Datenschutz im Konzern

Grundsätzlich kein Konzernprivileg im Datenschutzrecht

Eine datenschutzrechtliche Besonderheit besteht bei der Weitergabe perso­nen­­bezo­­gener Daten in einem Unternehmens- oder Konzernverbund.

Nach der EU Daten­schutz­grund­verord­nung (DSGVO) werden Unternehmen, die Teil eines Verbunds (insbesondere Konzerne) sind, nicht als eine einheitliche speichernde Stelle, sondern als eigenständige Einheiten behandelt. Ein Konzernprivileg kennt das europäische Datenschutzrecht also grundsätzlich nicht.

Der Austausch von Daten innerhalb eines Konzernverbunds ist daher nicht ohne weiteres zulässig. Grundsätzlich müssen jeweils die Voraussetzungen einer Datenübermittlung oder einer Auftragsverarbeitung, wie bei einem fremden Unternehmen, vorliegen. Das betrifft die Verwendung sogenannter „Shared Services“, also die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Aber auch das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.

Innerhalb Europas ist eine derartige Übermittlung personenbezogenen Daten regelmäßig zulässig, wenn die Übermittlung für die Vertragsdurchführung mit dem Betroffenen erforderlich ist, der Betroffene in die Datenübermittlung einwilligt oder die berechtigten Interessen des Unternehmens schwerer wiegen als die schutzwürdigen Interessen der Betroffenen.

Die DSGVO enthält eine Definition des Begriffs Konzern (Unternehmensgruppe) in Art. 4 Nr. 19 DSGVO. Gegenüber der bisherigen Rechtslage bringt die DSGVO eine Erleichterung für die konzerninterne Datenübermittlung mit sich, denn „interne Verwaltungszwecke“ werden für den Konzern als berechtigtes Interesse einer Übermittlung nach Art. 6 Abs. 1 lit. f DSGVO anerkannt (Erwägungsgrund 48 DSGVO), teils auch als „kleines Konzernprivileg“ bezeichnet.

Datenübermittlungen in Nicht-EU-Länder (sog. Drittstaaten) folgen weiterhin den bisherigen Prinzipen, d.h., es wird entweder eine Angemessenheitsentscheidung der EU-Kommission benötigt (diese ist bisher für folgende Länder ergangen: Andorra, Argentinien - nur für private Stellen -, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Men, Jersey, Neuseeland und Uruguay) bzw. bei Übermittlungen in die USA eine Registrierung des Datenempfängers nach dem EU-US Privacy Shield, oder es müssten EU-Standardvertragsklauseln oder verbindliche Unternehmensrichtlinien („Binding Corporate Rules“) geschlossen werden.

In allen anderen Fällen bedarf es einer ausdrücklichen Einwilligung des Betroffenen in den internationalen Datentransfer oder des Vorliegens eines anderen der in Art. 49 Abs. 1 DSGVO genannten Ausnahmegründe.