Datenübermittlung im Konzern

Wer kennt es nicht: Daten werden über E-Mails und verschiedene Tools täglich mit unterschiedlichen Abteilungen geteilt, darunter auch sensible Daten. Doch was muss in Zeiten der DSGVO beachtet werden, um keine hohen Bußgelder zu riskieren?

Die DSGVO kennt kein generelles Konzernprivileg. Verbundene Unternehmen innerhalb eines Konzernverbunds werden genauso behandelt wie völlig eigenständige Unternehmen. Dies kommt beispielsweise bei der Übermittlung personenbezogener Daten zwischen zwei Unternehmen der gleichen Unternehmensgruppe oder bei der Nutzung sogenannter „Shared Services“ zum Tragen. Letzteres ist der Fall, wenn eine Gesellschaft im Konzernverbund Leistungen für andere, verbundene Unternehmen erbringt, beispielsweise im Personalbereich.

Deshalb ist die Übermittlung oder der Austausch personenbezogener Daten innerhalb eines Konzernverbunds nicht ohne weiteres zulässig und bedarf einer entsprechenden Rechtsgrundlage. Dies kann der Fall sein, wenn die Übermittlung zur Erfüllung eines Vertrags notwendig ist, eine Einwilligung zur Datenübermittlung des Betroffenen vorliegt oder wenn das Unternehmen nach einer Abwägung ein berechtigtes Interesse an der Übermittlung hat.

Keine Zeit zu lesen? Hier mehr Informationen anfordern

Über DataGuard:

DataGuard ist ein Datenschutz- und Legal-Technology-Unternehmen mit Hauptsitz in München. Wir helfen Unternehmen dabei, ihren Datenschutz pragmatisch umzusetzen. Über 100 Mitarbeiter beschäftigen sich leidenschaftlich mit Datenschutz, Compliance und IT-Sicherheit und unterstützen Sie dabei, Ihre Prozesse effizient und möglichst unkompliziert DSGVO-konform zu gestalten. Deutlich über 1.000 Geschäftskunden vertrauen unserer „Privacy-as-a-Service“ Lösung – einem Hybrid aus individueller Kundenberatung und Nutzung unserer eigens entwickelten Software-as-a-Service-Plattform.

Der Begriff des Konzerns und das „kleine Konzernprivileg“

Der Begriff des Konzerns bzw. der Gruppe von zusammengehörigen Unternehmen wird in Art. 4 Nr. 19 DSGVO als ein Verbund aus einem herrschenden Unternehmen sowie weiterer abhängiger Unternehmen definiert. Erwägungsgrund 48 erkennt „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, um innerhalb einer Unternehmensgruppe personenbezogene Daten zu übermitteln. Dies wird auch als „kleines Konzernprivileg“ bezeichnet. Werden personenbezogene Daten zwischen Unternehmen des Konzerns im Auftrag und zur weisungsgebundenen Verarbeitung übertragen, so ist auch dabei ein Auftragsverarbeitungsvertrag (AVV) notwendig.

Allerdings räumt Erwägungsgrund 48 ein sogenanntes „kleines Konzernprivileg“ ein. Er stellt klar, dass gerade Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Gesellschaften eines Konzerns oder einer Unternehmensgruppe zu übermitteln. Dies gilt für Daten von Mitarbeitern, Kunden und Lieferanten, also für alle drei Kategorien personenbezogener Daten. Der Begriff des „berechtigten Interesses“ stellt eine Auffangklausel dar, wenn keine der anderen Rechtsgrundlagen einschlägig ist. Es sollte das Ergebnis einer Interessenabwägung sein zwischen den Interessen des Verantwortlichen und der Betroffenen, dessen personenbezogene Daten übermittelt werden. Generell ist der Begriff jedoch weit auszulegen und wenn bereits ein Rechtsverhältnis zwischen den Parteien besteht, kann ein berechtigtes Interesse gegeben sein.

Betriebsvereinbarung, gemeinsame Verantwortlichkeit und Datenschutzrichtlinie

Eine weitere Möglichkeit, die Datenübermittlung in einem Konzern zu regeln, stellen Betriebsvereinbarungen dar. Hierzu ist die Öffnungsklausel des Art. 82 DSGVO einschlägig, die es zusammen mit dem passenden Erwägungsgrund ermöglicht, eine Kollektivvereinbarung zu schaffen, die unter Berücksichtigung des Schutzes der personenbezogenen Daten der Beschäftigten die Datenübermittlung im Konzern regelt.

Auch eine konzerninterne Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist denkbar. In der wird klar geregelt, welche Gesellschaft für welche datenschutzrechtlichen Aspekte bei der Datenübermittlung über Unternehmensgrenzen hinweg letztendlich verantwortlich ist. Außerdem legt sie fest, wer über die Mittel und Zwecke der Verarbeitung der betroffenen personenbezogenen Daten entscheidet.

Als letzte Möglichkeit ist auch eine gemeinsame Datenschutzrichtlinie denkbar. Diese regelt innerhalb der Unternehmensgruppe oder des Konzerns wie die Datenübermittlung zu erfolgen hat und welche Anforderungen damit erfüllt werden müssen.

Was bedeutet das für die Datenübermittlung im Konzern?

Zusammenfassend lässt sich festhalten, dass die Datenübermittlung zwischen verschiedenen Gesellschaften innerhalb eines Konzernverbunds durch die DSGVO ähnlichen Anforderungen unterliegt wie bei unverbunden Unternehmen. Jedoch gibt es einige Möglichkeiten, diese Übermittlung adäquat, pragmatisch und effizient zu gestalten.

Sie wollen sich vor hohen Bußgeldern schützen? Jetzt Expertengespräch vereinbaren

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service