Datenschutz in Unternehmensgruppen und Konzernen

Was ist im Rahmen der Datenübermittlung bei Unternehmensgruppen und Konzernen zu beachten?

14.07.2020

In vielen Fällen sollen zwischen Unternehmen einer Unternehmensgruppe bzw. eines Konzerns (im Folgenden auch „verbundene Unternehmen“ bzw. „Unternehmensverbund“) personenbezogene Daten übermittelt werden. Die Datenübermittlung zwischen den verbundenen Unternehmen findet dabei aus den unterschiedlichsten Gründen statt: Sei es, weil die Personalverwaltung zentral organisiert ist und durch ein einzelnes Unternehmen der Gruppe übernommen wird. Sei es, weil ein verbundenes Unternehmen für die anderen (verbundenen) Unternehmen diverse Dienstleistungen, wie beispielsweise Verwaltung der IT und/oder Hosting der Internetauftritte der einzelnen Gesellschaften übernimmt und dabei personenbezogene Daten der Beschäftigten des Unternehmens bzw. der Websitebesucher verarbeitet. Auch alle sonstigen Leistungen, die häufig im Rahmen des Outsourcings durch externe Dienstleister erbracht werden, können durch ein oder mehrere verbundene Unternehmen erledigt werden. Dies beinhaltet in der Regel die Verarbeitung personenbezogener Daten.

Der Begriff „Unternehmensgruppe“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist dabei in Art. 4 Nr. 19 DSGVO legal definiert. Eine Unternehmensgruppe ist danach eine Gruppe von Unternehmen, bei denen es ein herrschendes und ein beherrschtes Unternehmen gibt, so dass hier ein Über- und ein Unterordnungsverhältnis zwischen den einzelnen verbundenen Unternehmen vorausgesetzt wird.

Dabei ist eine Beherrschung im gesellschaftsrechtlichen Sinne nicht erforderlich, da auch faktische Über- und Unterordnungsverhältnisse gemäß Erwägungsgrund (ErwG) 37 DSGVO von Art. 4 Nr. 19 DSGVO erfasst werden. Das heißt, ein Konzern, für den nach deutschem Recht gemäß  § 18 Abs. 1 S. 1 Hs. 1 Aktiengesetzes (AktG) beim herrschenden und dem beherrschten Unternehmen eine einheitliche Leitung vorausgesetzt wird, ist im datenschutzrechtlichen Sinne hervon abweichend eine Unternehmensgruppe gemäß Art. 4 Nr. 19 DSGVO, ohne dass ein Beherrschungsvertrag gemäß § 291 AktG oder eine Eingliederung gemäß § 319 AktG erforderlich wäre, wie sie in § 18 Abs. 1 S. 2 AktG bei einem Konzern vorausgesetzt werden.

Der Begriff „Unternehmensgruppe“ im Sinne der DSGVO ist vor allem deshalb wichtig, weil der ErwG 48 DSGVO explizit bestimmt, dass Verantwortliche in einer Un­ternehmensgruppe ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO daran haben können, Daten innerhalb der Unternehmens­gruppe für „interne Verwaltungszwecke“ zu übermit­teln. Diese Möglichkeit ist auch als ein sogenanntes „kleines Konzernprivileg“ bekannt. „Klein“ ist dieses „Privileg“ deshalb, weil weder in der DSGVO noch im BDSG in dem Sinne ein (allgemeines) „großes Konzernprivileg“ existiert, welches verbundenen Unternehmen erlauben würde, alle (und nicht nur für „interne Verwaltungszwecke“ erforderliche) Übermittlungen innerhalb des Unternehmensverbunds auf eine einheitliche Rechtsgrundlage zu stützen (beispielsweise auf die Generalklausel des Art. 6 Abs. 1 lit. f DSGVO).

