Datenschutz im Konzern

Das Datenschutzrecht kennt kein Konzernprivileg

Eine datenschutzrechtliche Besonderheit besteht bei der Weitergabe personenbezogener Daten in einem Unternehmens- oder Konzernverbund.

Die EU Richtlinie 95/46/EG, auf der das BDSG und auch die nationalen Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union (EU) basieren, behandeln Unternehmen, die Teil eines Verbunds (insbesondere Konzerne) sind, nicht als eine einheitliche speichernde Stelle, sondern als eigenständige Einheiten.

Das europäische Datenschutzrecht kennt also kein Konzernprivileg.

Daher ist der Austausch von Daten innerhalb des Konzernverbunds nicht ohne weiteres zulässig. Vielmehr müssen jeweils die Voraussetzungen einer Datenübermittlung oder einer Auftragsdatenverarbeitung, wie bei einem fremden Unternehmen, vorliegen. 

Das betrifft insbesondere die Verwendung sogenannter „Shared Services“, also die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Aber auch bereits das Versenden von Personal- oder Kundendaten, sei es auch nur per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.

Innerhalb Europas ist eine derartige Übermittlung personenbezogenen Daten regelmäßig zulässig, wenn die Übermittlung für die Vertragsdurchführung mit dem Betroffenen erforderlich ist, der Betroffene in die Datenübermittlung einwilligt oder die berechtigten Interessen des Unternehmens schwerer wiegen als die schutzwürdigen Interessen der Betroffenen.

Datenübermittlungen in Nicht-EU-Länder stehen unter dem zusätzlichen Vorbehalt, eines „angemessenen“ Datenschutzniveaus beim Empfänger. Angemessen bedeutet, dass der Empfänger europäische Datenschutzstandard garantiert. Für Länder wie Argentinien, Uruguay, Kanada, Neuseeland, Israel und die Schweiz hat die EU einen solchen Standard grundsätzlich bestätigt. Für die USA reichte es bislang aus, wenn ein Unternehmen angab, dass es sich nach Safe Harbor Prinzipien richte und damit EU-Standard garantiert. Mit der Entscheidung vom 06.10.2015 hat der Europäische Gerichtshof dieses Abkommen jedoch für unwirksam erklärt. Der Nachfolger, der sogenannte EU-US Privacy Shield, ist noch nicht in Kraft. Eine Datenübermittlung in die USA ist daher derzeit nicht privilegiert.

Das europäische Datenschutzrecht bietet mit EU-Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften („Binding Corporate Rules“) eine Option, dennoch Daten in das außereuropäische Ausland, also auch die USA, zu übermitteln, selbst wenn diese kein angemessenes Datenschutzniveau haben.

In allen anderen Fällen bedarf es einer ausdrücklichen und freiwilligen Einwilligung in den internationalen Datentransfer oder einer zwingenden Notwendigkeit zur Durchführung eines Vertrags mit dem Betroffenen, die im Zusammenhang mit einem Konzern häufig schwer nachzuweisen ist. 

Berlin

datenschutz nord GmbH

Jan-Christoph Thode

Justiziar

Telefon: +49 (0) 30 308 77 49 21

jthode@remove-this.datenschutz-nord.de

Bremen

datenschutz nord GmbH

Oliver Stutz

Prokurist

Telefon: +49 (0) 421 69 66 32 14

ostutz@remove-this.datenschutz-nord.de

Köln

Heike Wedekind

datenschutz süd GmbH

Heike Wedekind

Justiziarin

Telefon: +49 (0) 221 179 186 11

hwedekind@remove-this.datenschutz-sued.de

Würzburg

datenschutz süd GmbH

Jan Peplow

Prokurist - Justiziar 

Telefon: +49 (0) 931 304 976 23

jpeplow@remove-this.datenschutz-sued.de

Datenschutz im Konzern - datenschutz nord Gruppe