Unternehmensgruppen bzw. Konzerne werden durch den Datenschutz oft vor größere Herausforderungen gestellt als Einzelunternehmen, insbesondere bei internationalen Unternehmensstrukturen. FIDES erläutert Ihnen, worauf Sie bei der Datenverarbeitung in Konzernen achten müssen und welche Gestaltungsmöglichkeiten es gibt.

Die Datenverarbeitung in Unternehmensgruppen (bzw. in Konzernen, im Folgenden verwenden wir diese Begriffe synonym) und die damit einhergehenden Verpflichtungen zur Erfüllung der rechtlichen Anforderungen aus dem Datenschutz stellen bisweilen große Herausforderungen für Unternehmen dar. Sei es durch länderübergreifende Strukturen, in welchen globalisierte Teams zusammenarbeiten und Daten austauschen oder durch eine zentrale Verwaltung - der Austausch von personenbezogenen Daten ist in Unternehmensgruppen ein alltäglicher und unerlässlicher Prozess, der jedoch bei der Ausgestaltung besonderes Augenmaß erfordert. 

Datenschutzrechtlich werden Unternehmensgruppen nicht als zusammenhängende Einheit betrachtet. Stattdessen gilt jede Gesellschaft, die Teil einer Unternehmensgruppe ist, für sich genommen als verantwortliche Stelle. Gemäß der EU-Datenschutzgrundverordnung (DSGVO) ist der Begriff der Unternehmensgruppe, ähnlich wie in § 18 Aktiengesetz, recht weit gefasst und umfasst eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

Der Datenaustausch innerhalb einer Unternehmensgruppe muss somit den gleichen Anforderungen genügen, wie eine Übermittlung zwischen fremden Unternehmen. Gemäß DSGVO muss eine eigenständige Rechtsgrundlage bestehen, wenn zwischen den einzelnen Einheiten einer Unternehmensgruppe personenbezogene Daten ausgetauscht werden.
 

Systematik der Rechtsgrundlagen im Datenschutz

Verbot mit Erlaubnisvorbehalt
Gemäß DSGVO gilt für die Verarbeitung personenbezogener Daten generell ein "Verbot mit Erlaubnisvorbehalt", d. h. die Verarbeitung ist unzulässig, solange nicht eine wirksame Rechtsgrundlage besteht. Dies führt regelmäßig zu Missverständnissen oder wird nicht hinreichend berücksichtigt. So zeigt sich etwa bei aktuellen Auswertungen der in der EU verhängten Datenschutz-Bußgelder, dass einer der Hauptgründe für die Verhängung eines Bußgelds auf Grundlage der DSGVO neben ungenügenden technischen und organisatorischen Schutzmaßnahmen das Fehlen einer angemessenen datenschutzrechtlichen Rechtsgrundlage ist. 

Mehrstufige Rechtsgrundlagen
Für die Verarbeitung von personenbezogenen Daten werden gemäß DSGVO bis zu drei eigenständige Rechtsgrundlagen im Sinne von Art. 6 DSGVO benötigt: 

Stufe 1: Generell benötigt die verantwortliche Stelle eine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten der betroffenen Person(en).
Stufe 2: Für die Übermittlung an Dritte, etwa andere Unternehmen (auch an andere Gesellschaften innerhalb der gleichen Unternehmensgruppe), wird eine zusätzliche, eigenständige Rechtsgrundlage benötigt.
Stufe 3: Werden darüber hinaus personenbezogene Daten an Stellen ins Ausland außerhalb der EU (Drittländer) übermittelt, ist hierfür eine weitere eigenständige Rechtsgrundlage erforderlich.

Auf dieser datenschutzrechtlichen Basis sind die Grundlagen für die Verarbeitung innerhalb einer Unternehmensgruppe auszugestalten.
 

