(21.11.2016) In unserer 6. Folge über die EU-Datenschutzgrundverordnung (DSGVO) geht es um das Thema:
Datentransfer im Konzern
In Unternehmensgruppen ist es üblich, dass Daten von einer juristischen Person an eine andere übermittelt werden, zum Teil auch über Landesgrenzen hinweg. Mitarbeiterdaten fließen an die zentrale Personalabteilung, Kundendaten an die entsprechend spezialisierte Stelle und so weiter. Sie kennen das: Alle beteiligten Unternehmen sehen sich als eine „Familie“. Datenschützer ernten dann große Augen, wenn sie mitteilen, dass jedes Unternehmen („juristische Person“) rechtlich für sich alleine steht.
Da es kein Konzernprivileg gibt, spielt es keine Rolle, ob und welchem Unternehmensverbund eine Firma angehört. Deshalb muss für jede Datenübermittlung von einem Unternehmen an ein anderes eine eigene datenschutzrechtliche Rechtsgrundlage vorliegen. Das ist so nach dem bisher geltenden Bundesdatenschutzgesetz (BDSG) und es wird sich auch nicht ändern unter der DSGVO ab Mai 2018.
Dennoch wird es zwei wesentliche Erleichterungen geben:
- Datenübermittlungen zu „internen Verwaltungszwecken“ gelten zukünftig offiziell als berechtigtes Interesse der Firma (Erwägungsgrund 48 der DSGVO). Damit kann als Rechtsgrundlage leichter als bisher die Abwägung der berechtigten Interessen dienen (Art. 6 Abs. 1 Buchst. f DSGVO).
- Gemeinsame Verantwortlichkeiten können festgelegt werden (Art. 26 DSGVO). Während bisher nur immer ein Unternehmen verantwortlich sein kann für eine Datenverarbeitung, können es zukünftig auch mehrere sein.
Ein Datenaustausch zwischen ihnen gilt dann nicht mehr als „Übermittlung“ und bedarf keiner besonderen Rechtsgrundlage. Allerdings müssen die Datenschutz-Rechte und -Pflichten zwischen den Verantwortlichen in einer Vereinbarung festgelegt werden.
Über die eine oder andere Erleichterung wird es also aus datenschutzrechtlicher Sicht „einfacher“, personenbezogene Daten von Mitarbeitern oder Kunden/Geschäftspartnern innerhalb eines Konzerns zu übermitteln bzw. zu verarbeiten.
Ein Freifahrtschein wird das aber nicht darstellen. Denn auch weiterhin ist zu prüfen, ob ggf. schutzwürdige Interessen der Betroffenen entgegenstehen.
Wichtig: Vergessen Sie bei Datenübermittlungen im internationalen Konzern über Landesgrenzen hinweg bitte nicht, an die 2-Stufen-Prüfung für Übermittlungen ins Ausland zu denken (so wie bisher). Am besten beziehen Sie Ihren Datenschutzbeauftragten immer rechtzeitig ein.
Zusammenfassung: Datenübermittlungen innerhalb des Konzerns werden zukünftig etwas erleichtert.
Übrigens: Alle Änderungen, die die DSGVO mit sich bringt, erfahren Sie in unserem Online-Training zur DSGVO. Mit Teilnahmezertifikat und PDF-Zusammenfassung. → mehr zum DSGVO-Online-Training
Wir beraten Sie aber auch gerne im Einzelfall bei der Umsetzung der neuen Vorgaben: → mehr zur Datenschutzberatung