Einführung
In unseren letzten beiden Artikeln haben wir die Einführung von Software aus Datenschutzsicht beleuchtet. Aber was gilt nun, wenn mehrere Unternehmen einer Unternehmens-gruppe oder eines Konzerns Software gemeinsam nutzen möchten? Häufig ist damit der Aufbau und die Nutzung eines gemeinsamen Datenbestandes verbunden. Dies führt letztlich in den meisten Fällen zu einer Übermittlung personenbezogener Daten zwischen den beteiligten Gruppenunternehmen. Und diese Übermittlungsvorgänge müssen datenschutzrechtlich legitimiert werden.
Kein echtes „Konzernprivileg“ nach der DSGVO
In Unternehmensgruppen herrscht häufig ein starkes „Wir-Gefühl“ und der Eindruck vor, man sei ein einheitliches Unternehmen. Diese Wahrnehmung kollidiert damit, dass die DSGVO zwar in Art. 4 Nr. 19 eine Definition der Unternehmensgruppe enthält, insgesamt aber dennoch jedes Unternehmen für sich genommen adressiert. Somit ist die Übermittlung personenbezogener Daten an Gruppenunternehmen grundsätzlich mit der Datenübermittlung an Dritte außerhalb der Gruppe gleichzusetzen. Sie muss dementsprechend im gleichen Maße legitimiert werden. Denn jede „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ stellt nach Art. 4 Nr. 2 DSGVO eine Verarbeitung dar. Und die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer sie ist ausnahmsweise durch Einwilligung der Betroffenen oder auf gesetzlicher Grundlage erlaubt.
Ein Konzernprivileg – wie bspw. das konzernrechtliche Konzernprivileg, nachdem das Kartellverbot für Absprachen zwischen Unternehmen desselben Konzerns nicht gilt – kennt die DSGVO nicht. Dennoch kann die Legitimation von Datenübermittlungen in Unternehmensgruppen einfacher sein als bei nicht miteinander affiliierten Unternehmen. So gesteht Erwägungsgrund 48 DSGVO zu, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse daran haben können, innerhalb der Unternehmensgruppe für interne Verwaltungszwecke Daten zu übermitteln. Das erleichtert die im Rahmen von Art. 6 Abs. 1 S. 1 Buchstabe a) DSGVO erforderliche Interessenabwägung.
Verträge erforderlich – Auftragsverarbeitung, Joint Controllership
Zentral für die datenschutzkonforme Datenübermittlung im Konzern ist der Abschluss von Verträgen zwischen den an der Übermittlung jeweils beteiligten Unternehmen. Je nach Übermittlungssituation kann die Verarbeitung eine Auftragsverarbeitung darstellen, oder in gemeinsamer oder getrennter Verantwortung erfolgen.
Eine Auftragsverarbeitung liegt häufig vor, wenn ein Gruppenunternehmen für andere Gruppen-unternehmen IT-Dienstleistungen erbringt. Dabei ist allerdings zu beachten, dass nach einer recht verbreiteten Meinung in der Datenschutzliteratur die Muttergesellschaft nicht Auftragsverarbeiterin ihrer Tochtergesellschaften sein kann. Hintergrund sind gesellschaftsrechtliche Weisungs- und Beherrschungsmöglichkeiten der Muttergesellschaft.
Häufig wird bei der gemeinsamen Nutzung von Software und Datenbeständen in Unternehmens-gruppen allerdings eine gemeinsame Verantwortlichkeit der jeweils beteiligten Unternehmen vorliegen. Ein Beispiel hierfür kann der Betrieb eines gemeinsamen CRM-Systems sein, auf dessen (vollständigen) Datenbestand mehrere oder alle Unternehmen der Gruppe zugreifen können. Auch die (zumindest deutschen) Aufsichtsbehörden nehmen diese Verantwortlichkeitsteilung in Unternehmensgruppen häufig, ebenso der Europäische Datenschutzausschuss.
Innerhalb einer Unternehmensgruppe liegen häufig viele Übermittlungssituationen, die teils als Auftragsverarbeitung und teils in gemeinsamer Verantwortung erfolgen. Es kann deshalb ratsam sein, statt vieler einzelner Verträge einen gesamtheitlichen Rahmenvertrag zu schließen, unter dem wiederum kurze Einzelverträge geschlossen werden können.
Die Analyse und Aufarbeitung der Übermittlungssituationen in Unternehmensgruppen kann – ebenso wie die Erstellung geeigneter Verträge – eine komplexe und aufwendige Angelegenheit sein. Wir und unsere Partnerkanzleien unterstützen Sie dabei gerne. Sprechen Sie uns an.