Gestaltungsmöglichkeiten der Konzernverarbeitung

Die Rechtsgrundlage im Verhältnis zur betroffenen Person (Stufe 1) ist generell bei jeder datenschutzrelevanten Verarbeitung bzw. Übermittlung zu betrachten, folglich auch in der Konzernverarbeitung. Interessant für die Verarbeitung im Konzern wird es ab Stufe 2, d. h. bei der Rechtsgrundlage für die Übermittlung an andere Konzernunternehmen (über internationale Datentransfers bzw. die Stufe 3 sprechen wir im Anschluss). Übermittlungen zwischen Konzernunternehmen im europäischen Inland erfolgen vornehmlich auf Basis der folgenden Rechtsgrundlagen:

  • Auftragsverarbeitung
  • Gemeinsame Verantwortlichkeit
  • Verarbeitung auf Grundlage eines "berechtigten Interesses" (sog. "kleines Konzernprivileg")

Auftragsverarbeitung
Auftragsverarbeitung liegt gemäß Art. 28 DSGVO dann vor, wenn personenbezogene Daten nach strikter Weisung des Auftraggebers von einem Dienstleister, dem Auftragsverarbeiter, verarbeitet werden. Der Auftraggeber gibt somit die Zwecke und Mittel der Verarbeitung vor, der Auftragsverarbeiter darf die Daten dann nicht zu eigenen Zwecken (bspw. Werbung, Analyse) verarbeiten. Typische Beispiele für Auftragsverarbeitung sind u. a. der IT-Betrieb oder das Hosting von Web-, Cloud- bzw. IT-Diensten. 

Wesentliche Voraussetzung für die Auftragsverarbeitung ist der Abschluss eines Auftragsverarbeitungsvertrags, welcher die Rechte und Pflichten beider Vertragsparteien, bspw. in Form zu treffender Schutzmaßnahmen bei der Datenverarbeitung regelt. In einem Konzern könnte bspw. ein zentral in der Holding angesiedelter IT-Betrieb als Auftragsverarbeitung abgebildet werden. Die Holding tritt in diesem Fall als Dienstleister gegenüber den Tochtergesellschaften auf. Zu prüfen und ggf. zu adressieren wäre dann u. a. ein möglicher Weisungskonflikt zwischen der Holding als herrschendem Unternehmen und den abhängigen Unternehmen, welche im Auftragsverarbeitungsverhältnis jedoch die Rolle des Auftraggebers einnehmen.

Gemeinsam Verantwortliche
Soll die Verarbeitung zwischen zwei Parteien erfolgen, der Datenverarbeiter aber eigene Zwecke verfolgen darf, so kann dies auf der Grundlage einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO gestaltet werden. Hierzu wird - vergleichbar mit der Auftragsverarbeitung - eine Vereinbarung über die gemeinsame Verantwortlichkeit zugrunde gelegt, in welcher transparent festzulegen ist, welche Vertragspartei welche datenschutzrechtlichen Verpflichtungen gemäß der DSGVO zu erfüllen hat. Zu regeln ist beispielsweise, wer für die Wahrnehmung der Rechte der betroffenen Person(en) und die Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO verantwortlich ist. Art. 26 DSGVO stellt in diesem Zusammenhang nicht eine eigenständige Rechtsgrundlage dar, sondern regelt nur die Ausgestaltung der Verarbeitung. Rechtsgrundlage ist i. d. R. das "berechtigte Interesse" gemäß Art. 6 Abs. 1 lit. f DSGVO. Folglich muss zusätzlich zu dem Vertrag über die gemeinsame Verarbeitung eine Güterabwägung durchgeführt werden, welche die berechtigten Interessen der Verarbeiter den schutzwürdigen Belangen der betroffenen Personen gegenüberstellt.

Das "kleine Konzernprivileg"
Eine Unternehmensgruppe wird in Art. 4 Nr. 19 DSGVO als eine Gruppe definiert, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Im nationalen Recht findet sich eine vergleichbare Formulierung in § 18 AktG (wobei das Aktiengesetz, anders als die DSGVO von einem Konzern anstelle einer Unternehmensgruppe spricht).

