In der Konzernwelt ist der Austausch von Daten oft alltäglich und selbstverständlich. Doch gerade hier lauern Fallstricke, die zu schwerwiegenden Datenschutzverletzungen führen können. Viele Mitarbeiter und auch Führungskräfte gehen fälschlicherweise davon aus, dass innerhalb eines Konzerns ein freier Datenfluss erlaubt ist. Dieser Irrglaube kann jedoch schwerwiegende rechtliche und finanzielle Folgen haben.
In diesem Artikel beleuchten wir die gängigsten Missverständnisse zum Datenschutz im Konzern, klären über die tatsächliche Rechtslage auf und zeigen, welche Möglichkeiten es für einen rechtskonformen Datenaustausch gibt. Erfahren Sie, wie Sie Ihre Daten in der Unternehmensgruppe DSGVO-konform verwalten können.
Missverständnisse zum Datenschutz in Konzernen
Innerhalb von Unternehmensgruppen hört man immer wieder die Aussage: "Wir gehören doch ohnehin alle der gleichen Muttergesellschaft an“ und „die Geschäftsführung der Mutter darf über alles entscheiden, was uns betrifft - daher ist auch jegliche Datenübertragung, die die Muttergesellschaft verlangt, zwangsläufig in Ordnung."
Ergebnis dieses Trugschlusses:
Gefahr eines Datenschutzverstoßes und ggf. ein hohes Bußgeld!
Missverständnisse und Unwissenheit im Datenschutz durch effektive Mitarbeiterschulung vermeiden
Sorgen Sie mit gezielter Mitarbeiterschulung dafür, dass in Ihrem Unternehmen keine Datenschutzverletzungen wegen Halbwissen und fehlenden Informationen entstehen.
Kein Konzernprivileg unter der DSGVO
Also aufgepasst: Es gibt grundsätzlich kein Konzernprivileg, wie es das Bundesdatenschutzgesetz noch in Zeiten vor der Datenschutz-Grundverordnung vorsah. Somit gibt es keine "Konzerndaten", sondern vielmehr ist jede Businesseinheit selbst verantwortlich für die jeweiligen Daten. Es können daher grundsätzlich auch keine Daten gemeinsam verarbeitet oder beliebig ausgetauscht werden (es gibt Ausnahmen, diese folgen sogleich).
Zusammengefasst bedeutet das, dass man für jegliche Datenverarbeitungen (z.B. Übertragungen) eine Rechtsgrundlage gemäß Art. 6 DSGVO, ggf. auch § 26 BDSG benötigt.
Ausnahme: Berechtigtes Interesse
Hier kommt die oben bereits erwähnte Ausnahme ins Spiel. Denn in bestimmten Fällen ist es möglich, die Datenübertragung auf ein "berechtigtes Interesse" im Sinne des Art. 6 Abs. 1 lit. f DSGVO zu stützen.
Hierzu besagt nämlich der Erwägungsgrund 48 (häufig "kleines Konzernprivileg" genannt) Folgendes:
"Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln."
Erwägungsgrund 48 DSGVO
Das heißt zu verwaltungsinternen Zwecken dürfen Daten übermittelt werden – zuvor ist jedoch eine Interessenabwägung notwendig, die die Interessen des Unternehmens den Interessen der Betroffenen gegenüberstellt und im Ergebnis das überwiegende berechtigte Interesse nachweisen muss.
Vertragliche Vereinbarungen für den Datenschutz im Konzern
Neben dem kleinen Konzernprivileg gibt es noch Möglichkeiten, die Datenverarbeitung vertraglich zwischen den Unternehmen der Gruppe zu vereinbaren.
Auftragsverarbeitung
Hier wäre zum Beispiel denkbar, dass ein Unternehmen der Gruppe eine zentrale Aufgabe für andere Unternehmen der Gruppe übernimmt (z.B. Marketing oder Personalverwaltung). Dies stellt eine klassische Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar. In diesem Fall werden dann Daten im Auftrag und auf Weisung des jeweils verantwortlichen Unternehmens verarbeitet und ein entsprechender Auftragsverarbeitungsvertrag ist zu schließen. Das verarbeitende Unternehmen ist streng weisungsgebunden und darf nicht eigenständig über Mittel und Zwecke der Datenverarbeitung entscheiden.
Binding Corporate Rules (BCR)
Eine deutlich weitergehende Möglichkeit der vertraglichen Regelung zwischen Konzerngesellschaften stellen die "Binding Corporate Rules (BCR)" nach Art. 47 DSGVO dar. Das sind verbindliche Unternehmensregeln, die von den jeweils zuständigen Aufsichtsbehörden genehmigt werden müssen. Dies ist in der Regel ein sehr langwieriger und kostspieliger Prozess.
Gemeinsame Verantwortlichkeit
Eine weitere Alternative ist die Verarbeitung von Daten auf Grundlage eines Vertrages zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO). Dies ist regelmäßig der Fall, wenn Daten zur Erreichung eines gemeinsamen Zwecks verarbeitet werden sollen. Im Vertrag sind sodann die einzelnen Zuständigkeiten der jeweiligen Gesellschaften zu regeln (z.B. wer ist für die Erfüllung von Betroffenenrechten wie das Auskunftsrecht nach Art 15 DSGVO verantwortlich, wer erteilt die Datenschutzinformationen etc.).
Mögliche Rechtsgrundlagen für die Datenübermittlung im Konzern
Zusammengefasst gibt es somit folgende mögliche Rechtsgrundlagen für die Datenübermittlung innerhalb einer Unternehmensgruppe:
Datenübermittlung in Drittländer
Neben der Problematik der notwendigen Rechtsgrundlage gibt es auch das Problem, dass Konzerne häufig in unterschiedlichen Ländern tätig sind. Das heißt es gelten unterschiedliche Gesetze und es gibt diverse Datenschutzniveaus, die bei der Beurteilung von Datenverarbeitungen berücksichtigt werden müssen. Auch hier sieht die Datenschutz-Grundverordnung diverse Pflichten vor, die bei Drittlandübermittlung einzuhalten sind (vgl. Art. 44 ff. DSGVO).
Somit sind laut DSGVO Datentransfers in Drittländer ausschließlich zulässig, wenn:
Sobald man sowohl eine passende Rechtsgrundlage als auch ggf. eine Grundlage für die Drittlandübermittlung nachweisbar dokumentiert hat, ist es fast geschafft. Es gibt dann noch zwei wichtige Punkte, die grundsätzlich zu berücksichtigen sind:
1.
Es muss immer ein angemessenes Schutzniveau bestehen gemäß Art. 32 DSGVO ("TOMs" = technische und organisatorische Maßnahmen).
2.
Die Betroffenen müssen transparent informiert werden.
Fazit
Nur weil die Konzernmutter dies verlangt, ist es noch lange nicht rechtskonform, Date an andere – auch gruppeninterne – Gesellschaften (inkl. der Muttergesellschaft) zu übertragen. Vielmehr müssen die Voraussetzungen kritisch geprüft werden. Insbesondere das Vorliegen einer Rechtsgrundlage, ggf. die Erlaubnistatbestände für Drittlandübermittlung, geeignete technische und organisatorische Maßnahmen und Transparenz gegenüber den betroffenen Personen müssen gewährleistet sein.
Im Regelfall ist es sinnvoll, den Datenschutzbeauftragten einzubinden, um die oben genannten Punkte zu überprüfen. Sprechen Sie uns bei Bedarf oder bei allgemeinen Fragen zum Datenschutz gerne an.
Katrin Dahmen