Hinsichtlich der datenschutzrechtlichen Zulässigkeit von Datenflüssen stellt die DSGVO auch in einer Organisationsstruktur nicht auf Beherrschungsverhältnisse, sondern allein auf die rechtliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO ab. Im Rahmen der datenschutzrechtlichen Verant­wortlichkeit ist dabei nur die rechtliche Selbstständigkeit der Stelle, die die Daten verarbeitet, entscheidend, so dass jedes Unternehmen eines Unternehmensverbunds grundsätzlich ein eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist.

Deshalb ist zunächst festzuhalten, dass es für jegliche Datenübermittlung innerhalb eines Unternehmensverbunds stets einer Rechtsgrundlage für die Datenübermittlung bedarf.

Rechtsgrundlagen für die Übermittlung

Die Antwort auf die Frage nach der jeweils einschlägigen Rechtsgrundlage ist stets davon abhängig, zu welchem Zweck die Daten übermittelt werden und wie die Datenübermittlung im Einzelfall faktisch ausgestaltet ist.

Mögliche Rechtsgrundlagen

Als mögliche Rechtsgrundlagen kommen je nach Organisationsform und Verarbeitungssituation folgende gesetzliche Erlaubnistatbestände für eine Datenübermittlung in Frage:

  • Einwilligung

    Eine Datenübermittlung aufgrund einer freiwilligen und informierten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 DSGVO) ist, insbesondere wenn keine andere Rechtsgrundlage in Sicht ist, immer der rettende Anker für die Verantwortlichen. Allerdings ist aufgrund der jederzeitigen Widerruflichkeit einer Einwilligung gemäß Art. 7 Abs. 3 DSGVO diese Erlaubnisnorm häufig nicht beständig genug. Für den Fall eines Widerrufs (oder der Nicht-Erteilung der Einwilligung) müsste die Verarbeitung ohnehin auf eine andere Rechtsgrundlage gestützt werden oder dürfe nicht erfolgen. Diese Situation ist nicht nur unbefriedigend, sondern auch betriebswirtschaftlich meist nicht sinnvoll.

  • „Kleines Konzernprivileg“

    Wie bereits erwähnt, kommt innerhalb einer Unternehmensgruppe im Sinne des Art. 4 Nr. 19 DSGVO für Datenübermittlungen das „kleine Konzernprivileg“ in Frage (Art. 6 Abs. 1 lit. f DSGVO i.V.m. ErwG 48 DSGVO). Mehr zum Thema der Datenverarbeitung aufgrund des „berechtigten Interesses des Verantwortlichen erfahren Sie in unserer Beitragsserie zu den Rechtsgrundlagen. Danach hat ein Verantwortlicher die Möglichkeit, aufgrund eines berechtigten Interesses, personenbezogene Daten nach der Bestimmung des ErwG 48 DSGVO „für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“. Allerdings darf bei Anwendung dieser Erlaubnisnorm nie vergessen werden, dass eine Interessenabwägung zwischen den Interessen des Verantwortlichen und den einer Verarbeitung entgegenstehenden Interessen der betroffenen Person vorzunehmen ist. Darüber hinaus ist zu beachten, dass die Anwendung des Art. 6 Abs. 1 lit. f DSGVO nur dann möglich ist, wenn keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) verarbeitet werden.

  • Betriebsvereinbarungen bei Beschäftigtendaten

    Grundsätzlich kann auch eine Betriebsvereinbarung für Datenübermittlungen als Rechtsgrundlage herangezogen werden (§ 26 Abs. 1 DBSG i.V.m. Art. 6 Abs. 1 lit. b i.V.m Art. 88 DSGVO). Zu beachten ist nur, dass es aktuell umstritten ist, ob die Betriebsvereinbarungen den Datenschutz gegenüber den Regelungen der DSGVO bzw. des BDSG einschränken dürfen oder nicht. Der wohl überwiegende Teil der Literatur geht davon aus, dass die Betriebsvereinbarungen den gesetzlich geregelten Datenschutz lediglich konkretisieren, jedoch nicht konterkarieren dürfen (hierzu vgl. Pauly in: Paal/Pauly, Art. 88 DSGVO, Rn. 12).

