Logo der activeMind AG

Datenübermittlung zwischen Unternehmen (Anleitung)

Inhalt

Die Übermittlung personenbezogener Daten zwischen Unternehmen ist ein alltäglicher Prozess – sei es zwischen unabhängigen Unternehmen oder den Einheiten eines Konzerns bzw. einer Unternehmensgruppe. Unsere Anleitung zeigt Ihnen, wie Sie den rechtlichen Rahmen der Datenschutz-Grundverordnung (DSGVO) erfüllen. Denn besonders bei verbundenen Unternehmen bzw. innerhalb von Konzernen können komplexe datenschutzrechtliche Regelungen sinnvoll oder gar notwendig sein.

Verschiedene Arten von Datentransfer

Die Übermittlung von personenbezogenen Daten zwischen Unternehmen lässt sich in drei Arten einteilen:

  1. Die Übermittlung an einen Dritten, der die Daten als eigenständiger Verantwortlicher verarbeitet.
  2. Die Verarbeitung findet aufgrund einer gemeinsamen Verantwortlichkeit statt.
  3. Die Übermittlung an einen weisungsgebundenen Dienstleister, der als Auftragsverarbeiter für den Verantwortlichen tätig wird.

An jede dieser Varianten knüpfen sich andere Rechtsfolgen, weshalb die im fraglichen Einzelfall vorliegende Art der Übermittlung zu bestimmen ist.

Bei den ersten beiden Punkten gibt es nur Verantwortliche, worunter die DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle fasst, die allein (Punkt 1) oder gemeinsam (Punkt 2) mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn eine Stelle nicht über Zwecke und Mittel entscheidet, sondern diese vorgegeben bekommt – sprich weisungsgebunden ist – liegt der Fall von Punkt 3 vor. Die DSGVO spricht dann von Auftragsverarbeitung. Näheres zu dieser Unterscheidung erfahren Sie in unserem Artikel über DSGVO-konforme Verarbeitung im Auftrag.

Konzernprivileg und kleines Konzernprivileg

Ob die Übermittlung dabei zwischen voneinander unabhängigen Unternehmen oder innerhalb einer Unternehmensgruppe bzw. eines Konzerns stattfindet, spielt dabei (zunächst) keine Rolle. Maßgeblich für die Beurteilung ist das Bestehen mehrerer juristischer Personen, nicht deren Verhältnis zueinander.

Ein sog. Konzernprivileg, welches eine Sondersituation statuieren würde, kennt die DSGVO nicht. Lediglich kleinere Erleichterungen knüpfen an das Bestehen einer Unternehmensgruppe an. Dabei spricht man dann vom „kleinen Konzernprivileg“. Dieses umfasst zum Beispiel die Bestellung eines Konzerndatenschutzbeauftragten oder gibt Punkte für die Interessensabwägung im Rahmen des berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vor. Insbesondere Letzteres wird im Folgenden relevant.

Die Voraussetzungen für das kleine Konzernprivileg liegen nach Art. 4 Nr. 19 DSGSVO vor, sobald ein „herrschendes“ und ein „abhängiges“ Unternehmen vorliegen. Erwägungsgrund 37 DSGVO besagt, dass dieses Verhältnis weit auszulegen ist, weshalb der Fall schon durch das Bestehen eines faktischen Beherrschungsverhältnis gegeben ist. Auf einen bestimmten gesellschaftsrechtlichen Status, z.B. den Vertragskonzernstatus des Aktienrechts, kommt es nicht an. Maßstab ist der mögliche beherrschende Einfluss auf die Datenverarbeitung (Näheres zum Unternehmensbegriff finden Sie zudem in diesem Artikel).

Rechtskonformer Datentransfer

Sobald ermittelt ist, welche Art von Datentransfer vorliegt, ergibt sich daraus die rechtlich gebotene Vorgehensweise. Grundsätzlich bedarf eine Verarbeitung personenbezogener Daten immer einer gesetzlichen Erlaubnis, da die DSGVO ein Verbot mit Erlaubnisvorbehalt aufstellt, d.h. was nicht ausdrücklich erlaubt ist, ist verboten.

Transfer Verantwortlicher zu Verantwortlicher

Beim Transfer von Daten zwischen zwei Verantwortlichen läuft es in der Regel auf eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 DSGVO hinaus, wobei als Erlaubnistatbestand meist die Verarbeitung auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO in Frage kommt. Bei der Abwägung ob ein berechtigtes Interesse besteht, spielt die Zugehörigkeit zu einer Unternehmensgruppe eine Rolle. Es greift das oben erwähnte kleine Konzernprivileg.

Erwägungsgrund 48 DSGVO besagt:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“

Die Konzernstellung verschiebt die Interessensabwägung zugunsten des Unternehmens. Im Grunde bleiben die Voraussetzungen für die Bejahung eines berechtigten Interesses aber gleich. Insbesondere bedarf es einer Erforderlichkeit für die Übermittlung. Die Erforderlichkeit ist nicht schon deshalb gegeben, weil den Unternehmen ein Beherrschungsverhältnis zugrunde liegt. Bei einem Großteil der Übermittlung von personenbezogenen Daten zwischen Konzernunternehmen wird die Interessensabwägung aber positiv ausfallen und man sollte sie auf das berechtigte Interesse stützen können. Es ist aber trotzdem immer eine Einzelfallwürdigung nötig. Eine pauschale Behauptung, das Interesse würde bestehen, ist nicht möglich.

