Die Einhaltung der Vorgaben des Datenschutzes bei der Datenverarbeitung bringt für Konzerne zusätzliche Herausforderungen mit sich als für kleine und mittlere Unternehmen oder Freelancer:innen. Unter einem Konzerndach sind in aller Regel verschiedene rechtlich eigenständige Unternehmen verbunden, die zudem häufig international agieren. Das macht die Datenübermittlung im Konzern besonders komplex. Dem gegenüber stehen hohe Strafen auf Verstöße gegen das Datenschutzrecht: Diese können mit Bußgeldern von bis zu 4 % des Brutto-Jahresumsatzes geahndet werden.
Datenverarbeitung im Konzern: Gibt es ein Konzern-Privileg nach der DSGVO für große Unternehmen?
Für Konzerne ist die Einhaltung von datenschutzrechlichen Vorgaben eine anspruchsvolle Aufgabe. Die Zusammenarbeit und die datenschutzrechtliche Harmonisierung der verschiedenen Unternehmensbereiche beim Umgang mit personenbezogenen Daten erfordern nicht nur umfassende Sachkenntnisse. Sie stellen auch hohe kommunikative und koordinative Anforderungen an die verantwortlichen Personen.
In anderen Rechtsfeldern tragen Konzernprivilegien den besonderen Ansprüchen großer Unternehmen Rechnung und sehen hier Erleichterungen und Privilegien vor. Besonders im Steuerrecht gibt es für Konzerne unterschiedliche Sonderregelungen. Die DSGVO sieht jedoch kein Konzernprivileg vor. Und so bleiben die Herausforderungen für große Unternehmen bei der Einhaltung von datenschutzrechtlichen Vorgaben bestehen.
Datenübermittlung: Best-Practice-Lösungen auch ohne Datenschutz-Konzernprivileg
Der Datenschutz wird weltweit unterschiedlich geregelt. Das hat zur Folge, dass große Konzerne, die international agieren, gleichzeitig verschiedene Datenschutzvorschriften beachten müssen – das betrifft alle Daten innerhalb der Unternehmensgruppe: Während in Europa die Datenschutz-Grundverordnung (DSGVO) gilt, müssen beispielsweise in Kalifornien der California Consumer Privacy Act (CCPA) oder in Japan der Act on the Protection of Personal Information (APPI) beachtet werden. Die internationalen Gesetze weichen dabei zum Teil stark von der in Europa geltenden DSGVO ab.
Aber nicht nur die Beseitigung von globalen Gesetzeskonflikten („conflict of laws“) stellt für Konzerne eine Herausforderung bei der Datenübermittlung dar. Die innerhalb des Konzerns verbundenen Firmen sind rechtlich selbständige Unternehmen. Im datenschutzrechtlichen Sinne werden die verschiedenen Gesellschaften des Konzerns also als „Dritte“ angesehen. Deshalb ist bei der Übermittlung und Verarbeitung personenbezogener Daten von Kunden und Beschäftigten innerhalb des Konzerns besondere Vorsicht geboten.
Zusammenarbeit der Datenschutzbeauftragten und Koordination des konzernübergreifenden Datenschutzes
Die DSGVO hält für große Unternehmen kein generelles Konzernprivileg bereit. Es gibt jedoch Best-Practice-Lösungen, wie der Schutz personenbezogener Daten in Konzernen DSGVO-konform gestaltet werden kann. Insbesondere das „Koordinatorenmodell“ hat sich in der Praxis bewährt. Dabei hat jedes Konzernunternehmen eine:n eigene:n Datenschutzbeauftragte:n, der für alle Fragen des jeweiligen Unternehmens zuständig ist und die Erreichbarkeit vor Ort garantiert. Zusätzlich kann ein:e Konzerndatenschutzbeauftragte:r bestellt werden, die / der die konzernübergreifenden Abläufe koordiniert und überwacht. Er / sie klärt Mitarbeiter:innen und externe Dienstleister:innen über ihre Pflichten bei der Datenverarbeitung auf und ist Ansprechpartner für die Aufsichtsbehörde. Möglich macht diese Lösung das „kleine Konzernprivileg“ der DSGVO.
„Kleines Konzernprivileg“ der DSGVO
Auch wenn nach DSGVO kein umfassendes Konzernprivileg vorgesehen ist, gibt es für Unternehmensgruppen doch ein paar Erleichterungen. Dieses „kleine Konzernprivileg“ erlaubt zum Beispiel die Bestellung eines / einer gemeinsamen Kozerndatenschutzbeauftragten.
Auch die Übermittlung personenbezogener Daten von Kund:innen und Mitarbeiter:innen innerhalb des Konzerns ist nach Art. 6 Abs. 1 Satz 1 lit. f der DSGVO in bestimmten Fällen berechtigt. Hierzu zählen zum Beispiel interne Verwaltungszwecke. Die Entscheidung zu solchen Datenübermittlungen sollte jedoch gut abgewogen und dokumentiert sein, um Bußgeldern aufgrund der Vorschriften der DSGVO vorzubeugen.
Das gilt es zu beachten: Datenschutzkonformer Datentransfer im Konzern
Für den Datenaustausch innerhalb des Konzerns bedarf es immer einer Rechtsgrundlage zur Übermittlung personenbezogener Daten nach der DSGVO. Insofern die Datenübermittlung außerhalb der Europäischen Union erfolgt, muss ein angemessenes Datenschutzniveau gewährleistet werden, das den Standards der DSGVO entspricht. Dabei sollte stets sichergestellt sein, dass personenbezogene Daten während ihres Transportes zum Beispiel per E-Mail oder Fax nicht von Unbefugten gelesen und verarbeitet werden können. Die DSGVO bestimmt zudem, dass personenbezogene Daten nach einem bestimmten Zeitraum gelöscht werden müssen. Grundsätzlich müssen alle datenschutzrechtlichen Regelungen der DSGVO nicht nur eingehalten, sondern auch lückenlos nachweisbar sein.
Die Datenübermittlung stellt Konzerne datenschutzrechtlich vor besonders große Herausforderungen. Unterschiedliche internationale Standards müssen mit der aktuellen Rechtsprechung, dem nationalen Datenschutzrecht und schutzwürdigen Interessen von Betroffenen vereint werden. Der Austausch und die Verarbeitung personenbezogener Daten zwischen den Tochterunternehmen eines Konzerns erfordern gut strukturierte Prozesse.
Auch wenn die DSGVO kein Konzernprivileg vorsieht, gibt es im Rahmen des „kleinen Konzernprivilegs“ doch Erleichterungen für große Unternehmen: Der Einsatz eines zentralen Konzerndatenschutzbeauftragten ist hierbei essentiell.
Autorin: Kathrin Strauß
Artikel veröffentlicht: 10.05.2021