  • § 26 Abs. 1 S. 1 BDSG bei Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen

    Sofern die Datenübermittlung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines solchen für dessen Durchführung oder Beendigung erforderlich ist, kann diese aufgrund des § 26 Abs. 1 S. 1 BDSG i.V.m. Art. 6 Abs. 1 lit. b DSGVO stattfinden.

  • § 26 Abs. 1 S. 2 BDSG bei Aufdeckung von Straftaten im Rahmen eines Beschäftigungsverhältnisses

    Sofern im Rahmen eines Beschäftigungsverhältnisses eine Straftat aufgedeckt werden muss, kann die Datenübermittlung auf § 26 Abs. 1 S. 2 BDSG i.V.m. Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Sofern ein Verantwortli­cher beispielsweise bei der Sachverhaltsaufklärung auf die Mitwirkung einer anderen Stelle des Unterneh­mensverbundes und die einhergehende Datenübermittlung an­gewiesen ist, kommen die angegebenen Normen zum Tragen. Ferner ist die Normenkette auch einschlägig bei Meldungen im Rahmen des so genannten „Whistleblowings“, bei dem die Mitarbeiter angewiesen werden, Verstöße gegen in­terne Unternehmensregelungen oder Compliance-Bestimmungen weiterzugeben. Soweit für derartige Meldungen ein verbund- bzw. konzernübergreifendes Mel­deverfahren aufgesetzt ist und die Kanäle des Whistleblowings in einer zentralen Compliance-Stelle gebündelt werden, muss für Übermittlung personenbezogener Daten an die Compliance-Stelle geprüft werden, inwiefern die Voraussetzung des § 26 Abs. 1 S. 2 BDSG – insbesondere die Erforderlichkeit – vorliegen und besondere Interessen der betroffenen Person der Verarbeitung nicht entgegen stehen.

  • § 26 BDSG i.V.m. Art. 9 Abs. 2 DSGVO bei besonderen Kategorien personenbezogener Daten im Beschäftigungsverhältnis

    Sofern im Rahmen der Durchführung eines Beschäftigungsverhältnisses besondere Kategorien personenbezogener Daten verarbeitet werden müssen, findet die Verarbeitung gem. § 26 BDSG i.V.m. Art. 9 Abs. 2 DSGVO statt. Beispielsweise zur Abwick­lung der Entgeltabrechnung im Wege der Auftragsverarbeitung (siehe folgend Ausführungen bzgl. des Art. 28 DSGVO) durch einen sorgfältig ausgewählten Dienstleis­ter (hierzu vgl. GDD-Praxishilfe XVII, S. 14).

  • Dienstleistungen im Rahmen der Auftragsverarbeitung

    Soweit ein verbundenes Unternehmen als Verantwortlicher bestimmt zu welchen Zwecken und mit welchen Mittel die Verarbeitung erfolgen soll, kommt als Rechtsgrundlage der Einsatz eines Auftragsverarbeitungsvertrages (AV-Vertrag) gem. Art. 28 DSGVO in Betracht. Beispielsweise, wenn ein Verbundunternehmen für die anderen Gesellschaften der Gruppe die Personalabrechnung durchführt und dabei den Auftrag nach Weisungen der verbundenen Unternehmen erledigt.

Sonderfall Übermittlung in Drittstaaten

Eine besondere Übermittlungssituation liegt vor, soweit ein international agierender Unternehmensverbund personenbezogene Daten an ein Drittland – ein Land außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR) – übermittelt. Hier müssen zunächst in einem ersten Schritt die allgemeinen Zulässigkeitsvoraussetzungen wie zuvor beschrieben, geprüft werden. In einem zweiten Schritt sind dann zusätzlich die besonderen Zulässigkeitsvoraussetzungen für einen Drittlandtransfer zu prüfen. Die besonderen Zulässigkeitsvoraussetzungen ergeben sich dabei aus den Artt. 44 bis 50 DSGVO.

