Konzerndatenschutz und Drittlandtransfer

Was Unternehmensverbünde immer beachten müssen

Konzerndatenschutz klingt nach Routine wird aber schnell zum Risiko, wenn Daten über Ländergrenzen fließen. Vermehrte Prüfungen erhöhen den Druck auf Unternehmensgruppen deutlich. Worauf es jetzt wirklich ankommt und wie Sie sich absichern, erfahren Sie in diesem Beitrag.

Die Datenschutzanforderungen in Unternehmensgruppen sind komplex, insbesondere, wenn personenbezogene Daten konzernintern oder über Ländergrenzen hinweg übermittelt werden. Ein spezielles „Konzernprivileg“ dafür gibt es im Datenschutzrecht nicht. Deshalb müssen Auftragsdatenverarbeitung nach Art. 28 DSGVO und gemeinsame Verantwortung nach Art. 26 DSGVO immer klar geregelt werden, sobald ein Unternehmen Daten im Interesse eines anderen verarbeitet.

Neben den innerkonzernlichen Regelungen rückt zunehmend auch der internationale Datentransfer in den Blick der Aufsichtsbehörden. Ein gemeinsamer Fragenkatalog zeigte schon 2021: Die Anforderungen steigen, und Unternehmen müssen ihre bestehenden Prozesse kritisch prüfen. 

1. Grundlagen des Konzerndatenschutzes

Verantwortlicher ist, wer über Art und Weise der Verarbeitung personenbezogener Daten entscheidet, um damit eigene Ziele zu erreichen.

Agieren zwei Konzernunternehmen unabhängig voneinander, handelt es sich um eine einfache Datenübermittlung. Jedes Unternehmen bleibt für seine Datenverarbeitung selbst verantwortlich. Eine Rechtsgrundlage gemäß Art. 6 DSGVO ist jedoch immer erforderlich. Erwägungsgrund 48 zur DSGVO erlaubt konzerninterne Kommunikation auf Basis des überwiegenden berechtigten Interesses (Art. 6 Abs. I f) DSGVO), entbindet aber nicht von der Verhältnismäßigkeitsprüfung für jede Datenübermittlung.

Sobald Daten im Interesse (auch) eines anderen Unternehmens verarbeitet werden, liegt entweder eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder eine Auftragsverarbeitung (Art. 28 DSGVO) vor. Beide Fälle müssen vertraglich geregelt werden. 

2. Internationale Datenübermittlung

Für internationale Datenübermittlungen innerhalb eines Konzerns über die Grenzen von EU und EWR oder Länder, für die ein EU-Angemessenheitsbeschluss gilt, kommen verschiedene Instrumente infrage:

• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit EU-Standardvertragsklauseln für Drittländer (SVK extern 914/2021, engl. SCC) nach Art. 46 DSGVO.

• Verbindliche interne Datenschutzvorschriften (BCR), die von Aufsichtsbehörden genehmigt werden müssen

Bei außereuropäischen Dienstleistern sind die SVK extern in der Regel zwingend erforderlich (sofern keine genehmigten BCR vorliegen). Eine mögliche Drittlandsfolgeabschätzung (DFA, engl. TIA) sollte dokumentiert werden.

Innerhalb der EU und des EWR können die internen Standardvertragsklauseln (SVK intern 915/2021) die Pflichten aus Art. 28 DSGVO einfach abdecken. 

3. Neue Prüfungen und strengere Aufsicht beim Drittlandtransfer

Nach Ankündigung mehrerer deutscher Datenschutzaufsichtsbehörden, unter anderem aus Rheinland-Pfalz, Hamburg, Berlin und Bayern, wird der Drittlandtransfer seit 2025 verstärkt überprüft.

Unternehmen sollten alle Datenverarbeitungen mit Drittlandbezug auf ihre Zulässigkeit prüfen und gegebenenfalls anpassen. Unzulässige Datenübertragungen müssen ausgesetzt oder beendet werden. Verantwortliche sollten Entscheidungen und Prüfungen sorgfältig dokumentieren. Wer nachweisen kann, dass eine eigene Bewertung erfolgte, kann bei möglichen Verstößen mit milderen Sanktionen rechnen. 

4. Konzerndatenschutzvertrag als zentrale Lösung

Um Datenschutzprozesse im Unternehmensverbund zu vereinheitlichen, bietet sich ein Konzerndatenschutzvertrag (Intercompany Agreement oder Intragroup Data Transfer Agreement, IGDTA) an (siehe Checkliste bei Vischer). Dieser bündelt alle Auftragsverarbeitungs- und Verantwortlichkeitsverhältnisse und regelt zugleich den internationalen Datentransfer.

Er enthält typischerweise:

• Beteiligte Unternehmen

• Auftragsverarbeitungsverträge in Form der SVK intern und extern und Vereinbarungen zur gemeinsamen Verantwortlichkeit mit

• Beschreibung der Zwecke, Datenflüsse, Betroffenen, und TOM

• gegebenenfalls Anhänge mit Drittlandsfolgeabschätzungen (DFA) und ggf. weitere Standardvertragsklauseln anderer Länder (China, Schweiz, Vereinigtes Königreich…)

So lassen sich Pflichten effizient bündeln und die Übersicht für alle Konzernunternehmen wahren.

5. Haftung und Organisation

Die Konzernhaftung nach Art. 83 DSGVO bemisst sich nach dem gesamten Konzernumsatz – nicht nach dem der einzelnen Tochtergesellschaft. Datenschutzwidrige Weisungen sind daher auch für Mitarbeiter haftungsrelevant.

Ein zentraler oder gemeinsamer Konzerndatenschutzbeauftragter kann Synergien schaffen, sollte jedoch durch lokale Datenschutzkoordinatoren unterstützt werden, um nationale Besonderheiten zu berücksichtigen.

Fazit

Unternehmen sollten konzerninterne Datenflüsse und internationale Übermittlungen regelmäßig überprüfen, vertraglich absichern und dokumentieren. Wer frühzeitig handelt, klare Prozesse schafft und Entscheidungen nachvollziehbar begründet, reduziert Risiken und stärkt die Compliance im gesamten Unternehmensverbund.

Das könnte Sie auch interessieren

• Das Verhältnismäßigkeitsprinzip im Datenschutz

• Technisch-Organisatorische Maßnahmen – TOM Teil 1

• Technisch-Organisatorische Maßnahmen – TOM Teil 2

Autor: Markus Vatter, Head of Compliance, 25.03.2026