Datenschutz im Konzern

Grundsätzlich kein Konzernprivileg im Datenschutzrecht

Eine datenschutzrechtliche Besonderheit besteht bei der Weitergabe personenbezogener Daten in einem Unternehmens- oder Konzernverbund.

Nach der EU Datenschutzgrundverordnung (DSGVO) werden Unternehmen, die Teil eines Verbunds (insbesondere Konzerne) sind, nicht als eine einheitliche speichernde Stelle, sondern als eigenständige Einheiten behandelt. Ein Konzernprivileg kennt das europäische Datenschutzrecht also grundsätzlich nicht.

Der Austausch von Daten innerhalb eines Konzernverbunds ist daher nicht ohne weiteres zulässig. Grundsätzlich müssen jeweils die Voraussetzungen einer Datenübermittlung oder einer Auftragsverarbeitung, wie bei einem fremden Unternehmen, vorliegen. Das betrifft die Verwendung sogenannter „Shared Services“, also die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Aber auch das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.

Innerhalb Europas ist eine derartige Übermittlung personenbezogenen Daten regelmäßig zulässig, wenn die Übermittlung für die Vertragsdurchführung mit dem Betroffenen erforderlich ist, der Betroffene in die Datenübermittlung einwilligt oder die berechtigten Interessen des Unternehmens schwerer wiegen als die schutzwürdigen Interessen der Betroffenen.

Die DSGVO enthält eine Definition des Begriffs Konzern (Unternehmensgruppe) in Art. 4 Nr. 19 DSGVO. Gegenüber der bisherigen Rechtslage bringt die DSGVO eine Erleichterung für die konzerninterne Datenübermittlung mit sich, denn „interne Verwaltungszwecke“ werden für den Konzern als berechtigtes Interesse einer Übermittlung nach Art. 6 Abs. 1 lit. f DSGVO anerkannt (Erwägungsgrund 48 DSGVO), teils auch als „kleines Konzernprivileg“ bezeichnet.

Datenübermittlungen in Nicht-EU-Länder (sog. Drittstaaten) folgen weiterhin den bisherigen Prinzipen, d.h., es wird entweder eine Angemessenheitsentscheidung der EU-Kommission benötigt (diese ist bisher für folgende Länder ergangen: Andorra, Argentinien - nur für private Stellen -, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Men, Jersey, Neuseeland und Uruguay) bzw. bei Übermittlungen in die USA eine Registrierung des Datenempfängers nach dem EU-US Privacy Shield, oder es müssten EU-Standardvertragsklauseln oder verbindliche Unternehmensrichtlinien („Binding Corporate Rules“) geschlossen werden.

In allen anderen Fällen bedarf es einer ausdrücklichen Einwilligung des Betroffenen in den internationalen Datentransfer oder des Vorliegens eines anderen der in Art. 49 Abs. 1 DSGVO genannten Ausnahmegründe.  

Berlin

datenschutz nord GmbH

Jan-Christoph Thode, Volljurist

Prokurist

Telefon: +49 (0) 30 308 77 49 21

jthode@remove-this.datenschutz-nord.de

Bremen

datenschutz nord GmbH

Oliver Stutz, Volljurist

Geschäftsführer

Telefon: +49 (0) 421 69 66 32-314

ostutz@remove-this.datenschutz-nord.de

Hamburg

datenschutz nord GmbH

Jennifer Jähn-Nguyen, Volljuristin

Justiziarin 

Telefon: +49 (0) 421 69 66 32-339

jjaehn@remove-this.datenschutz-nord.de

Köln

Heike Wedekind

datenschutz süd GmbH

Heike Wedekind, Volljuristin

Justiziarin

Telefon: +49 (0) 221 179 186 11

hwedekind@remove-this.datenschutz-sued.de

Würzburg

datenschutz süd GmbH

Jan Peplow, Volljurist

Prokurist

Telefon: +49 (0) 931 304 976 23

jpeplow@remove-this.datenschutz-sued.de

Datenschutz im Konzern - datenschutz nord Gruppe