenschutz erstmals völker­rechtlich anerkannt. Eine global gültige Rechtsnorm für Datenschutz gibt es trotz der weltweiten Verbreitung des Themas aber nicht. Lediglich in einzelnen Erklärungen wird das „Recht auf Privat- heit“⁶ gefordert. Die entsprechenden Erklärungen sind jedoch nicht rechtlich bindend.

Die erste verbindliche, supranationale Normierung des Datenschutzrechts trat mit der Verabschie­dung des Lissaboner Vertrags Ende 2009 in Kraft. In der sogenannten Europäischen Grundrechte­Charta werden im achten Artikel in drei Absätzen die Datenschutzrechte der Betroffenen normiert. Zuvor war bereits im Jahr 1995 die europäische Datenschutz-Richtlinie 95/46/EG gültig.

Erweitert wurde die europäische Regelung zuletzt schließlich mit der am 27. April 2016 unter- schriebenen⁷ und am 24. Mai 2016⁸ wirksam gewordenen EU-Datenschutzgrundverordnung, die seit dem 25. Mai 2018 direkt in den Mitgliedsstaaten der Europäischen Union anwendbar ist und somit die Richtlinie 95/46/EG ablöste.⁹

Aufgrund neuer Bedrohungen der Privatsphäre durch Zukunftstechnologien, wie z. B. dem Indust­rial Internet of Things, der Industrie 4.0 oder auch Blockhain, werden wohl auch in Zukunft ange­passte Datenschutzrichtlinien nötig.¹⁰

3.2. Rechtslage vor Einführung der EU-DSGVO

Es existierten also bereits vor der Einführung der EU-DSGVO Rechtsnormen, die sich mit dem Datenschutz befassten. So waren in Deutschland bis zum 24.05.2018 die Regelungen der EU- Richtlinie 95/46/EG bzw. die Regelungen des Bundesdatenschutzgesetzes maßgebend. Wie be­reits in den Definitionen erläutert wurde, war die EU-Richtlinie 95/46/EG nicht verbindlich gültig. Sie musste zunächst in nationales Recht überführt werden, was in Deutschland durch die Überar­beitung des BDSG erfolgte. In Deutschland existieren weiterhin auf Länderebene weitere Daten- schutzgesetze sowie einzelne, spezifische Gesetze, die den Datenschutz betreffen, wie z. B. das Gesundheitsdatenschutzgesetz in Nordrhein-Westfalen.¹¹

Zwar war die Überführung der Richtlinie in nationales Recht für die Mitgliedsstaaten der EU ver­pflichtend, bei der Gestaltung der Rechtsgrundlagen jedoch hatten die Mitglieder freie Hand. Dem­entsprechend ergab sich eine heterogene Rechtsprechung innerhalb der EU und eine uneinheitli­che Umsetzung der Richtlinie.¹²

3.3. Erwägungsgründe für die Einführung der EU-DSGVO

In der Einleitung der EU-DSGVO werden insgesamt 173 Erwägungsgründe beschrieben. Ein Er­wägungsgrund ist im EU-Recht eine Form einer Präambel. Präambeln werden Gesetzen vorange­stellt und beschreiben die Absichten und Überlegungen des folgenden Vertrags oder Gesetzes. In EU-Akten werden Hinweise auf die authentische Auslegung des Rechtsakts gegeben.¹³

Da eine Auflistung und Erklärung aller Erwägungsgründe den Rahmen dieser Arbeit deutlich sprengen würde, soll eine Konzentration auf einige wenige einschlägige Erwägungsgründe erfol­gen, die für die Begründung der Notwendigkeit der EU-DSGVO herangezogen werden:

Die Erwägungsgründe (1) und (2) zielen auf das Grundrecht des Menschen auf den Schutz per­sönlicher Daten ab. Dies soll weiterhin unabhängig von der Staatsangehörigkeit und des Aufent­haltsorts sichergestellt sein.

Erwägungsgrund (3) beschreibt die versuchte Harmonisierung durch die Richtlinie 95/46/EG, wel­che durch die DSGVO abgelöst wurde. Dementsprechend ist ein Grund für die DSGVO die Reduk­tion der Heterogenität in der Rechtsprechung. Eine ähnliche Beschreibung ist in Erwägungsgrund (9) und (10) zu finden. Die DSGVO soll außerdem die Rechte präzisieren und Verpflichtungen schärfen, wie in Erwägungsgrund (11) beschrieben wird.

Die Erwägungsgründe (5) und (6) begründen die EU-DSGVO in einer wirtschaftlichen Betrach­tungsweise. So soll die Verordnung den europäischen Wirtschaftsraum stärken und für das Zeital­ter der Digitalisierung vorbereiten.

[...]

¹ Aufgrund der besseren Lesbarkeit wird in dieser Seminararbeit ausschließlich die männliche Schreibform verwendet. Es wird ausdrücklich darauf hingewiesen, dass auch die weibliche und weitere Geschlechtsfor­men mit eingeschlossen sind.

² Vgl. Schmidt, J. (2018), Holland, M. (2018)

³ Vgl. Weck, A. (2013)

⁴ Vgl. Berwanger, J. et. al. (2018), Firma.de (2019)

⁵ Vgl JuraForum (o. J.), Europäische Kommission (o. J.)

⁶ Vgl. Utz, C. et. al. (2019, S. 700), Weichert, T. (2018, S. 1376)

⁷ Vgl. Suhling, P. (2019, S. 35), EUR-Lex (o. J.)

⁸ Vgl. Weichert, T. (2018, S. 1377),

⁹ Vgl. Weichert, T. (2018, S. 1375ff.)

¹⁰ Vgl. Suhling, P. (2019, S. 36)

¹¹ Vgl. datenschutz.org (2018)

¹² Vgl. Bundesministerium des Innern, für Bau und Heimat (o. J.)

¹³ Vgl. Winter, E. (2018)