Logo der activeMind AG

Rechtsgrundlagen für den konzerninternen Datentransfer

Inhalt

Unternehmen innerhalb eines Konzerns übermitteln regelmäßig personenbezogene Daten an andere Konzerntöchter oder die Konzernmutter. Da es aus Sicht das Datenschutzes kein generelles Konzernprivileg gibt, bedarf es dafür einer Rechtsgrundlage. Doch für unterschiedliche Datenverarbeitungen eignen sich auch jeweils andere Rechtsgrundlagen. Wir verschaffen Ihnen einen Überblick.

Datenschutzrechtliche Voraussetzungen für Datentransfer im Konzern

Die Anzahl großer auch multinationaler Konzerne wächst weiter. Zugleich verstärken sich die Tendenzen zur konzernweit ausgerichteten Personalverwaltung und anderer in einer Matrixstruktur durchgeführter Verarbeitungstätigkeiten. Während Konzerne sich als wirtschaftliche Einheit verstehen, ist für das Datenschutzrecht das einzelne Unternehmen maßgeblich.

So definiert die EU-Datenschutz-Grundverordnung (DSGVO) einen Konzern bzw. eine Unternehmensgruppe in den Begriffsbestimmungen unter Art. 4 Nr. 19 DSGVO als „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

In Erwägungsgrund 48 DSGVO hält der Gesetzgeber fest, dass für den Austausch von personenbezogenen Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Einrichtungen, die einer zentralen Stelle zugeordnet sind, ein berechtigtes Interesse bestehen kann. Dies ist jedoch nicht gleichzusetzen mit einer grundsätzlichen Erlaubnis zum Datenaustausch. Es bedeutet lediglich, dass eine Übermittlung im Einzelfall und nach vorheriger Abwägung auf den Rechtsgrund des Art. 6 Abs. (1) f DSGVO gestützt werden kann.

Nichtsdestotrotz muss die konkrete Konstellation des Datenaustauschs stets hinterfragt werden. Der erste Schritt sollte immer die Frage nach der tatsächlichen Notwendigkeit der Übermittlung sein. Besteht eine solche, sollte dann hinterfragt werden, ob der Zweck auch mittels einer pseudonymen oder gar anonymisierten Verarbeitung durch eine Konzerngesellschaft auf gleiche Weise erreicht werden kann. Handelt es sich im Grunde nicht um eine konzerndimensionale Verarbeitung, im Zuge derer mehrere Unternehmen Zweck und oder Mittel bestimmen, bedarf es oftmals keiner Übermittlung von Klarnamen, ohne dass der eigentliche Zweck vereitelt würde. Vor diesem Hintergrund ist der Grundsatz der Datensparsamkeit nach Art. 5 DSGVO zu beachten – insbesondere auch im Konzernkontext.

Grundsätzlich entfaltet die Verarbeitung selbst konstituierende Wirkung für die daraufhin zu realisierende rechtliche Gestaltung. Bevor man sich an einen Rechtstext macht, der den Datenfluss innerhalb eines Konzerns vertraglich flankieren soll, muss also eruiert werden, wie die jeweiligen Verarbeitungstätigkeiten tatsächlich in der Praxis erfolgen.

Je nach konzerndimensionaler Realisierung oder getrennt nach Unternehmen, kommen mehrere Konstellationen in Frage:

“Auftragsverarbeitung”

Wird ein Konzernunternehmen als Auftragsverarbeiter für ein oder mehrere andere Konzernunternehmen im Rahmen einer Hilfsfunktion weisungsgebunden tätig, so sind Auftraggeber und Auftragnehmer im Verhältnis zueinander nicht Dritte. Der Auftraggeber bleibt Verantwortlicher und die Datenweitergabe zwischen beiden stellt keine bloße Übermittlung von personenbezogenen Daten dar. Dies ist im Konzernkontext dann der Fall, wenn eine Konzerngesellschaft als Dienstleistungsgesellschaft für den gesamten Konzern oder einzelne Einheiten fungiert. Eine Konzerndienstleistungsgesellschaft wird in der Regel als Auftragsverarbeiter für die anderen Konzerngesellschaften tätig.

