Datenübermittlung im Konzern: Gibt es ein Konzernprivileg nach DSGVO?

Letztes Update:
10
.
05
.
2021
Lesezeit:
0
Min
Die Datenübermittlung stellt Konzerne vor große Herausforderungen. Gibt es ein Konzernprivileg nach DSGVO? Lesen Sie, welche Regelungen im Bezug auf den Konzerndatenschutz gelten.
Datenübermittlung im Konzern: Gibt es ein Konzernprivileg nach DSGVO?
Die wichtigsten Erkenntnisse
  • Kein Konzernprivileg nach DSGVO, aber "kleines Konzernprivileg" erlaubt gemeinsamen Datenschutzbeauftragten.
  • Internationale Konzerne müssen verschiedene Datenschutzgesetze wie DSGVO, CCPA und APPI beachten.
  • Datenübermittlung innerhalb des Konzerns bedarf einer Rechtsgrundlage und muss DSGVO-konform sein.
  • Koordinatorenmodell: Einzelne Datenschutzbeauftragte je Unternehmen plus zentraler Konzerndatenschutzbeauftragter.
  • Interne Verwaltungszwecke können Datenübermittlung rechtfertigen, müssen aber gut dokumentiert sein.

Die Einhaltung der Vorgaben des Datenschutzes bei der Datenverarbeitung bringt für Konzerne zusätzliche Herausforderungen mit sich als für kleine und mittlere Unternehmen oder Freelancer:innen. Unter einem Konzerndach sind in aller Regel verschiedene rechtlich eigenständige Unternehmen verbunden, die zudem häufig international agieren. Das macht die Datenübermittlung im Konzern besonders komplex. Dem gegenüber stehen hohe Strafen auf Verstöße gegen das Datenschutzrecht: Diese können mit Bußgeldern von bis zu 4 % des Brutto-Jahresumsatzes geahndet werden.
 

Datenverarbeitung im Konzern: Gibt es ein Konzern-Privileg nach der DSGVO für große Unternehmen?

Für Konzerne ist die Einhaltung von datenschutzrechlichen Vorgaben eine anspruchsvolle Aufgabe. Die Zusammenarbeit und die datenschutzrechtliche Harmonisierung der verschiedenen Unternehmensbereiche beim Umgang mit personenbezogenen Daten erfordern nicht nur umfassende Sachkenntnisse. Sie stellen auch hohe kommunikative und koordinative Anforderungen an die verantwortlichen Personen.

In anderen Rechtsfeldern tragen Konzernprivilegien den besonderen Ansprüchen großer Unternehmen Rechnung und sehen hier Erleichterungen und Privilegien vor. Besonders im Steuerrecht gibt es für Konzerne unterschiedliche Sonderregelungen. Die DSGVO sieht jedoch kein Konzernprivileg vor. Und so bleiben die Herausforderungen für große Unternehmen bei der Einhaltung von datenschutzrechtlichen Vorgaben bestehen.
 

Datenübermittlung: Best-Practice-Lösungen auch ohne Datenschutz-Konzernprivileg

Der Datenschutz wird weltweit unterschiedlich geregelt. Das hat zur Folge, dass große Konzerne, die international agieren, gleichzeitig verschiedene Datenschutzvorschriften beachten müssen – das betrifft alle Daten innerhalb der Unternehmensgruppe: Während in Europa die Datenschutz-Grundverordnung (DSGVO) gilt, müssen beispielsweise in Kalifornien der California Consumer Privacy Act (CCPA) oder in Japan der Act on the Protection of Personal Information (APPI) beachtet werden. Die internationalen Gesetze weichen dabei zum Teil stark von der in Europa geltenden DSGVO ab.

Aber nicht nur die Beseitigung von globalen Gesetzeskonflikten („conflict of laws“) stellt für Konzerne eine Herausforderung bei der Datenübermittlung dar. Die innerhalb des Konzerns verbundenen Firmen sind rechtlich selbständige Unternehmen. Im datenschutzrechtlichen Sinne werden die verschiedenen Gesellschaften des Konzerns also als „Dritte“ angesehen. Deshalb ist bei der Übermittlung und Verarbeitung personenbezogener Daten von Kunden und Beschäftigten innerhalb des Konzerns besondere Vorsicht geboten.
 

