Überspringen zu Hauptinhalt
Rufen Sie uns an: +49 6131 144 56 25

Datenschutzrechtliche Hürden für gemeinsame Prozesse im Konzern

Mehrere rechtlich selbständige Unternehmen, die zu einer wirtschaftlichen Einheit unter einer gemeinsamen Leitung zusammengefasst sind, werden als Konzern definiert. Kommt es innerhalb eines Konzerns zu einer gemeinsamen Verarbeitung personenbezogener Daten, sind die Vorgaben der Datenschutzgrundverordnung (DSGVO) zu beachten. 

kein Konzernprivileg

Die DSGVO kennt zum Leidwesen großer und kleiner Konzerne kein „Konzernprivileg“. Das macht es schwierig, innerhalb eines Konzerns Daten gemeinsam zu verarbeiten oder gemeinsame Prozesse aufzubauen. Die meisten Konzerne etablieren jedoch gemeinsame Prozesse, um die Datenverarbeitung effizient und kostengünstig zu gestalten. Mit Inkrafttreten der DSGVO hat daher ein neues Instrument mehr Bedeutung gewonnen: die gemeinsame Verantwortlichkeit.  

Die gemeinsame Verantwortlichkeit wird wichtiger 

Während in den Anfangszeiten der DSGVO hauptsächlich die Auftragsverarbeitung im Fokus stand, um Prozesse zu regeln, bei denen mehrere Unternehmen beteiligt sind, wird nun die gemeinsame Datenverarbeitung immer wichtiger. Insbesondere durch die Verfahren des Europäischen Gerichtshofs (EuGH), hat die gemeinsame Verantwortlichkeit an Bedeutung gewonnen. In den Urteilen zu Facebook-Fanpages und Like-Buttons hat der EuGH die Anwendung der gemeinsamen Verantwortlichkeit deutlich ausgeweitet.  

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württembergs hat im vergangenen Jahr das Thema ebenfalls in den Vordergrund gerückt. In seinem Tätigkeitsbericht 2020 stellt der LfDI fest: 

Nach wie vor wird unterschätzt, was sich hinter der Formulierung ‚gemeinsame Verantwortlichkeit‘ in Artikel 26 der DS-GVO verbirgt. […] Unsere tägliche Arbeit zeigt, dass die Abgrenzung der verschiedenen Formen datenschutzrechtlicher Verantwortlichkeit jedoch komplex und auch die Gestaltung entsprechender Verträge Verantwortliche vor Probleme stellen kann. 

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Etabliert ein Konzern einen gemeinsamen Prozess, stellt sich häufig die Frage, ob eine Auftragsverarbeitung nach Art. 28 DSGVO oder eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt. Die Abgrenzung fällt Unternehmen dabei häufig schwer.  

Zentrales Kriterium für die Abgrenzung ist die Frage wer über die Zwecke und Mittel entscheidet. Eine Auftragsverarbeitung liegt vor, wenn eine Konzerngesellschaft die Daten einer anderen auf deren Weisung hin verarbeitet. Dies kann beispielsweise der Fall sein, wenn eine Gesellschaft eine bestimmte Software für die gesamte Konzerngruppe bereitstellt und die Lizenzen verwaltet oder wenn die Muttergesellschaft die Lohnabrechnung im Auftrag der Tochter für diese vornimmt.  

Eine gemeinsame Verantwortlichkeit liegt dagegen vor, wenn mehrere Gesellschaften gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Nach den Urteilen des EuGHs reicht es hierfür jedoch bereits aus, dass eine Gesellschaft einer anderen eine Datenverarbeitung ermöglicht, etwa durch die Einbringung weiterer Daten ohne anschließend Zugriff auf die Daten zu haben. Eine gemeinsame Datenverarbeitung kann damit etwa bei einer gemeinsamen Kundendatenbank, einem gemeinsam geführten CRM oder einem Konzernweiten Urlaubskalender vorliegen.  

Genügt die Unterzeichnung eines Mustervertrages?

Haben Sie gemeinsame Prozesse identifiziert und festgestellt, ob eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt, sollten die Konzerngesellschaften entsprechende Verträge miteinander schließen, um die Vorgänge datenschutzrechtlich abzusichern.  

Insbesondere bei einer gemeinsamen Datenverarbeitung im Konzern sollte jedoch kein allgemeines Muster verwendet werden. Artikel 26 Abs. 2 DSGVO schreibt nämlich vor, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gebührend widerspiegeln muss. Der Vertrag muss also individuell auf die jeweilige Situation und den Konzern zugeschnitten sein, damit er die rechtlichen Voraussetzungen erfüllt.  

Neben einem Vertrag über die gemeinsame Verantwortlichkeit müssen zudem die Betroffenen über „das wesentliche der Vereinbarung“ informiert werden. Das bedeutet, die Datenschutzerklärung des Unternehmens muss individuell an die jeweilige Vereinbarung angepasst werden. 

Was können wir für Sie tun? 

Die Berater von RMPrivacy sind spezialisiert auf die Beratung von europäischen und international aufgestellten Konzernen. So können wir schnell und routiniert die relevanten Prozesse im Konzern identifizieren und die notwendigen Dokumente erstellen. Bei Fragen zur Umsetzung helfen wir Ihnen gerne weiter. Kontaktieren Sie uns: kontakt[at]rmprivacy.de 

Bildernachweis für diesen Beitrag: @j-mel -stock.adobe.com