Viele Konzerne nutzen Intercompany Agreements, um die komplexen Strukturen innerhalb des Konzerns und unter den Tochterunternehmen übersichtlich und als Ganzes zu erfassen. Doch was ist eigentlich ein Intercompany Agreement und wie kann dieser sinnvoll auch im Datenschutz eingesetzt werden?
Der Inhalt im Überblick
Der Begriff „Intercompany Agreement“
Der Begriff sagt noch nichts über den Inhalt aus. Übersetzt heißt es „Unternehmensvertrag“. Allein die Tatsache, dass Unternehmensverträge in § 291 AktG definiert sind, hilft noch nicht weiter. In der Sache geht es um den im Aktiengesetz angedeuteten Grundsatz: Die Leitungsmacht und die organisatorische Hoheit in einen oder mehreren Bereichen. Mit Intercompany Agreement ist aber nicht oder nicht ausschließlich ein Vertrag im Sinne des Aktiengesetzes gemeint. Vielmehr ist der Begriff weiter zu verstehen und kann auch zur Bezeichnung datenschutzrechtlicher Verträge herangezogen werden.
Und im Datenschutz?
Im Datenschutz werden diese Intercompany Agreement gerne verwendet, um komplexe Datenströme rechtlich abzubilden. Unter komplex fällt dabei schon, wenn ein Unternehmen für ein Schwesterunternehmen Daten im Rahmen einer Auftragsverarbeitung verarbeitet – dies dürfte Ihnen bereits ein Begriff sein, wir berichten hier im Blog regelmäßig über ADV-Verträge, bspw. zur Abgrenzung, zum Inhalt (mit Muster des BayLDA).
Im Datenschutz ist ferner eine Übermittlung nach Art. 6 Abs. 1 lit. f DSGVO denkbar. Da auch die Übermittlungen von Daten innerhalb eines Konzerns aufgrund eines berechtigen Interesses komplex sein kann, bietet es sich unter Umständen an, auch diese in einem Intercompany Agreement abzubilden.
Wie ist ein Intercompany Agreement zu gestalten?
Letztlich gilt bei der Ausarbeitung solcher Verträge der Grundsatz der Vertragsfreiheit – dies bedeutet, die Ausgestaltung steht jedem also erstmal frei. Auch der Begriff Intercompany Agreement ist dabei nicht zwingend – auch Rahmenvertrag zum Datenschutz ist denkbar.
Zu bedenken bleibt aber – nutzen sie das Intercompany Agreement, um eine Vielzahl an ADV-Verträgen nach Art. 28 DSGVO zu ersetzen, müssen Sie dennoch die Mindestanforderungen des Art. 28 DSGVO einhalten. Im Ergebnis ist ein Agreement also nur ein komplexerer ADV-Vertrag.
Nicht alles vermischen
Klar zu trennen ist jedoch die Auftragsverarbeitung von der Datenübermittlung, d.h. gerade wenn keine Auftragsverarbeitung vorliegt. Da diese sauber zu trennen sind, sollte die Datenübermittlung nicht in den Intercompany Agreement gepresst werden, der Auftragsverarbeitungsverhältnisse abdeckt.