Es ist nicht generell anzunehmen, dass eine Konzern- bzw. Muttergesellschaft als Auftragnehmer fungiert. In der Praxis kann auch der der Fall eintreten, dass die Konzernmutter eigenständige Nutzungsrechte an den vom zur Verfügung gestellten Daten haben will oder hinsichtlich einiger Verarbeitungstätigkeiten selbst Zwecke und Mittel der Verarbeitung bestimmt oder Einfluss darauf ausüben wird. Hier muss von einer anderen Konstellation ausgegangen werden, da die Konzernmutter unter Umständen die an sie übermittelten Daten entweder in eigener Verantwortlichkeit oder mit anderen Unternehmen gemeinschaftlich verarbeitet.

“Gemeinsame Verantwortlichkeit”

In Abgrenzung zur Verarbeitung im Auftrag, kommt bei einer gemeinschaftlichen Verarbeitung eine gemeinsame Verantwortlichkeit zwischen mehreren Verantwortlichen in Betracht. Der Unterschied zur zuvor genannten Konstellation ist, dass beide Parteien sowohl über Zwecke als auch Mittel der Verarbeitung bestimmen und so einen ursächlichen Beitrag für die Erfüllung des der Verarbeitung zugrundeliegenden Zweckes leisten.

In diesem Fall benötigen beide Verantwortliche eine Rechtsgrundlage. Dies kann im Rahmen von konzerndimensionalen Arbeitsverhältnissen zum Beispiel dann vorliegen, wenn verschiedene Konzernunternehmen einen Einfluss auf die Durchführung des Arbeitsverhältnisses haben, da dies im Arbeitsvertrag so vorgehsehen ist. Der einzige Unterschied ist, dass die Anforderungen aus dem Datenschutzrecht beide Verantwortliche treffen. Einzelne Pflichten können mittels Vertrags aufgeteilt werden. Gewinnbringend erscheint zum Beispiel, dass die sachnähere Unternehmenseinheit bestimmte organisatorische Maßnahmen für den anderen Verantwortlichen übernimmt. Alle Anforderungen ergeben sich aus Art. 26 DSGVO.

Siehe dazu auch unser gesonderter Ratgeber zur gemeinsamen Verarbeitung personenbezogener Daten (im Konzern).

“Bloße Datenübermittlung”

Wenn hingegen eine ganze Unternehmenseinheit zur eigenverantwortlichen Wahrnehmung an eine Konzerngesellschaft übertragen wird, wird der Datenverarbeiter selbst zum Verantwortlichen für die Aufgabe, die zur Durchführung in eigener Verantwortung übertragen wurde. Bei der Übermittlung werden personenbezogenen Daten dann lediglich übermittelt.

Zu beachten gilt, dass es freilich auch eine Rechtsgrundlage für den Datentransfer des übermittelnden Unternehmens geben muss. Sollen personenbezogene Daten lediglich für interne Verwaltungszwecke übermittelt werden, kann in der Regel auf das berechtigte Unternehmensinteresse gemäß Art. 6 Abs. 1 lit f DSGVO abgestellt werden. Oftmals müssen die übermittelten Daten für eine interne Verwaltung aber nicht personenbezogen sein, so dass eine bloße Übermittlung in der Praxis eine eher untergeordnete Rolle spielen sollte. Der bloßen Übermittlung im Konzernkontext liegt zuweilen auch ein Vertrag zugrunde. Aus dem Vertrag muss dann gegenüber den Betroffen transparent hervorgehen, dass im Zuge der Erfüllung auch andere Verantwortliche involviert sind.

“Erlaubnis aus der Zweckbestimmung eines Vertrages”

Eine Legitimation für einen Datentransfer kann insbesondere in einem Vertragszweck begründet liegen. Denken Sie unbedingt daran, dass es sich um einen zugrundeliegenden Vertrag zwischen Betroffenen und Unternehmen handeln muss. Sollen beispielsweise Beschäftigtendaten an ein Konzernunternehmen übermittelt werden, muss der zugrundeliegende Zweck hierfür aus dem Arbeitsvertrag mit den jeweiligen Mitarbeitern hervorgehen. Dies ist dann der Fall, wenn der Arbeitsvertrag bei Vertragsschluss ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Die Übermittlung ist dann regelmäßig zur Durchführung des Arbeitsverhältnisses im Sinne des § 26 BDSG (Bundesdatenschutzgesetz) notwendig.