Die Interessenabwägung kann auch noch weiter positiv beeinflusst werden: Eine praxisnahe Möglichkeit, um die Interessengewichtung zugunsten des Verantwortlichen zu verschieben, wird zum Teil in konzerninternen Datenschutzverträgen gesehen. Es handelt sich dabei nicht um ein explizites Mittel der DSGVO, sondern um eine an andere Maßnahmen angelehnte Möglichkeit, deren Einfluss nicht über die Interessenabwägung hinausgehen kann. Solche konzerninternen Datenschutzverträge können Schutzmaßnahmen zur Gewährleistung eines erhöhten Datenschutzniveaus – wie beispielsweise technische und organisatorische Maßnahmen – festschreiben und so dazu beitragen, dass die Beeinträchtigung der Rechte und Interessen von betroffenen Personen weniger intensiv ist und diese im Rahmen der Interessenabwägung weniger stark gewichtet werden.

Wie oben erwähnt, enthält die DSGVO – abseits der Regelungen zur Auftragsverarbeitung und beim Drittlandtransfer – keine Vorgaben für Datenschutzvereinbarungen zur Absicherung konzerninterner Datenübermittlungen. Für die Erstellung eines solchen Vertrages können jedoch die Vorgaben für solche Regelungen als Orientierung herangezogen werden.

Entscheidungserheblich, ob ein solches Interesse vorliegt, kann auch die Art der Daten sein. Für die Übermittlung von Kundendaten wird die Abwägung im Rahmen des überwiegenden berechtigten Interesses eher zugunsten des Unternehmens ausfallen, bei Beschäftigtendaten ist ein höherer Maßstab an die Übermittlungsvoraussetzungen anzulegen.

Da die strenge Zweckbindung auch im Rahmen der Übermittlung von personenbezogenen Daten zu beachten ist, dürfen die übermittelten Daten nur zu dem Zweck verarbeitet werden, welcher das festgestellte berechtigte Interesse begründet. Für eine etwaige Weiterverarbeitung dieser Daten wird eine hiervon losgelöste Rechtsgrundlage benötigt.

Gemeinsame Verantwortlichkeit

Die Verarbeitung kann auch im Rahmen einer gemeinsamen Verantwortlichkeit (Joint Control) erfolgen, wenn die Zwecke und Mittel der Verarbeitung gemeinsam festgesetzt werden. Dann bedarf es sowohl einer Rechtsgrundlage nach Art. 6 Abs. 1 Satz 1 DSGVO als auch eines Vertrags zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement).

Transfer Verantwortlicher zu Auftragsverarbeiter

Sofern die Voraussetzungen für eine Auftragsverarbeitung vorliegen, bedarf es keiner extra Erlaubnis nach Art. 6 Abs. 1 Satz 1 DSGVO für die Übermittlung. Dies ist der Fall, wenn eine Weisungsbefugnis in eine Richtung besteht, d.h. ein Unternehmen die Zwecke und Mittel der Verarbeitung festlegt und das andere die Verarbeitung entsprechend für dieses ausführt. Es ist dann jedoch ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Wie das funktioniert finden Sie ausführlich in einem eigenen Artikel erläutert.

Besonderheiten bei einem Drittlandstransfer

Handelt es sich um eine Übertragung von personenbezogenen Daten in ein Drittland, für das kein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, schreibt die DSGVO zusätzliche Maßnahmen vor, die zu treffen sind. Zum Beispiel beim Transfer in die USA. Meist kommen dann die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO, seltener Binding Corporate Rules nach Art. 47 DSGVO zum Zuge.

Standardvertragsklauseln gibt es jeweils für den Transfer von Verantwortlichen zu anderen Verantwortlichen und für den Transfer von Verantwortlichen an Auftragsverarbeiter.

Informationspflichten und Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten

Auswirkungen hat die jeweilige Art des Transfers von personenbezogenen Daten auch auf die Informationspflichten nach Art. 13 und 14  DSGVO. Jeder Verantwortliche hat die von der Verarbeitung betroffenen Personen zu informieren. Ein Auftragsverarbeiter muss nicht informieren, da er nicht Verantwortlicher ist. Findet ein Datentransfer in ein unsicheres Drittland statt, ist über darüber und über die geeigneten Garantien zur Sicherheit des Transfers zu informieren.

Zudem ist die Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten, aufzunehmen. Dabei handelt es sich um eine Vorgabe aus Art. 30 DSGVO, die verpflichtend ist.

Fazit: Datentransfer von Anfang an DSGVO-konform gestalten

Übertragen Sie personenbezogene Daten an andere Unternehmen (auch innerhalb eines Konzerns oder einer Unternehmensgruppe), ist immer zu prüfen, warum und wie der Datentransfer stattfindet. Wenn die Umstände ermittelt sind, sind die entsprechend notwendigen Maßnahmen zu treffen (Interessenabwägung, Auftragsverarbeitungsvertrag, Joint-Controller-Agreement).

Auch Besonderheiten wie der Drittlandtransfer werden, gerade in großen Konzernen, schnell einmal übersehen. Aber gerade hier dürfen keine Fehler passieren. Über das Verzeichnis von Verarbeitungstätigkeiten können die Aufsichtsbehörden einfach und effektiv kontrollieren, ob die Vorschriften beachtet wurden. Bußgelder können sich dann am Konzernumsatz bemessen. Wer seine Übermittlungen von personenbezogenen Daten von Anfang an mit Blick auf die DSGVO gestaltet, beugt dem vor und kann dabei selbst Gestaltungsspielräume ausnutzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.