Der zu internen Verwaltungszwecken erfolgende Datenaustausch innerhalb einer Unternehmensgruppe innerhalb der EU kann unter bestimmten Voraussetzungen gemäß Art. 6 Abs. 1 lit. f i.V.m. Erwägungsgrund (EG) 48 DSGVO als „berechtigtes Interesse“ privilegiert sein. Die Rede ist dann vom sog. "kleinen" Konzernprivileg, zumal die DSGVO die grundsätzliche Möglichkeit einer entsprechenden Verarbeitung in EG 48 nennt, jedoch keine eigenständige Rechtsgrundlage dafür schafft. Beispiele für solche Verwaltungszwecke sind u. a.:

  • Der Betrieb einer zentralisierten, unternehmensübergreifenden Personalverwaltung, welche alle wesentlichen Aufgaben des Personalmanagements umfasst.
  • Der Datenaustausch von Beschäftigtendaten in einer Matrixorganisation.

EG 48 DSGVO stellt den Datenaustausch innerhalb des Konzerns nicht von datenschutzrechtlichen Anforderungen frei. Die folgenden Anforderungen und Maßnahmen sind einzuhalten bzw. umzusetzen:

  • Die Konzernverarbeitung erfolgt ausschließlich für konzerninterne Verwaltungszwecke, wie bspw. die Personalverwaltung und Personalplanung.
  • Eine Güterabwägung der berechtigten Interessen des Unternehmens gegenüber den schutzwürdigen Belangen der Betroffenen im Sinne von EG 47 S. 3 DSGVO (Interessenabwägung) ist durchzuführen und zu dokumentieren.
  • Der Datenaustausch muss transparent gegenüber allen Mitarbeitern kommuniziert werden. Dies sollte zumindest mittels eines Informationsblattes gemäß Art. 13 DSGVO erfolgen.
  • Der Datenaustausch sowie die in diesem Zusammenhang erfolgende Speicherung und Verarbeitung muss im Hinblick auf Art und Umfang der übermittelten bzw. verarbeiteten Daten durch angemessene technische und organisatorische Schutzmaßnahmen geschützt sein.

Internationaler Datenaustausch innerhalb eines Konzerns

Für den Transfer an Konzernunternehmen in Drittstaaten, wie beispielweise den USA, sind zusätzlich die Anforderungen aus Art. 44 ff. i.V.m. EG 48 S. 2 DSGVO einzuhalten. Dies soll gemäß Art. 44 S. 2 DSGVO sicherstellen, „dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird“. Dies beinhaltet insbesondere die Sicherstellung einer eigenständigen Rechtsgrundlage für die Übermittlung in Drittstaaten. Ohne eine solche weitere Rechtsgrundlage darf die Verarbeitung mithin ausschließlich innerhalb der EU stattfinden. Beispielhaft zu nennen sind u. a. die folgenden Rechtsgrundlagen, die wir anschließend erläutern:

  • Ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO der EU-Kommission über das Datenschutzniveau im Empfängerland,
  • die Verwendung von EU-Standarddatenschutzklauseln (Standard Contractual Clauses, SCC), Art. 46 DSGVO,
  • verbindliche Unternehmensvorschriften (Binding Corporate Rules, BCR), Art. 46 Abs. 2 lit. b i.V.m. Art. 47 DSGVO,
  • genehmigte Verhaltensregeln (Codes of Conduct), Art. 40 DSGVO und
  • Ausnahmen für bestimmte Fälle, Art. 49 DSGVO.

