Datenschutz im Konzern – Herausforderungen und Lösungsansätze

Nachfolgend werfen wir einen Blick auf die rechtlichen Rahmenbedingungen und zeigen, welche Optionen zur rechtssicheren Gestaltung des Konzerndatenschutzes bestehen.

‍

1. Was ist eine Unternehmensgruppe?

Nach Artikel 4 Nr. 19 DSGVO ist eine „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Diese Abhängigkeit besteht nach Erwägungsgrund 47 beispielsweise „aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen“. Die Regelung entspricht dem Begriff des „Konzerns“ in § 18 AktienG, sodass Konzerne in der Regel eine Unternehmensgruppe im Sinne der DSGVO sind.

‍

2. Warum gibt es kein Konzernprivileg?

In der DSGVO gibt es kein allgemeines Recht, personenbezogene Daten beliebig zwischen Muttergesellschaften, Tochtergesellschaften oder Schwestergesellschaften auszutauschen. Diese Datenverarbeitungen innerhalb eines Konzerns gelten nicht automatisch als „intern“. Vielmehr ist jedes Konzernunternehmen wie eine separate, „fremde“ Firma zu behandeln und ist jeweils ein eigener „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO.

In der Konsequenz müssen Datenverarbeitungen zwischen Konzerngesellschaften individuell auf eine gesonderte Rechtsgrundlage gestützt werden. Die einzelnen Unternehmen bleiben gleichwohl eigenständige Verantwortliche im Sinne der DSGVO.

Eine besondere Hürde kann sich dadurch ergeben, dass die Unternehmen ihren Sitz in unterschiedlichen Ländern haben, sodass womöglich verschiedene Datenschutzregelungen gelten und unterschiedliche Aufsichtsbehörden zuständig sind.

‍

3. Überblick: die Optionen für den Konzerndatenschutz

Für eine rechtssichere Datenverarbeitung innerhalb des Konzerns kommen vor allem zwei Lösungsansätze infrage:

Rechtsgrundlage „berechtigtes Interesse“ (Art. 6 Abs. 1 f DSGVO)

Die Rechtsgrundlage „berechtigtes Interesse“ erlaubt eine Datenübermittlung gemäß Erwägungsgrund 48 der DSGVO innerhalb des Konzerns nur zu internen Verwaltungszwecken („Kleines Konzernprivileg“). Die Übermittlung zu verwaltungsinternen Zwecke kann z. B. auch Kunden- oder Beschäftigtendaten umfassen. Dabei muss die Erforderlichkeit der Datenverarbeitung einzeln geprüft und eine Abwägung mit den Interessen der Betroffenen vorgenommen werden.

Aber: Das „kleine Konzernprivileg“ erlaubt nur die Übermittlung der Daten zu Verwaltungszwecken – nicht aber auch die gemeinsame Nutzung oder den Zugriff durch mehrere Konzerngesellschaften.

Rechtsgrundlage Vertragliche Regelungen  

Die DSGVO eröffnet zudem die Möglichkeit, auf der Grundlage von Verträgen zwischen den beteiligten Unternehmen gemeinsame Datenverarbeitungen vorzunehmen. In Betracht kommen:  

• Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO)
• Binding Corporate Rules (BCR, Art. 47 DSGVO)
• Vereinbarung zur gemeinsamen Verantwortlichkeit (JCA, Art. 26 DSGVO)

‍

4. Vertragliche Lösungen für den Konzerndatenschutz

Auftragsverarbeitung (Art. 28 DSGVO): Hier folgt die Datenverarbeitung im Auftrag und auf Weisung des Verantwortlichen. Der Auftragsverarbeiter (z. B. ein IT-Dienstleister) darf die Daten nicht für eigene Zwecke verwenden.

• Beispiel: Eine Tochtergesellschaft verarbeitet Kundendaten für die Muttergesellschaft ausschließlich auf Weisung, da sie den internen Cloud-Dienst betreibt.

Da es weiterhin einen weisungsberechtigten Verantwortlichen gibt und der Auftragnehmer die Daten nicht zu eigenen Zwecken nutzen darf, kommt ein Auftragsverarbeitungsvertrag als Grundlage für eine gemeinsame Datenverarbeitung im Konzern nicht in Betracht.  

Binding Corporate Rules (BCR) nach Art. 47 DSGVO: Hierbei handelt es sich um verbindliche interne Datenschutzvorschriften, die konzernweit angewendet werden können. Diese müssen von den zuständigen Aufsichtsbehörden genehmigt werden. BCR können regeln, wie personenbezogene Daten innerhalb des Konzerns verarbeitet und geschützt werden. Sie stellen sicher, dass das Datenschutzniveau innerhalb des Konzerns einheitlich ist. Die Erstellung und die erforderliche Genehmigung durch die Aufsichtsbehörden ist jedoch aufwendig und zeitintensiv.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Hier verarbeiten mehrere Unternehmen Daten gemeinsam zu denselben Zwecken. Dazu ist ein Vertrag (Joint Control Agreement) zu schließen, der verbindliche Regelungen zu den Zuständigkeiten der Vertragspartner zu diesen Punkten beinhalten muss:  

• Wahrnehmung der Betroffenenrechte  
• Datenpannen, Meldepflichten
• Verantwortung für die Datenschutzinformation

Sowohl die Auftragsverarbeitungsverträge als auch die Verträge über die gemeinsame Verantwortlichkeit beinhalten die Verpflichtung zur Einhaltung umfassender technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO zur Gewährleistung der Datensicherheit.

‍

5. So gelingt der Konzerndatenschutz

Um personenbezogene Daten im Konzern rechtssicher zu verarbeiten, ist ein systematisches Vorgehen erforderlich: Zunächst sind anhand der Zwecke der Datenverarbeitung die vertraglichen Grundlage, z. B. durch einen Vertrag über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu schaffen. Über entsprechende TOMs ist das erforderliche Schutzniveau für die Datensicherheit sicherzustellen. Und schließlich sind klare Prozesse zur Prozesse zur Einhaltung und Erfüllung der DSGVO-Anforderungen (Betroffenenrechte, Informationspflichten, Meldepflichten etc.) zu implementieren

‍

Fazit: Transparenz und klare Regeln sind der Schlüssel

Datenschutz im Konzern erfordert eine durchdachte Strategie, um die gesetzlichen Anforderungen der DSGVO zu erfüllen. Der Schlüssel liegt in klaren Verantwortlichkeiten und einem einheitlichen Datenschutzniveau.