Gleiches gilt für die Vertragserfüllung gegenüber Kunden. Tritt der Verantwortliche im Rechtsverkehr als Konzern auf bzw. erfüllt Leistungen im Rahmen von Konzernverträgen oder durch verschiedene Unternehmenseinheiten, ergibt sich die Rechtsgrundlage gegenüber dem Betroffenen bereits aus dem zugrundeliegenden Vertrag. Ist der Zweck dementsprechend konzerndimensional angelegt, bedarf es keiner der anderen aufgezählten Rechtsgrundlagen.

“Berechtigtes Interesse des Verantwortlichen”

Grundsätzlich ist von einem vorangingen Interesse des Betroffenen an keiner Weitergabe  auszugehen. Eine Übermittlung könnte sich jedoch dann im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit f DSGVO) des weitergebenden Konzernunternehmens rechtfertigen lassen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der jeweiligen Betroffenen treffen. Dies ist insbesondere von der Kategorie der Daten sowie Kategorie der Betroffenen abhängig.

Die Abwägung der Übermittlung von Kundendaten – die sich teilweise auf Name und Adresse beschränken – fällt eher zugunsten des Konzernunternehmens aus. Im Falle von Beschäftigtendaten, insbesondere solche der Personalverwaltung, dürfte regelmäßig das Gegenteil der Fall sein. Diese Entscheidung ist stets eine des Einzelfalls, wobei alle entscheidungserheblichen Kriterien innerhalb der Abwägung berücksichtigt werden müssen. Nicht umsonst legt der Verordnungsgeber in den Auslegungshilfen in Form der Erwägungsgründe fest, dass ein berechtigtes Interesse zu internen Verwaltungszwecken vorliegen kann, aber nicht muss. Zudem lässt die Beschränkung ausschließlich zu Verwaltungszwecken den Schluss zu, dass dieser Erwägungsgrund restriktiv auszulegen ist.

So kann das Ergebnis der Abwägung ausnahmsweise auch zugunsten der berechtigten Interessen der Konzernunternehmen ausfallen. Entscheidungserheblich sind dabei unter anderem:

  • Vorliegen eines konzernweiten Datenschutzkonzepts
  • einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen, einschließlich der Möglichkeit, die Betroffenenrechte bei jeder der Konzerngesellschaften gleichermaßen geltend machen zu können
  • der Verarbeitungsverlauf muss für die Betroffenen transparent sein. Hierzu bedarf es entsprechender Informationen, welche die Maßgaben aus Art. 12 ff. DSGVO erfüllen.
  • ein konzernweit realisiertes Datenschutzmanagementsystem, das auch im Falle einer Internationalität einen verbindlichen, konzernweiten Datenschutzstandard festlegt und somit die Einhaltung auch nationaler Besonderheiten berücksichtigen kann
  • im Falle von Beschäftigtendaten muss der Arbeitgeber weiterhin umfassender Ansprechpartner für den Arbeitnehmer bleiben, d.h. auch für die Erfüllung sämtlicher Betroffenenrechte einstehen
  • auch darf das Haftungsrisiko nicht dergestalt verlagert werden, dass bei dem ursprünglich übermittelnden Verantwortlichen kein Schadenersatz mehr geltend gemacht werden kann. Der Betroffene muss der Jurisdiktion unterliegen, welche er auch ohne Datentransfer unterläge bzw. mindestens ein diesbezügliches Wahlrecht haben
  • Übermittlung der Daten auch in ein unsicheres Drittland und in diesem Falle das Vorliegen geeigneter Garantien für einen Transfer

Etwaige Regelungen müssen zwischen den Konzernunternehmen verbindlich getroffen werden, z.B. durch Verträge oder in Form von bindenden Unternehmensregelungen. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden. Besonderheiten gelten freilich für den Fall, dass personenbezogene Daten im Zuge des Konzerntransfers in ein unsicheres Drittland übermittelt werden sollen.

