Datenschutz im Konzern

Grundsätzlich kein Konzernprivileg im Datenschutzrecht

Eine datenschutzrechtliche Besonderheit besteht bei der Weitergabe perso­nen­­bezo­­gener Daten in einem Unternehmens- oder Konzernverbund.

Nach der EU Daten­schutz­grund­verord­nung (DSGVO) werden Unternehmen, die Teil eines Verbunds (insbesondere Konzerne) sind, nicht als eine einheitliche speichernde Stelle, sondern als eigenständige Einheiten behandelt. Ein Konzernprivileg kennt das europäische Datenschutzrecht also grundsätzlich nicht.

Der Austausch von Daten innerhalb eines Konzernverbunds ist daher nicht ohne weiteres zulässig. Grundsätzlich müssen jeweils die Voraussetzungen einer Datenübermittlung oder einer Auftragsverarbeitung, wie bei einem fremden Unternehmen, vorliegen. Das betrifft die Verwendung sogenannter „Shared Services“, also die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Aber auch das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.

Innerhalb Europas ist eine derartige Übermittlung personenbezogenen Daten regelmäßig zulässig, wenn die Übermittlung für die Vertragsdurchführung mit dem Betroffenen erforderlich ist, der Betroffene in die Datenübermittlung einwilligt oder die berechtigten Interessen des Unternehmens schwerer wiegen als die schutzwürdigen Interessen der Betroffenen.

Die DSGVO enthält eine Definition des Begriffs Konzern (Unternehmensgruppe) in Art. 4 Nr. 19 DSGVO. Gegenüber der bisherigen Rechtslage bringt die DSGVO eine Erleichterung für die konzerninterne Datenübermittlung mit sich, denn „interne Verwaltungszwecke“ werden für den Konzern als berechtigtes Interesse einer Übermittlung nach Art. 6 Abs. 1 lit. f DSGVO anerkannt (Erwägungsgrund 48 DSGVO), teils auch als „kleines Konzernprivileg“ bezeichnet.

Datenübermittlungen in Nicht-EU-Länder (sog. Drittstaaten) folgen weiterhin den bisherigen Prinzipen, d. h., es wird entweder eine Angemessenheitsentscheidung der EU-Kommission benötigt (diese ist bisher für folgende Länder ergangen: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Men, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Uruguay und Vereinigtes Königreich – zu beachten ist, dass sich die jeweiligen Angemessenheitsbeschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können) oder es müssten EU-Standardvertragsklauseln abgeschlossen und unter Berücksichtigung des EuGH-Urteils vom 16.07.20 C-311/18 weitere technische und organisatorische Maßnahmen ergriffen werden, die insgesamt ein angemessenes Datenschutzniveau gewährleisten. Klausel 14 der aktuellen EU-Standardvertragsklauseln sieht hierbei vor, dass der Datenexporteur vor der erstmaligen Übermittlung in ein Drittland ein sogenanntes Transfer Impact Assessment durchführt, um zu prüfen, ob insgesamt ein angemessenes Datenschutzniveau gewährleistet werden kann. Alternativ zu den EU-Standardvertragsklauseln können auch verbindliche Unternehmensrichtlinien („Binding Corporate Rules“), die zuvor mit der Aufsichtsbehörde abgestimmt wurden, entsprechende Datenübermittlungen legitimieren. 

Stehen die genannten Instrumente nicht zur Verfügung können gegebenenfalls die in Art. 49 DSGVO genannten Ausnahmen für die Übermittlung personenbezogener Daten in ein Drittland herangezogen werden.