Das deutsche Datenschutzrecht kennt für die Datenverarbeitung innerhalb eines Konzernunternehmens bislang keine Privilegierung gegenüber Einheitsunternehmen (sog. Konzernprivileg). Ändert sich die Rechtslage durch die DSGVO? Wir geben einen kurzen Überblick.
Der Inhalt im Überblick
Was bedeutet „Konzernprivileg“?
Eine Legaldefinition des Begriffs Konzern findet sich in § 18 AktG. Demzufolge liegt ein Konzern vor bei einer Zusammenfassung mehrerer rechtlich selbständiger Unternehmen zu einer wirtschaftlichen Einheit unter gemeinsamer Leitung. Die auf dieser Weise verbundenen Unternehmen werden Konzernunternehmen genannt. Angesichts der einheitlichen wirtschaftlichen Leitung genießen Konzernunternehmen im deutschen Recht unterschiedliche rechtliche Erleichterungen bzw. Privilegierungen für ihre Tätigkeit. Hierzu zählen insbesondere Sonderregelungen im Steuerrecht.
Aktuelle Rechtslage nach BDSG
Solch ein Konzernprivileg sieht das BDSG nicht vor. Es knüpft für die datenschutzrechtliche Verantwortlichkeit an den Begriff der juristischen Person an, sodass jedes konzernangehörige Unternehmen jeweils als eigenständige verantwortliche Stelle nach § 3 Abs. 7 BDSG betrachtet wird.
Folge hiervon ist, dass Konzernunternehmen im Verhältnis zueinander als „Dritter“ im Sinne von § 3 Abs. 8 BDSG gelten. Die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe bedarf daher einer Rechtfertigung. Hierbei gelten grundsätzlich die gleichen Maßstaben wie bei einer Datenweitergabe an ein konzernfremdes Unternehmen.
Als Erlaubnistatbestände kommen die bekannten Normen wie die §§ 28, 32 BDSG oder eine Einwilligung in Betracht. Auch kann die Datenweitergabe zwischen Konzerngesellschaften oftmals im Rahmen einer Auftragsdatenverarbeitung gemäß § 11 BDSG gerechtfertigt sein.
Die Konzernzugehörigkeit wirkt sich lediglich im Rahmen der Interessenabwägung aus, die bei den im BDSG vorgesehenen gesetzlichen Erlaubnisnormen oftmals vorzunehmen ist. So wird beispielsweise auf Basis der Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG ein konzerninterner Datenaustausch für interne Verwaltungszwecke anders zu beurteilen sein als die Datenübermittlung an konzernexterne Unternehmen.
Zukünftige Lage nach DSGVO
Vorab lässt sich festhalten, dass auch in der Datenschutz-Grundverordnung ein Konzernprivileg im obigen Sinne nicht ausdrücklich vorgesehen ist. Es ergeben sich im Detail jedoch einige Änderungen zur bisherigen Rechtslage, die nachfolgend dargestellt werden:
Was ändert sich?
Definition der Unternehmensgruppe
In der DSGVO wird erstmals der Begriff „Unternehmensgruppe“ definiert. Gemäß Art. 4 Abs. 19 DSGVO wird eine „Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“, als Unternehmensgruppe bezeichnet.
Erwägungsgrund 37 lässt sich entnehmen, dass die vorgenannte Beherrschung weit zu verstehen ist. Demnach ist es ausreichend, wenn das herrschende Unternehmen beispielsweise „aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann“. Darüber hinaus soll ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden.
Aufgrund der inhaltlich sehr ähnlichen Definition in § 18 AktG stellen Konzerne im Regelfall Unternehmensgruppen i.S.d. DSGVO dar, sodass für sie die in der DSGVO geregelten einschlägigen Normen anwendbar sind (vgl. nachfolgend).
Rechtliche Folgen einer Unternehmensgruppe
An das Vorliegen einer Unternehmensgruppe werden in der DSGVO verschiedene rechtliche Folgen angeknüpft, wie die Bestellung eines gemeinsamen Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO.