Angemessenheitsbeschluss
In diesem Fall wird durch die EU-Kommission ein Angemessenheitsbeschluss erlassen, wonach das Schutzniveau beim Empfänger mit dem in der EU gemäß DSGVO bestehenden als vergleichbar eingestuft wird. Eine Datenübertragung kann dann (vorausgesetzt, die Rechtsgrundlagen auf den Stufen 1 und 2 bestehen) nach den gleichen Regeln wie innerhalb der EU erfolgen.

EU-Standarddatenschutzklauseln
Nach dem Wegfall des Privacy Shields durch das EuGH-Urteil vom 16. Juli 2020 (Az: C-311/18) bilden die EU-Standarddatenschutzklauseln nach wie vor eine der wichtigsten Rechtsgrundlagen für internationale Datentransfers. Gemäß dem zuvor genannten Urteil ist bei der Verwendung der Standarddatenschutzklauseln jedoch zukünftig ergänzend sicherzustellen, dass 

  • beim Empfänger angemessene technische und organisatorische Schutzmaßnahmen getroffen und wirksam umgesetzt wurden und
  • sich aus dem im Land des Empfängers geltenden Recht keine Gründe ergeben, welche einer Erfüllung der Standarddatenschutzklauseln entgegenstehen. Dies könnte bspw. der Fall sein, wenn im Empfängerland geltendes Recht im Widerspruch zu einzelnen Vereinbarungen der Standarddatenschutzklauseln steht und deshalb der Vertrag möglicherweise vom Empfänger nicht eingehalten werden kann. Aktuell steht diese Thematik bspw. im Zusammenhang mit Übermittlungen in die USA bzw. der Tätigkeit von US-Dienstleistern im Zusammenhang mit dem US-Cloud Act im Fokus. Nach herrschender Meinung ist davon auszugehen, dass durch den US-Cloud Act begründete behördliche Herausgabeansprüche personenbezogener Daten im Geltungsbereich der DSGVO im Widerspruch zu den Vorschriften des Art. 48 DSGVO stehen.

Wie beim Abschluss eines Auftragsverarbeitungsvertrags ist ein Vertragsabschluss allein insofern zumeist nicht als ausreichend zu betrachten. 

Aktuelle Entwicklung der EU-Standarddatenschutzklauseln
Die EU-Kommission hat Ende 2020 Entwürfe für neue EU-Standarddatenschutzklauseln veröffentlicht. Diese berücksichtigen u. a. die Rechtsprechung des EuGH im Fall Schrems II. Neben den Datenschutzklauseln für Drittlandstransfers gemäß Art. 46 DSGVO macht die EU-Kommission in dem vorliegenden Entwurf Gebrauch von der Option gemäß Art. 28 Abs. 7 DSGVO, Standardvertragsklauseln für die Regelung von Auftragsverarbeitungen zu verabschieden. Damit soll erstmals ein europaweiter Standard für die diesbezüglich gemäß DSGVO geforderte vertragliche Regelung geschaffen werden. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte haben im Januar 2021 eine gemeinsame Stellungnahme zu den Entwürfen beschlossen. Eine Veröffentlichung soll in Kürze über die Webseite des EDSA erfolgen. 

Verbindliche Unternehmensvorschriften (Binding Corporate Rules)

Binding Corporate Rules (BCR) sind bindende Unternehmensrichtlinien, durch welche Datenübermittlungen zwischen gruppenangehörigen Unternehmen datenschutzrechtlich legitimiert sind. Die BCRs als solche stehen jedoch unter einem Genehmigungsvorbehalt durch die zuständige Aufsichtsbehörde, welche wiederum das Kohärenzverfahren nach Art. 63 DSGVO anzuwenden hat. Aufgrund des folglich nicht unerheblichen Vorbereitungsaufwands scheuen viele Konzerne den Abschluss von BCRs, wenngleich auf diesem Weg eine erhöhte Rechtssicherheit für die datenschutzkonforme Übertragung erzielt werden kann.

