Datenübermittlung in Konzernen – Ein datenschutzrechtlicher Dauerbrenner

von Nadja-Maria Becke

Im Mittelpunkt der Anforderungen der Datenschutzgrundverordnung steht der Verantwortliche nach Art. 4 Nr. 7 DSGVO. Hierbei handelt es sich immer um diejenige Institution, die eigenständig Zweck und Mittel der Datenübermittlung und Datenverarbeitung vorgibt. Die Datenschutzgrundverordnung geht dabei im Grundsatz von einer eigenständigen juristischen Person aus, die alle personenbezogenen Daten autonom verarbeitet und die datenschutzrechtliche Verantwortung trägt.

Die gemeinsame und arbeitsteilige Datenverarbeitung in einem Konzern oder einer Unternehmensgruppe hat auch in der Datenschutzgrundverordnung keine besondere Regelung gefunden. So ist insbesondere kein Konzernprivileg aufgenommen worden, dass der Zusammenarbeit juristischer Personen in einem Verbund Rechnung tragen würde.

Rechtsgrundlage für Zusammenarbeit

Das hat zur Folge, dass für jeden Datenübermittlungsvorgang beziehungsweise jede gemeinsame Nutzung eines Datensatzes eine Rechtsgrundlage vorhanden sein muss.

Eine kleine Hilfestellung für die Suche nach der geeigneten Rechtsgrundlage ist der Erwägungsgrund 48 zur Datenschutzgrundverordnung. Dort ist bestimmt, dass die für Unternehmen einer Unternehmensgruppe oder eines Konzerns ein berechtigtes Interesse in der Datenübermittlung für interne Verwaltungszwecke liegen kann.

Einzelfallprüfung immer erforderlich

Doch hier ist Vorsicht geboten. Wie bei jeder Datenverarbeitung, die auf Art. 6 Abs.1 lit. f DSGVO gestützt werden soll, kommt es auf den konkreten Einzelfall an. Auch der Erwägungsgrund 48 spricht hier bewusst nur davon, dass ein berechtigtes Interesse vorliegen kann. Daher ist immer genau zu prüfen, ob die berechtigten Interessen der Unternehmen an einer Zusammenarbeit nicht von den berechtigten Interessen der betroffenen Personen überwogen wird. Der gesellschaftsrechtliche Zusammenschluss und die wirtschaftlich vorgegebene Zusammenarbeit mehrerer juristischer Personen führt nicht alleine und nicht in jedem Fall zur Rechtmäßigkeit einer Datenübermittlung.

Bußgeld in Höhe von 6 Millionen Euro

Außerdem sind in solchen Fällen auch immer die sonstigen Anforderungen aus der DSGVO zu beachten. Beispielhaft sind hier nur die Anforderungen an die Transparenz sowie die Datenschutzinformationen nach Art. 13 und Art. 14 DSGVO genannt.

Bei der Einhaltung dieser datenschutzrechtlichen Anforderungen schauen die Datenschutzaufsichtsbehörden mitunter ganz genau hin. Das bekam unlängst auch die spanische CaixaBank, S. A zu spüren. Aufgrund verschiedener Verstöße insbesondere gegen die Anforderungen aus Art. 6 sowie 13 und 14 DSGVO verhängte die spanische Aufsichtsbehörde ein Bußgeld in Höhe von 6 Millionen Euro.

Dies beweist einmal mehr, dass jeder Datenverarbeitungsvorgang detailliert geprüft werden muss und dass wirtschaftliche Beweggründe im Rahmen der Interessenabwägung nur begrenzt berücksichtigt werden können.

 

Sie haben konkrete Fragen zum Thema Datenübermittlung und den daraus resultierenden Pflichten innerhalb Ihres Unternehmens? – Kontaktieren Sie uns hier. Unsere Datenschutzexperten sind gerne für Sie da.

assets/images/e/Nadja-Maria-Becke-1-e4dcbac5.jpg
Nadja-Maria Becke

Nadja-Maria Becke leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.