Zusammenarbeit der Datenschutzbeauftragten und Koordination des konzernübergreifenden Datenschutzes

Die DSGVO hält für große Unternehmen kein generelles Konzernprivileg bereit. Es gibt jedoch Best-Practice-Lösungen, wie der Schutz personenbezogener Daten in Konzernen DSGVO-konform gestaltet werden kann. Insbesondere das „Koordinatorenmodell“ hat sich in der Praxis bewährt. Dabei hat jedes Konzernunternehmen eine:n eigene:n Datenschutzbeauftragte:n, der für alle Fragen des jeweiligen Unternehmens zuständig ist und die Erreichbarkeit vor Ort garantiert. Zusätzlich kann ein:e Konzerndatenschutzbeauftragte:r bestellt werden, die / der die konzernübergreifenden Abläufe koordiniert und überwacht. Er / sie klärt Mitarbeiter:innen und externe Dienstleister:innen über ihre Pflichten bei der Datenverarbeitung auf und ist Ansprechpartner für die Aufsichtsbehörde. Möglich macht diese Lösung das „kleine Konzernprivileg“ der DSGVO.
 

„Kleines Konzernprivileg“ der DSGVO

Auch wenn nach DSGVO kein umfassendes Konzernprivileg vorgesehen ist, gibt es für Unternehmensgruppen doch ein paar Erleichterungen. Dieses „kleine Konzernprivileg“ erlaubt zum Beispiel die Bestellung eines / einer gemeinsamen Kozerndatenschutzbeauftragten.

Auch die Übermittlung personenbezogener Daten von Kund:innen und Mitarbeiter:innen innerhalb des Konzerns ist nach Art. 6 Abs. 1 Satz 1 lit. f der DSGVO in bestimmten Fällen berechtigt. Hierzu zählen zum Beispiel interne Verwaltungszwecke. Die Entscheidung zu solchen Datenübermittlungen sollte jedoch gut abgewogen und dokumentiert sein, um Bußgeldern aufgrund der Vorschriften der DSGVO vorzubeugen.
 

Das gilt es zu beachten: Datenschutzkonformer Datentransfer im Konzern

Für den Datenaustausch innerhalb des Konzerns bedarf es immer einer Rechtsgrundlage zur Übermittlung personenbezogener Daten nach der DSGVO. Insofern die Datenübermittlung außerhalb der Europäischen Union erfolgt, muss ein angemessenes Datenschutzniveau gewährleistet werden, das den Standards der DSGVO entspricht. Dabei sollte stets sichergestellt sein, dass personenbezogene Daten während ihres Transportes zum Beispiel per E-Mail oder Fax nicht von Unbefugten gelesen und verarbeitet werden können. Die DSGVO bestimmt zudem, dass personenbezogene Daten nach einem bestimmten Zeitraum gelöscht werden müssen. Grundsätzlich müssen alle datenschutzrechtlichen Regelungen der DSGVO nicht nur eingehalten, sondern auch lückenlos nachweisbar sein.

Die Datenübermittlung stellt Konzerne datenschutzrechtlich vor besonders große Herausforderungen. Unterschiedliche internationale Standards müssen mit der aktuellen Rechtsprechung, dem nationalen Datenschutzrecht und schutzwürdigen Interessen von Betroffenen vereint werden. Der Austausch und die Verarbeitung personenbezogener Daten zwischen den Tochterunternehmen eines Konzerns erfordern gut strukturierte Prozesse.

Auch wenn die DSGVO kein Konzernprivileg vorsieht, gibt es im Rahmen des „kleinen Konzernprivilegs“ doch Erleichterungen für große Unternehmen: Der Einsatz eines zentralen Konzerndatenschutzbeauftragten ist hierbei essentiell.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!