Überblick Konzerndatenschutz

Wie Sie personenbezogene Daten im Unternehmensverbund übermitteln.

Es gibt leider grundsätzlich kein großes „Konzernprivileg“ im Datenschutz, so dass Auftragsdatenverarbeitung nach Art. 28 DSGVO oder gemeinsame Verantwortung nach Art. 26 DSGVO immer geregelt werden müssen, sobald ein Unternehmen Daten weitergibt, die das andere im Interesse des ersten bearbeitet. Zusätzlich gibt es den Nachteil der Konzernhaftung für Datenschutzverletzungen.

Kleine Unternehmensgruppen innerhalb Deutschlands können mit den EU-Standardvertragsklauseln alles Nötige einfach und schnell regeln.

 

Grundlagen

  • Verantwortlicher ist, wer über Art und Weise der Verarbeitung personenbezogener Daten entscheidet, um damit (mindestens auch) sein eigenes Ziel zu erreichen.

  • Einfache Übermittlung: Wenn zwei Konzernunternehmen tatsächlich unabhängig voneinander agieren, handelt es sich wirklich nur um eine blanke Datenübermittlung und jedes Unternehmen ist für sich allein verantwortlich. Dann muss allerdings jedes Unternehmen eine Rechtsgrundlage für die Verarbeitung vorweisen. Eine Übermittlung liegt bereits vor, wenn das andere Unternehmen die Möglichkeit der Kenntnisnahme hat.

  • Wie bei jeder Datenverarbeitung muss es immer eine Rechtsgrundlage aus Art. 6 DSGVO geben. Hier gibt es als Besonderheit das „kleine Konzernprivileg“ aus Erwägungsgrund 48 zur DSGVO, das Konzernkommunikation als grundsätzlich berechtigtes Interesse nach Art. 6 Abs. I f) DSGVO festschreibt, aber die Verhältnismäßigkeitsprüfung  für jede Datenübermittlung nicht erspart.

Sobald Daten im Interesse auch eines anderen Unternehmens verarbeitet werden, haben wir einen der beiden folgenden Fälle:

  1. Gemeinsam Verantwortliche haben beide jeweils auch eigene Verarbeitungszwecke.

  2. Auftragsverarbeiter ist, wer die personenbezogen Daten für die Ziele eines Verantwortlichen verarbeitet.

 

International

Es gibt verschiedene Instrumente für die internationale Datenübermittlung innerhalb eines Konzerns. Neben einem Auftragsverarbeitungsvertrag (AVV, Data Privacy Agreement, DPA) mit EU-Standardvertragsklauseln  (SVK, Standard Contract Clauses, SCC) können verbindliche interne Datenschutzvorschriften (VID, Binding Corporate Rules, BCR) genutzt werden. Diese müssen aber aufwändig von den Datenschutzbehörden genehmigt werden.

 

Auftragsdatenverarbeitung

Das verantwortliche Unternehmen gibt einseitig die Ziele und Bedingungen vor.

Unternehmen können die EU-Standardvertragsklauseln/SCC innerhalb der EU nutzen und sich so Formulierungsaufwand sparen, um die Pflichten nach Art. 28 Abs. 3 DSGVO zu erfüllen. Falls sie selbst einen Vertrag formulieren, sollten sie die Prüfkriterien der DSK (PDF) beachten. Formal muss der Auftragsverarbeiter nichts prüfen, und der Auftraggeber bei Verwendung der SVK hauptsächlich die Technisch-Organisatorischen Maßnahmen (TOM).

Falls der Auftragsverarbeiter außerhalb der EU seinen Sitz hat, müssen die Standardvertragsklauseln/SCC genutzt werden, wenn keine VID/BCR vorhanden sind.

Falls weitere Unterauftragsverarbeiter einbezogen werden, die Daten eventuell außerhalb der EU verarbeiten, sollte man sich im Unternehmensverbund besser behelfen können, da man sich bei der Dokumentation gegenseitig unterstützen und so eine möglicherweise nötige Drittlandsfolgeabschätzung (DFA, Transfer Impact Assessment, TIA) ohne große Anpassungen mehrfach nutzen kann.

 

Gemeinsame Verantwortlichkeit

TOM müssen nicht vereinbart werden.

Wenn zwei Konzernfirmen jeweils selbst für die Verarbeitung gemeinsamer Daten verantwortlich sind, muss man einen Vertrag über die „Gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO abschließen. Dieser ist für Übermittlungen innerhalb der EU/EWG nicht normiert. Die einfachste Form davon ist die Vertraulichkeitsvereinbarung (Engl. Non-Disclosure Agreement, NDA). Auch, wenn es keinen EU-internen Standardvertrag dafür gibt, kann man sich mit dem EU-Standardvertrag für außereuropäische Verarbeitung, Modul 1: Verantwortlicher zu Verantwortlicher, behelfen. Was für den Datenexport aus der EU ausreicht, reicht erst Recht für die Datenverarbeitung in der EU.

Für große Firmen lohnt es sich vielleicht, stattdessen verbindliche interne Datenschutzvorschriften von der EU genehmigen zu lassen.