Genehmigte Verhaltensregeln (Codes of Conduct)

Genehmigte Verhaltensregeln können von Branchenverbänden oder Vereinigungen aufgestellt werden und müssen insbesondere Rechtsschutzmöglichkeiten für die Betroffenen der Datenverarbeitung umfassen. Sie können darüber hinaus auch Regelungen zur Vereinheitlichung von Datenverarbeitungsverfahren beinhalten und somit für die Branchenunternehmen Vereinfachungen bei der Umsetzung datenschutzrechtlicher Vorschriften ermöglichen. Voraussetzungen für die Nutzung von genehmigten Verhaltensregeln sind die Zugehörigkeit der Unternehmensgruppe zur betreffenden Branche sowie die nachweisliche Einhaltung der Regeln.

Genehmigte Verhaltensregeln sind gemäß Art. 40 Abs. 5 DSGVO der zuständigen Aufsichtsbehörde zur Prüfung vorzulegen und von dieser zu genehmigen, bevor sie verwendet werden dürfen. 

Ausnahmen für bestimmte Fälle

Eine Übermittlung personenbezogener Daten in ein Drittland ist des Weiteren unter den Ausnahmeregelungen des Art. 49 DSGVO möglich. Hier sind u. a. die nachfolgenden Ausnahmen ggf. einschlägig:

  • Eine ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 Satz 1 lit. a DSGVO. 
  • Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich, Art. 49 Abs. 1 Satz 1 lit. b DSGVO.
  • Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich, Art. 49 Abs. 1 Satz 1 lit. c DSGVO.

Rechtliche Vorschriften beim Empfänger

Internationale Konzerne müssen sich, neben den datenschutzrechtlichen Anforderungen der DSGVO, auch mit den jeweils geltenden Datenschutzvorschriften in den Ländern, in welchen der Konzern Niederlassungen betreibt, auseinandersetzen. Daraus können sich, ergänzend zur DSGVO, weitere oder abweichende Anforderungen ergeben, wie bspw. im Fall des California Consumer Privacy Act (CCPA). Des Weiteren kann es zu Konflikten zwischen dem Recht im Land des Senders und des Empfängers kommen, wie im bereits erwähnten Fall der DSGVO und des US Cloud Acts. 

Fazit

Die Datenschutzgrundverordnung bietet umfangreiche Möglichkeiten für die datenschutzkonforme Gestaltung von konzerninternen Datenverarbeitungsprozessen, sowohl innerhalb der EU als auch im internationalen Umfeld. Zu unterscheiden ist zum einen zwischen den Rechtsgrundlagen für die Übermittlung personenbezogener Daten zwischen verschiedenen Konzerngesellschaften, zum anderen bezüglich ergänzender Rechtsgrundlagen für den Drittlandstransfer. Durch das "kleine Konzernprivileg" können - innerhalb der EU und abhängig von der Konzernstruktur - umfassende vertragliche Regelungen oft vermieden werden. Darüber hinaus sind jedoch im Einzelfall weitere Fragen zu beantworten, bspw. hinsichtlich einer etwaigen Rechtsgrundlage für die Verarbeitung besonders sensibler Daten im Konzernumfeld. Schlussendlich stellt die Festlegung der Rechtsgrundlage lediglich den notwendigen Anfang der datenschutzkonformen Ausgestaltung von Konzernprozessen dar und wird flankiert von umfassenden Organisations-, Dokumentations- und Transparenzpflichten, welche beispielsweise die Gestaltung angemessener technischer und organisatorischer Schutzmaßnahmen, ein gut gepflegtes Verarbeitungsverzeichnis sowie Datenschutz- und Informationssicherheitsrichtlinien betreffen. Insbesondere mittelständische und größere Konzerne werden zudem häufig zum Ziel von Cyberangriffen, so dass die Umsetzung wirksamer IT-Sicherheitsmaßnahmen nicht nur dem Datenschutz dient, sondern auch dem Schutz und der Aufrechterhaltung des Geschäftsbetriebs.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: