Datenschutz in Konzernen

Nach der DSGVO werden Unternehmen, die Teil eines Konzerns sind, nicht als eine einheitliche speichernde Stelle, sondern als eigenständige Einheiten behandelt. Ein Konzernprivileg kennt das europäische Datenschutzrecht somit grundsätzlich nicht. Daher dürfen Daten nicht ohne Weiteres innerhalb dieses Verbunds weitergegeben werden.  Grundsätzlich müssen immer die Voraussetzungen einer gesetzlich gerechtfertigten Datenübermittlung oder einer Auftragsverarbeitung, vorliegen. Das betrifft insbesondere die gemeinsame Nutzung von Datenbeständen durch mehrere Unternehmen eines Verbunds, die zentral verwaltet werden. Aber auch das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung ist datenschutzrechtlich eine Datenübermittlung.

Das „kleine Konzernprivileg“ nach DSGVO

Die DSGVO enthält eine Definition des Begriffs Konzern in Art. 4 Nr. 19 DSGVO. Gegenüber der bisherigen Rechtslage bringt die DSGVO eine Erleichterung für die konzerninterne Datenübermittlung mit sich, denn „interne Verwaltungszwecke“ werden für den Konzern als berechtigtes Interesse einer Übermittlung nach Art. 6 Abs. 1 lit. f DSGVO anerkannt und auch als „kleines Konzernprivileg“ bezeichnet.

Innerhalb Europas ist eine Übermittlung personenbezogenen Daten regelmäßig zulässig, wenn die Übermittlung für die Vertragsdurchführung mit dem Betroffenen erforderlich ist, der Betroffene in die Datenübermittlung einwilligt oder die berechtigten Interessen des Unternehmens schwerer wiegen als die schutzwürdigen Interessen der Betroffenen. Datenübermittlungen in Nicht-EU-Länder (sog. Drittstaaten) sind weiterhin wie bisher zulässig. Es wird entweder einer Angemessenheitsentscheidung der EU-Kommission benötigt, wobei eine solche für folgende Länder ergangen ist:  Andorra, Argentinien – nur für private Stellen -, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Men, Jersey, Neuseeland und Uruguay. Bei der Übermittlung in die USA muss eine Registrierung des Datenempfängers nach dem EU-US Privacy Shield erfolgen. Eine weitere Möglichkeit ist die Verwendung von sog.  EU-Standardvertragsklauseln oder verbindlichen Unternehmensrichtlinien („Binding Corporate Rules“).

In allen anderen Fällen bedarf es einer ausdrücklichen Einwilligung des Betroffenen in den internationalen Datentransfer oder des Vorliegens eines anderen der in Art. 49 Abs. 1 DSGVO genannten Ausnahmegründe. 

Für Fragen aus diesem Bereich sind wir gerne beratend tätig. Wir freuen uns auf Ihre Anfrage.

Wir freuen uns auf Ihre Anfrage

Gerne stellen wir Ihnen unsere digitalen Lösungen persönlich vor.

LexDidacta GmbH

Julius-Hatry-Straße 1, 68163 Mannheim

Tel: +49 621 – 377036 70
Mail: info@lexdidacta.de

Oder Nutzen Sie unser Kontaktformular