Im Verarbeitungskontext ist Erwägungsgrund 48 von überragender Bedeutung, der auch als sog. kleines Konzernprivileg angesehen wird. Hier heißt es in Satz 1:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“
Diese Regelung bezieht sich auf Interessenabwägungen bei Beurteilung der Rechtmäßigkeit von Datenverarbeitungen, wie sie insbesondere nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO durchzuführen ist. Durch die jetzt ausdrückliche Normierung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung werden Datenflüsse innerhalb einer Konzerngruppe zukünftig leichter zu rechtfertigen sein.
Was bleibt gleich?
Verantwortlicher
In der Datenschutz-Grundverordnung wird für die Bewertung als verantwortliche Stelle bzw. Verantwortlicher weiterhin auf die juristische Betrachtungsweise abgestellt. Als Verantwortlicher gilt nach Art. 4 Abs. 7 DSGVO die juristische Person, sodass die jeweiligen Konzernunternehmen für die Datenverarbeitung verantwortlich bleiben und demnach im Verhältnis zueinander grundsätzlich als Dritter anzusehen sind. Für die Datenweitergabe ist auch unter Regie der DSGVO ein Erlaubnistatbestand (vor allem Art. 6 DSGVO) vonnöten, wobei einige Erleichterungen gelten, wie das kleine Konzernprivileg.
Auftragsverarbeitung
Die Auftragsdatenverarbeitung wird auch in der DSGVO privilegiert (vgl. Art. 4 Nr. 8 und Art. 28 DSGVO). Dieses Instrument kann bei Datenübertragungen im Konzern weiterhin als Rechtfertigung dienen.
Internationaler Datenaustausch
Nach Erwägungsgrund 48 S. 2 bleiben die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt, sodass die diesbezüglichen Regelungen zu beachten sind.
In der DSGVO nichts Neues?
Zusammenfassend kann festgehalten werden, dass eine Datenübermittlung innerhalb eines Konzerns unter der Datenschutz-Grundverordnung vergleichbaren Regelungen folgt wie nach BDSG. Ein Konzernprivileg wurde diskutiert, jedoch letztendlich nicht in die DSGVO übernommen. Konzerne können sich zumindest mit dem „Konzernprivileg light“ gemäß Erwägungsgrund 48 trösten, das ihnen die Suche nach einem Erlaubnistatbestand für konzerninterne Datenübermittlungen nicht abnehmen, aber etwas erleichtern wird.
Hallo zusammen,
ergänzend sehe ich beim Thema Haftung und den Strafgeldern jedoch das Konzernprivileg, da die Bußgeldern nach %-satz und dem weltweitem Jahresumsatz gehen.
Beste Grüße,
Markus Strauss
Hallo,
mich würde das Verhältnis von § 26 BDSGneu zu Art. 6 I S. 1 lit. f (iVm EG 48 S. 1) DSGVO wenn es um die Verarbeitung von Arbeitnehmerdaten geht?
Beste Grüße,
Martina
Hallo, muss eine AVV ( Art. 28 DSGVO zwischen der Mutter und allen Töchtern abgeschlossen werden, wenn die Mutter die herrschende Einheit ist?
Gruß madmax
Ob eine AVV erforderlich ist, hängt nicht von den Konzernstrukturen sondern von dem datenschutzrechtlichen Weisungsverhältnis ab. Ein AVV ist erforderlich, wenn der Auftragsverarbeiter weisungsgebunden die Daten des Auftraggebers (Verantwortlicher) verarbeitet. Wie das Verhältnis zwischen der Muttergesellschaft und den Töchtergesellschaften ist, müsste im konkreten Fall erörtert werden. Hier kommt es darauf an, wie die datenschutzrechtlichen Konstellationen sind. Steht zwischen der Mutter und allen Töchtern jedoch ein Auftragsverhältnis, wird ein solcher Vertrag erforderlich sein. Hier ist ein Intercompany Agreement denkbar.