Rechtskonformer Datentransfer zwischen Konzerngesellschaften

13. Juli 2020 von Nadja-Maria

Nach der Datenschutzgrundverordnung werden Unternehmen, die Teil eines Konzerns sind, nicht als einheitliche Verantwortliche, sondern als eigenständige Konzerngesellschaften behandelt. Es existiert somit kein Konzernprivileg. Für jeden Datentransfer zwischen den Konzerngesellschaften ist somit eine eigene Rechtfertigung erforderlich, die den Grundsätzen der Datenschutzgrundverordnung entsprechen muss.

1. Verschiedene Arten von Datentransfers

Bei der konzerninternen Datenübermittlung ist zwischen der Übermittlung an einen Dritten, der die Daten als eigenständiger Verantwortlicher verarbeitet, die Übermittlung im Rahmen der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO und der Übermittlung an einen weisungsgebundenen Dienstleister, der als Auftragsverarbeiter i.S.v. Art. 28 DSGVO für den Verantwortlichen tätig ist, zu unterscheiden. Im Folgenden werden die verschiedenen Arten der Datenübermittlung genauer erläutert.

2. Eigenständige Verantwortlichkeit

Rechtsgrundlage für die Datenübermittlung zwischen zwei Verantwortlichen ist in der Regel Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Bei der Frage, ob ein berechtigtes Interesse vorliegt, ist die Zugehörigkeit zu einer Unternehmensgruppe einzubeziehen. Die Konzernstellung verschiebt die Interessensabwägung oft zugunsten des Unternehmens.

3. Auftragsverarbeitung, Art. 28 DSGVO

Sofern der konzerninterne Datentransfer den Voraussetzungen einer Auftragsverarbeitung gemäß Art. 28 DSGVO entspricht, ist ein Rückgriff auf die Erlaubnistatbestände des Art. 6 Abs. 1 Satz 1 DSGVO entbehrlich. Hierfür ist erforderlich, dass die Dienstleistungsgesellschaft nur die technischen Mittel der Datenverarbeitung bestimmt, jedoch auf die wesentlichen Mittel und auf den Zweck der Verarbeitungstätigkeiten keinen Einfluss hat. Dies ist insbesondere bei der Zurverfügungstellung von Informatikdienstleistungen durch die Dienstleistungsgesellschaft an die übrigen Gesellschaften der Fall, da die Dienstleistungsgesellschaft zwar die technischen Mittel der Datenverarbeitung bestimmt, aber die übrigen Konzerngesellschaften die IT-Infrastruktur für die Verarbeitung ihrer eigenen Daten zu jeweils eigenen Zwecken nutzen.

4. Gemeinsame Verantwortlichkeit, Art. 26 DSGVO

Von einer gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO ist in der Regel dann auszugehen, wenn die Dienstleistungsgesellschaft in die Entscheidung über die Mittel und Zwecke oder die Datenverarbeitung miteinbezogen oder ihr die Verfolgung eigener Interessen zugestanden wird. Ein Beispiel hierfür sind Tätigkeiten im Personalwesen, da die Dienstleistungsgesellschaft dort einen großen Einfluss auf die Umstände der Datenverarbeitung der Arbeitnehmerdaten der übrigen Konzerngesellschaften hat.

Sie fragen sich, ob der Datentransfer in Ihrem Unternehmen DSGVO-konform gelöst ist?

Setzen Sie sich gerne mit uns in Verbindung. Wir prüfen Ihr gesamtes Unternehmen oder Teilbereiche für Sie auf Datenschutzkonformität. Sie erhalten von uns im Anschluss daran sogar ein Sigel, das Sie veröffentlichen dürfen. So wissen Ihre Geschäftspartner auf den ersten Blick, dass Sie sich um Informationssicherheit in Ihrem Unternehmen bemühen. Füllen Sie dazu unser Kontaktformular aus oder rufen Sie uns an unter 08505 – 91927-0.
Oder erfahren Sie in diesem Zusammenhang mehr über unsere Services auf unserer Leistungsseite Audits.

Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.