Das Konzernprivileg – Änderungen durch die DSGVO?

Fachbeitrag

Das deutsche Datenschutzrecht kennt für die Datenverarbeitung innerhalb eines Konzernunternehmens bislang keine Privilegierung gegenüber Einheitsunternehmen (sog. Konzernprivileg). Ändert sich die Rechtslage durch die DSGVO? Wir geben einen kurzen Überblick.

Was bedeutet „Konzernprivileg“?

Eine Legaldefinition des Begriffs Konzern findet sich in § 18 AktG. Demzufolge liegt ein Konzern vor bei einer Zusammenfassung mehrerer rechtlich selbständiger Unternehmen zu einer wirtschaftlichen Einheit unter gemeinsamer Leitung. Die auf dieser Weise verbundenen Unternehmen werden Konzernunternehmen genannt. Angesichts der einheitlichen wirtschaftlichen Leitung genießen Konzernunternehmen im deutschen Recht unterschiedliche rechtliche Erleichterungen bzw. Privilegierungen für ihre Tätigkeit. Hierzu zählen insbesondere Sonderregelungen im Steuerrecht.

Aktuelle Rechtslage nach BDSG

Solch ein Konzernprivileg sieht das BDSG nicht vor. Es knüpft für die datenschutzrechtliche Verantwortlichkeit an den Begriff der juristischen Person an, sodass jedes konzernangehörige Unternehmen jeweils als eigenständige verantwortliche Stelle nach § 3 Abs. 7 BDSG betrachtet wird.

Folge hiervon ist, dass Konzernunternehmen im Verhältnis zueinander als „Dritter“ im Sinne von § 3 Abs. 8 BDSG gelten. Die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe bedarf daher einer Rechtfertigung. Hierbei gelten grundsätzlich die gleichen Maßstaben wie bei einer Datenweitergabe an ein konzernfremdes Unternehmen.

Als Erlaubnistatbestände kommen die bekannten Normen wie die §§ 28, 32 BDSG oder eine Einwilligung in Betracht. Auch kann die Datenweitergabe zwischen Konzerngesellschaften oftmals im Rahmen einer Auftragsdatenverarbeitung gemäß § 11 BDSG gerechtfertigt sein.

Die Konzernzugehörigkeit wirkt sich lediglich im Rahmen der Interessenabwägung aus, die bei den im BDSG vorgesehenen gesetzlichen Erlaubnisnormen oftmals vorzunehmen ist. So wird beispielsweise auf Basis der Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG ein konzerninterner Datenaustausch für interne Verwaltungszwecke anders zu beurteilen sein als die Datenübermittlung an konzernexterne Unternehmen.

Zukünftige Lage nach DSGVO

Vorab lässt sich festhalten, dass auch in der Datenschutz-Grundverordnung ein Konzernprivileg im obigen Sinne nicht ausdrücklich vorgesehen ist. Es ergeben sich im Detail jedoch einige Änderungen zur bisherigen Rechtslage, die nachfolgend dargestellt werden:

Was ändert sich?

Definition der Unternehmensgruppe

In der DSGVO wird erstmals der Begriff „Unternehmensgruppe“ definiert. Gemäß Art. 4 Abs. 19 DSGVO wird eine „Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“, als Unternehmensgruppe bezeichnet.

Erwägungsgrund 37 lässt sich entnehmen, dass die vorgenannte Beherrschung weit zu verstehen ist. Demnach ist es ausreichend, wenn das herrschende Unternehmen beispielsweise „aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann“. Darüber hinaus soll ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden.

Aufgrund der inhaltlich sehr ähnlichen Definition in § 18 AktG stellen Konzerne im Regelfall Unternehmensgruppen i.S.d. DSGVO dar, sodass für sie die in der DSGVO geregelten einschlägigen Normen anwendbar sind (vgl. nachfolgend).

Rechtliche Folgen einer Unternehmensgruppe

An das Vorliegen einer Unternehmensgruppe werden in der DSGVO verschiedene rechtliche Folgen angeknüpft, wie die Bestellung eines gemeinsamen Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO.

Im Verarbeitungskontext ist Erwägungsgrund 48 von überragender Bedeutung, der auch als sog. kleines Konzernprivileg angesehen wird. Hier heißt es in Satz 1:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Diese Regelung bezieht sich auf Interessenabwägungen bei Beurteilung der Rechtmäßigkeit von Datenverarbeitungen, wie sie insbesondere nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO durchzuführen ist. Durch die jetzt ausdrückliche Normierung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung werden Datenflüsse innerhalb einer Konzerngruppe zukünftig leichter zu rechtfertigen sein.

Was bleibt gleich?

Verantwortlicher

In der Datenschutz-Grundverordnung wird für die Bewertung als verantwortliche Stelle bzw. Verantwortlicher weiterhin auf die juristische Betrachtungsweise abgestellt. Als Verantwortlicher gilt nach Art. 4 Abs. 7 DSGVO die juristische Person, sodass die jeweiligen Konzernunternehmen für die Datenverarbeitung verantwortlich bleiben und demnach im Verhältnis zueinander grundsätzlich als Dritter anzusehen sind. Für die Datenweitergabe ist auch unter Regie der DSGVO ein Erlaubnistatbestand (vor allem § 6 DSGVO) vonnöten, wobei einige Erleichterungen gelten, wie das kleine Konzernprivileg.

Auftragsverarbeitung

Die Auftragsdatenverarbeitung wird auch in der DSGVO privilegiert (vgl. Art. 4 Nr. 8 und Art. 28 DSGVO). Dieses Instrument kann bei Datenübertragungen im Konzern weiterhin als Rechtfertigung dienen.

Internationaler Datenaustausch

Nach Erwägungsgrund 48 S. 2 bleiben die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland unberührt, sodass die diesbezüglichen Regelungen zu beachten sind.

In der DSGVO nichts Neues?

Zusammenfassend kann festgehalten werden, dass eine Datenübermittlung innerhalb eines Konzerns unter der Datenschutz-Grundverordnung vergleichbaren Regelungen folgt wie nach BDSG. Ein Konzernprivileg wurde diskutiert, jedoch letztendlich nicht in die DSGVO übernommen. Konzerne können sich zumindest mit dem „Konzernprivileg light“ gemäß Erwägungsgrund 48 trösten, das ihnen die Suche nach einem Erlaubnistatbestand für konzerninterne Datenübermittlungen nicht abnehmen, aber etwas erleichtern wird.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

Ein Kommentar zu diesem Beitrag

  1. Hallo zusammen,

    ergänzend sehe ich beim Thema Haftung und den Strafgeldern jedoch das Konzernprivileg, da die Bußgeldern nach %-satz und dem weltweitem Jahresumsatz gehen.

    Beste Grüße,
    Markus Strauss

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.