17
Oct
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 9: Datenübermittlungen im Konzern

Dr. Frank Bongers

In Konzernen kooperieren und kommunizieren die einzelnen Konzernunternehmen miteinander in vielfältiger Weise. Dies ist häufig – wie z. B. bei der Zentralisierung von Personalaufgaben oder dem Customer Relationship Management – mit einer Übermittlung personenbezogener Daten zwischen den Konzerngesellschaften verbunden. Die Zulässigkeit der konzerninternen Datentransfers ist deshalb für Konzerne elementar.

Was gilt bisher?

Das Bundesdatenschutzgesetz (BDSG) enthält keine spezifischen Regelungen für Konzerne. Adressat der Datenschutzregelungen ist jedes einzelne Konzernunternehmen als verantwortliche Stelle. Deshalb macht das Bundesdatenschutzgesetz grundsätzlich keinen Unterschied zwischen der Datenübermittlung von einem Konzernunternehmen zu einem anderen Konzernunternehmen und der Datenübermittlung an beliebige dritte Stellen.

Die Datenübermittlung muss deshalb stets auf einer Einwilligung des Betroffenen beruhen oder von einer Rechtsvorschrift erlaubt sein. Die Datenübermittlung innerhalb des Konzerns ist in keiner Weise privilegiert. Dies führt zu besonderen Herausforderungen in Bezug auf die Gestaltung von Datenübermittlungen innerhalb des Konzerns. Dies gilt insbesondere, wenn diese Konzerne ganz oder in Teilbereichen wie ein einzelnes Unternehmen geführt werden. In vielen Fällen können hier Datenschutzverträge zwischen den Konzernunternehmen die Grundlage für rechtmäßige Datenübermittlungen schaffen.

Was bringt die Zukunft?

Die Datenschutz-Grundverordnung spricht nicht von Konzernen, benutzt jedoch den Begriff der Unternehmensgruppe. Im Erwägungsgrund 48 heißt es, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Teilweise wurde dieser Satz mit der Hoffnung gelesen, dass nunmehr die Datenübermittlung innerhalb von Konzernen unter einem neuen Vorzeichen stehe und somit leichter möglich sei. Der Wortlaut dieses Erwägungsgrundes gibt dies aber leider nicht her. Schließlich steht dort nur, dass das einzelne Unternehmen der Unternehmensgruppe ein berechtigtes Interesse haben „kann“. Das gilt schon heute. Zudem wird in diesem Erwägungsgrund die Anmerkung ergänzt, dass die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt bleiben. Insoweit wird betont, dass es insbesondere in internationalen Konzernen weiterhin keine privilegierte Datenübermittlung gibt.

Im Ergebnis bleibt demnach die Rechtslage unverändert. Konzerne können in Bezug auf datenschutzrechtliche Fragen nicht wie ein Unternehmen geführt werden, in dem Daten jeweils der Stelle zugänglich gemacht werden können, die diese Daten für die Erfüllung der übertragenen Aufgaben benötigt. Es bedarf auch nach der Datenschutzgrundverordnung stets einer datenschutzrechtlichen Prüfung der Zulässigkeit.

Ohne Einwilligung bleibt in der Regel nur die Rechtfertigung der Datenübermittlung auf Basis einer Interessenabwägung, in der die berechtigten Interessen des Konzernunternehmens den schutzwürdigen Interessen der betroffenen Person (z. B. des Beschäftigten oder des Kunden) gegenüber gestellt und abgewogen werden.

Diese Interessenabwägung kann zugunsten des Unternehmens durch unternehmensübergreifende Datenschutzregelungen beeinflusst werden. Anhaltspunkte, welche Regelungen hier innerhalb eines Konzerns getroffen werden können, gibt die neue Datenschutz-Grundverordnung in Bezug auf die Datenübermittlungen im internationalen Kontext. Dort sind „verbindliche interne Datenschutzvorschriften“ thematisiert, die mit Genehmigung der zuständigen Aufsichtsbehörde eine Datenübermittlung im internationalen Konzern rechtfertigen können.

Weiterführende Links:

 

 

» zur Übersicht