Ein Beispiel für gemeinsame Verantwortlichkeit ist eine gemeinsame Mitarbeiterverwaltung (Human Resource Information System, HRIS). Hier ist nach deutschem Recht zusätzlich § 26 BDSG besonders zu beachten. Falls Sie Bewerbungen innerhalb des Konzerns weitergeben möchten, sollten Sie das schon im Stellenangebot und der Datenschutzerklärung klarstellen oder im Einzelfall nachträglich eine Einwilligung einholen.

 

Konzerndatenschutzvertrag

Allgemein

Der Konzerndatenschutzvertrag ist meist international und heißt dann auf Englisch beispielsweise „Intercompany Agreement” oder Intragroup Data Transfer Agreement (IGDTA) – Siehe dazu die Checkliste bei Vischer (PDF). Er fasst sämtliche gemeinsamen Verantwortlichkeiten und Auftragsverhältnisse zusammen und berücksichtigt auch den Transfer in andere Länder, etwa indem für China dessen eigene Standardvertragsklauseln (in Kraft ab 1. Juni 2023) zusätzlich ergänzt werden. Statt vieler Einzelverträge erhält man so ein dickes, aber dafür für alle Konzernfirmen einheitliches Konstrukt, in dem jeder einfach und schnell seine Verantwortlichkeiten einsehen kann. Er enthält häufig folgende Komponenten:

  1. Beteiligte Unternehmen (Parteien)

  2. Auftragsverarbeitungsverträge (z.B. EU-Standardvertragsklauseln, Module 2–4)

  3. Vertrag über „Gemeinsame Verantwortlichkeit“ (ggf. EU-Standardvertragsklauseln, Modul 1)

  4. Ggf. weitere Standardvertragsklauseln anderer Länder (China, Schweiz, Vereinigtes Königreich…)

  5. Beschreibung der Datenflüsse aufgeschlüsselt nach 1. bis 4. und für die einfache Übermittlung

Um die ständige Fortschreibung im Sinne des Datenschutzmanagements zu erleichtern, kann man einen Mitarbeiter der Konzernmutter bevollmächtigen, den Vertrag auch im Namen der anderen fortzuschreiben.

Datenflüsse

Die Beschreibung der Datenflüsse sind in den Anhängen der EU-Standarddatenschutzverträge gut strukturiert, so dass sich deren Ordnung empfiehlt

  1. Beschreibung der Datenverarbeitung

    1. Datenarten

    2. Betroffenengruppen

    3. Verarbeitungszwecke

    4. Dauer oder Frequenz

  2. TOM

  3. Besonderheiten zu 1. bis 2., falls besonders sensible Daten verarbeitet werden

  4. Angaben zu Unterauftragsverarbeitern

Zusätzlich bietet es sich ggf. an, eine Drittlandsfolgeabschätzung nach Art. 44 ff DSGVO anzuhängen. Eine DFA ist eine Datenschutzfolgeabschätzung (DSFA, Privacy Impact Assessment, PIA) für sog. unsichere Drittstaaten ohne Angemessenheitsbeschluss (z.B. Vereinigten Staaten, Indien, Australien).

 

Datenschutzbeauftragter, Datenschutzteam und Weisungen

Sollte ein Konzerndatenschutzbeauftragter ernannt werden?

Für alle Unternehmen in der EU oder weltweit kann ein gemeinsamer Konzerndatenschutzbeauftragter bestellt werden. Falls die Unternehmen in anderen Ländern sind, benötigt er in der Regel in den einzelnen Firmen Datenschutzkoordinatoren (Data Privacy Ambassadors) mit Kenntnissen des jeweils lokalen Rechts, da die DSGVO Öffnungsklauseln für das jeweilige Landesrecht enthält.

Es ist strittig was passiert, wenn eines der Konzernunternehmen zusätzlich zum globalen Konzerndatenschutzbeauftragten einen eigenen Datenschutzbeauftragten hat.

Haftung

Bitte beachten Sie, dass nach Beherrschungsverträgen auf dem Papier eigentlich verbindliche Weisungen nur dann rechtlich erlaubt und damit verpflichtend sind, wenn sie auch dem Datenschutz genügen. Tochtergesellschaften und deren Mitarbeiter haften nach der DSGVO, wenn sie datenschutzwidrige Weisungen ausführen. Die Konzernhaftung nach Art. 83 DSGVO bemisst Bußgelder nach dem Konzernumsatz, nicht dem Umsatz des einzelnen Unternehmens. Hier braucht es daher eine lösungsorientierte Kommunikation im Vorfeld.

 

Fazit

Solange ein Konzern nur wenige Firmen umfasst, kommt man mit wenigen bilateralen Verträgen aus. Sobald aber die Akteure mehr werden oder zusätzliche Erschwernisse wie internationaler Datentransfer hinzutreten, sollte man den Datenschutz mit einem Konzerndatenschutzvertrag vereinheitlichen.

 

Siehe auch

 

Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant, 19.04.2023

Find out more here.

I will gladly advise you and look forward to receiving your questions.

Data Privacy Legal Consultant

Florian Thomas Hofmann