Datenübermittlung im Konzern: Gibt es ein Konzernprivileg nach DSGVO?

Warum die Datenübermittlung im Konzern komplex ist

Unter einem Konzerndach sind in der Regel mehrere rechtlich eigenständige Gesellschaften verbunden. Sie agieren häufig von internationalen Standorten aus und nutzen zentrale IT-Systeme oder Shared Services. Das macht die Datenübermittlung im Konzern und die Einhaltung der Datenschutzgrundverordnung (DSGVO) zu einer anspruchsvollen Aufgabe.  

Der Grund: Für jeden Datenfluss muss geklärt werden, wer verantwortlich ist und wer Auftragsverarbeiter ist, auf welcher Rechtsgrundlage die Weitergabe erfolgt und ob zusätzliche Anforderungen bei Drittlandtransfers greifen. Zusätzlich muss der Konzern die Entscheidungen einheitlich dokumentieren und nachweisen, damit Prozesse Audits und Überprüfungen durch Behörden bestehen.

Die Zusammenarbeit und die datenschutzrechtliche Harmonisierung der verschiedenen Unternehmensbereiche beim Umgang mit personenbezogenen Daten erfordern umfassende Sachkenntnisse und stellen hohe kommunikative und koordinative Anforderungen an die verantwortlichen Personen

Was gilt laut DSGVO für die Datenübermittlung im Konzern?

Datenschutzrechtlich kommt es bei konzerninternen Datenflüssen zuerst auf die Rollenverteilung an: Je nach Verarbeitung sind die Gesellschaften Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter.  

Diese Unterscheidung ist entscheidend, weil sie bestimmt, welche Verträge, Rechtsgrundlagen und technische und organisatorischen Maßnahmen erforderlich sind. Entsprechend sollte jede Übermittlung von Kunden- oder Beschäftigtendaten zweckgebunden, minimiert und dokumentiert erfolgen.

Eine weitere Herausforderung für die Datenübermittlung innerhalb eines Konzerns sind globale Gesetzeskonflikte („conflict of laws“). Der Datenschutz wird weltweit unterschiedlich geregelt. Deshalb müssen international agierende Konzerne gleichzeitig verschiedene Datenschutzvorschriften beachten – das betrifft alle Daten innerhalb der Unternehmensgruppe.

Beispiel: Während in Europa die DSGVO gilt, sind in Kalifornien der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) oder in Japan der Act on the Protection of Personal Information (APPI) zu beachten. Die internationalen Gesetze weichen dabei zum Teil stark von der DSGVO ab.

Unterstützung bei komplexen Datenschutzaufgaben

Ein externer Datenschutzbeauftragter unterstützt Sie auch innerhalb komplexer Konzernstrukturen dabei, den Überblick über den Datenschutz zu behalten.

Zum externen Datenschutzbeauftragten

Das gilt es zu beachten: Rechtsgrundlagen für datenschutzkonformen Datentransfer im Konzern

Für den Datenaustausch innerhalb des Konzerns fordert die DSGVO stets eine Rechtsgrundlage zur Übermittlung personenbezogener Daten. Erfolgt die Datenübermittlung außerhalb der Europäischen Union, muss ein angemessenes und den DSGVO-Standards entsprechendes Datenschutzniveau gewährleistet sein.  

Die DSGVO bestimmt zudem, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck erforderlich ist. Lösch- und Aufbewahrungsfristen müssen definiert und nachweisbar umgesetzt werden.  

Grundsätzlich müssen alle datenschutzrechtlichen Regelungen der DSGVO nicht nur eingehalten, sondern auch lückenlos nachweisbar sein.

Konzernprivileg für die Datenverarbeitung: Sieht die DSGVO Ausnahmen für große Unternehmen vor?

Oft stellen Entscheider in Konzernen sich die Frage, ob es laut DSGVO Erleichterungen für besonders komplexe Datenprozesse gibt. Denn in einigen Rechtsfeldern wie dem Steuerrecht tragen Konzernprivilegien den besonderen Ansprüchen großer Unternehmen Rechnung und sehen Erleichterungen für sie vor.  

Ein ausdrückliches Konzernprivileg kennt die DSGVO nicht. In der Praxis ist aber oft vom „kleinen Konzernprivileg“ die Rede. Gemeint sind einzelne Regelungen, die Konzernorganisation erleichtern. Konzerne haben die Möglichkeit

• einen gemeinsamen Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO zu benennen. In unserem Magazin erfahren Sie alles zum Kozerndatenschutzbeauftragten. Darüber hinaus kann es sinnvoll sein, einen Datenschutzkoordinator einzusetzen.
• konzerninterne Übermittlungen im Einzelfall über berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO, insbesondere für interne Verwaltungszwecke) zu begründen. Wichtig: Die Entscheidung zu solchen Datenübermittlungen sollte gut abgewogen und dokumentiert sein, um Bußgeldern aufgrund der Vorschriften der DSGVO vorzubeugen. 

Auch die Übermittlung personenbezogener Daten von Kund:innen und Mitarbeiter:innen innerhalb des Konzerns ist nach Art. 6 Abs. 1 Satz 1 lit. f der DSGVO in bestimmten Fällen berechtigt. Hierzu zählen zum Beispiel interne Verwaltungszwecke. Die Entscheidung zu solchen Datenübermittlungen sollte jedoch gut abgewogen und dokumentiert sein, um Bußgeldern aufgrund der Vorschriften der DSGVO vorzubeugen.

Fazit: Konzerninterne Datenübermittlung braucht Struktur statt Privileg

Die Datenübermittlung stellt Konzerne datenschutzrechtlich vor besonders große Herausforderungen. Unterschiedliche internationale Standards müssen mit der aktuellen Rechtsprechung, dem nationalen Datenschutzrecht und schutzwürdigen Interessen von Betroffenen vereint werden. Der Austausch und die Verarbeitung personenbezogener Daten zwischen den Tochterunternehmen eines Konzerns erfordern gut strukturierte Prozesse.

Auch wenn die DSGVO kein Konzernprivileg vorsieht, gibt es im Rahmen des „kleinen Konzernprivilegs“ doch Erleichterungen für große Unternehmen: Der Einsatz eines zentralen Konzerndatenschutzbeauftragten ist hierbei häufig sinnvoll.