“Einwilligung”

Eine Einwilligung der Betroffenen sollte nur in den Fällen in Anspruch genommen werden, in denen dieser eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Für Unternehmen ist diese Rechtsfolge oftmals nicht praktikabel. Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus. Auch sind für den Fall des beabsichtigten Transfers von Beschäftigtendaten die jeweiligen nationalen Besonderheiten zu beachten. In Deutschland gelten über die DSGVO hinausgehende Mindestanforderungen für die Einwilligung im Beschäftigungskontext nach § 26 Abs. 2 BDSG.

“Betriebsvereinbarungen”

Eine Betriebsvereinbarung kommt ebenfalls als Legitimation eines konzerninternen Datentransfers für Beschäftigtendaten in Betracht. Art. 6 Abs. 2 in Verbindung mit Art. 88 DSGVO regelt eine Abweichungsbefugnis zugunsten der Mitgliedstaaten für Datenverarbeitungen im Beschäftigungskontext. Wenn mit Hilfe von Betriebsvereinbarungen die oben beim berechtigten Interesse der verantwortlichen Stelle genannten Anforderungen erfüllt sind, bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung.

Für weitergehende Praxistipps empfehlen wir die Lektüre unseres speziellen Artikels zum konzerninternen Datentransfer auf Basis einer Betriebsvereinbarung.

Praxistipps für den konzerninternen Datentransfer

Gehen Sie systematisch vor. Beschreiben Sie im Unternehmen zunächst, welche Verarbeitungstätigkeiten vorliegen. Hierbei kann Ihnen unter Umständen der Rückgriff auf ein vorliegendes (konzernweites) Verzeichnis von Verarbeitungstätigkeiten helfen, da hierin der Empfängerkategorie entnommen werden kann, welche Verarbeitungen einen konzerndimensionalen Bezug haben. Für all diese Verarbeitungstätigkeiten muss im Vorfeld ermittelt werden, welche Unternehmenseinheit oder Konzerngesellschaft personenbezogene Daten erhalten muss, um den mit der Verarbeitung verbundenen Zweck erfüllen zu können. Nur wenn es überhaupt der Übermittlung bedarf, muss eine Rechtsgrundlage gefunden werden.

Tipp: Oftmals wird der Transfer allgemeiner und personenbezogener Daten innerhalb des Konzerns nicht getrennt. Eine in allen Prozessen wirtschaftlich eingebundene Konzernmutter wird freilich alle Daten aller Konzerngesellschaften für die Wirtschaftsplanung einsehen und verarbeiten wollen bzw. müssen. Hier stellt sich die Frage, ob diese Daten auch um einen vorliegenden Personenzug bereinigt ausreichen.

Unterscheiden Sie zwingend zwischen Beschäftigten und anderen Kategorien von Betroffenen. Die Übermittlung von HR-Daten bedarf im Zweifel eines besonders strengen Prüfmaßstabs.

Denken Sie an geeignete Garantien für einen Transfer in ein Drittland. Oft sind die Compliance-Vorgaben in verschiedenen Ländern unterschiedlich, da hier Unternehmen aus verschiedensten Rechtstraditionen zusammenkommen. Hier gilt es besonders wachsam zu sein. Garantien für einen Transfer von personenbezogenen Daten ersetzen keine Rechtsgrundlage, diese überhaupt übermitteln zu dürfen.

Tipp: Notwendig ist in diesem Fall immer eine gedanklich zweigestufte Prüfung. Erstens: Liegt überhaupt eine Rechtsgrundlage für die Übermittlung vor? Zweitens: Existiert eine geeignete Garantie, wodurch für den Betroffenen das gleiche Datenschutzniveau auch im Drittland gewährleistet wird?

Denken Sie unbedingt an die bestehende Rechenschaftspflicht. Wenn Sie als Rechtsgrundlage für den Datentransfer ein überwiegendes berechtigtes Unternehmensinteresse anführen, bedarf es hierzu auch einer dokumentierten Abwägung, aus der hervorgeht, dass die Abwägung zugunsten des Unternehmens ausfällt. Eine solche Abwägung müssen Sie der Aufsichtsbehörde im Zweifelsfall vorlegen können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.