Datenübermittlung im Konzern

Um Daten innerhalb eines Konzerns auszutauschen, müssen einige Regeln beachtet werden. Nur dann ist es auch in Zeiten der DSGVO problemlos möglich.

Die DSGVO kennt kein generelles Konzernprivileg. Verbundene Unternehmen innerhalb eines Konzernverbunds werden genauso behandelt wie völlig eigenständige Unternehmen. Dies kommt beispielsweise bei der Übermittlung personenbezogener Daten zwischen zwei Unternehmen der gleichen Unternehmensgruppe oder bei der Nutzung sogenannter „Shared Services“ zum Tragen. Letzteres ist der Fall, wenn eine Gesellschaft im Konzernverbund Leistungen für andere, verbundene Unternehmen erbringt, beispielsweise im Personalbereich.

Deshalb ist die Übermittlung oder der Austausch personenbezogener Daten innerhalb eines Konzernverbunds nicht ohne weiteres zulässig und bedarf einer entsprechenden Rechtsgrundlage. Dies kann der Fall sein, wenn die Übermittlung zur Erfüllung eines Vertrags notwendig ist, eine Einwilligung zur Datenübermittlung des Betroffenen vorliegt oder wenn das Unternehmen nach einer Abwägung ein berechtigtes Interesse an der Übermittlung hat.

Der Begriff des Konzerns und das „kleine Konzernprivileg“

Der Begriff des Konzerns bzw. der Gruppe von zusammengehörigen Unternehmen wird in Art. 4 Nr. 19 DSGVO als ein Verbund aus einem herrschenden Unternehmen sowie weiterer abhängiger Unternehmen definiert. Erwägungsgrund 48 erkennt „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, um innerhalb einer Unternehmensgruppe personenbezogene Daten zu übermitteln. Dies wird auch als „kleines Konzernprivileg“ bezeichnet. Werden personenbezogene Daten zwischen Unternehmen des Konzerns im Auftrag und zur weisungsgebundenen Verarbeitung übertragen, so ist auch dabei ein Auftragsverarbeitungsvertrag (AVV) notwendig.

Allerdings räumt Erwägungsgrund 48 ein sogenanntes „kleines Konzernprivileg“ ein. Er stellt klar, dass gerade Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Gesellschaften eines Konzerns oder einer Unternehmensgruppe zu übermitteln. Dies gilt für Daten von Mitarbeitern, Kunden und Lieferanten, also für alle drei Kategorien personenbezogener Daten. Der Begriff des „berechtigten Interesses“ stellt eine Auffangklausel dar, wenn keine der anderen Rechtsgrundlagen einschlägig ist. Es sollte das Ergebnis einer Interessenabwägung sein zwischen den Interessen des Verantwortlichen und der Betroffenen, dessen personenbezogene Daten übermittelt werden. Generell ist der Begriff jedoch weit auszulegen und wenn bereits ein Rechtsverhältnis zwischen den Parteien besteht, kann ein berechtigtes Interesse gegeben sein.

Betriebsvereinbarung, gemeinsame Verantwortlichkeit und Datenschutzrichtlinie

Eine weitere Möglichkeit, die Datenübermittlung in einem Konzern zu regeln, stellen Betriebsvereinbarungen dar. Hierzu ist die Öffnungsklausel des Art. 82 DSGVO einschlägig, die es zusammen mit dem passenden Erwägungsgrund ermöglicht, eine Kollektivvereinbarung zu schaffen, die unter Berücksichtigung des Schutzes der personenbezogenen Daten der Beschäftigten die Datenübermittlung im Konzern regelt.

Auch eine konzerninterne Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist denkbar. In der wird klar geregelt, welche Gesellschaft für welche datenschutzrechtlichen Aspekte bei der Datenübermittlung über Unternehmensgrenzen hinweg letztendlich verantwortlich ist. Außerdem legt sie fest, wer über die Mittel und Zwecke der Verarbeitung der betroffenen personenbezogenen Daten entscheidet.

Als letzte Möglichkeit ist auch eine gemeinsame Datenschutzrichtlinie denkbar. Diese regelt innerhalb der Unternehmensgruppe oder des Konzerns wie die Datenübermittlung zu erfolgen hat und welche Anforderungen damit erfüllt werden müssen.

Zusammenfassung zur Datenübermittlung im Konzern

Zusammenfassend lässt sich festhalten, dass die Datenübermittlung zwischen verschiedenen Gesellschaften innerhalb eines Konzernverbunds durch die DSGVO ähnlichen Anforderungen unterliegt wie bei unverbunden Unternehmen. Jedoch gibt es einige Möglichkeiten, diese Übermittlung adäquat, pragmatisch und effizient zu gestalten.

Kategorien
Tags
  • DSGVO
  • Datenschutz
  • Management
  • Datenaustausch

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649