Weitere (formale) Anforderungen und Maßnahmen

Unabhängig davon, auf welcher Rechtsgrundlage eine Datenübermittlung in einem Unternehmensverbund stattfindet, müssen die an der Übermittlung beteiligten Verantwortlichen in einem Verzeichnis der Verarbeitungstätigkeiten alle verpflichtenden Angaben des Art. 30 Abs. 1 DSGVO sowie im Fall der Auftragsverarbeitung die des Art. 30 Abs. 2 DSGVO dokumentieren.

Soweit die Datenübermittlung innerhalb eines Unternehmensverbunds aufgrund des Art. 28 DSGVO im Rahmen einer Auftragsverarbeitung stattfindet (s.o.), ist zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsverarbeiter (Auftragnehmer) ein Auftragsverarbeitungsvertrag zu schließen. Ebenfalls ist zu prüfen, ob im Rahmen einer Zusammenarbeit nicht aufgrund der faktischen Situation, wenn die Verantwortlichen gemeinsam Zwecke und Mittel der Verarbeitung festlegen, eine „gemeinsame Verantwortlichkeit“ vorliegt.

Dies kann insbesondere dann der Fall sein, wenn die Dienstleistung in einem „echten“ Konzern (gem. § 18 Abs. 1 AktG) durch die beherrschende Gesellschaft erbracht werden soll. Hier kann gegebenenfalls eine Weisungsgebundenheit der beherrschenden Gesellschaft und damit eine Auftragsverarbeitung nicht mehr begründet werden. In einem solchen Fall wäre dann kein AV-Vertrag, sondern eine Vereinbarung gemäß Art. 26 DSGVO zwischen den Verantwortlichen zu schließen (hierzu vgl. unseren Beitrag zur „gemeinsamen Verantwortlichkeit“). Oft ist die gemeinsame Verantwortlichkeit für die personenbezogenen Daten dort vorhanden, wo es in einem Unternehmensverbund sog. Matrixstrukturen gibt, bei denen die Fach- und eventuell auch die Personalvorgesetztenfunktion auf eine oder mehrere Personen in anderen verbundenen Unternehmen übertragen wird. So können Mitarbeiter eines verbundenen Unternehmens sowohl den Abteilungsleitern für Beschaffung, Produktion und Absatz und gleichzeitig den Produktmanagementvorgesetzten verschiedener anderer Gesellschaften unterstehen. In solchen Fällen bestehen mehrere Weisungsbeziehungen und es müssen Personal­daten übermittelt werden.

Beispielsweise beim in der Praxis oft anzutreffenden „Talentma­nagement“ werden im Rahmen der gemeinsamen Meetings Vorgesetzte unterschiedlicher Gesellschaften eines Unternehmensverbunds einbezogen. Bei dieser Art des Zusammenwirkens wird es sich oft um gemeinsame Verantwortlichkeit handeln, denn schließlich handeln mehrere Akteure, um einen gemeinsamen Zweck zu erreichen, nämlich die Förderung der Talente und ihren bestmöglichen Einsatz in einem oder mehreren beteiligten Unternehmen. Gemeinsame Verantwortlichkeit dürfte oft auch beim gemeinsamen unternehmensübergreifenden Bewerbermanagement vorliegen. Hier würde insbesondere auch die alleinige Entscheidungsbefugnis der Konzernmutter der Annahme der gemeinsamen Verantwortlichkeit nicht entgegen, wenn mehrere Gesellschaften an der Verarbeitung selbstverantwortlich beteiligt waren.

Im Fall der Datenübermittlung an ein verbundenes Unternehmen im Rahmen einer sog. „Controller to Controller“-Situation (deutsch: Verantwortlicher zu Verantwortlichem; abgekürzt auch als C2C-Situation), wenn zwei eigenständige Verantwortliche einander personenbezogene Daten übermitteln, ist fraglich, inwiefern zwischen den Verantwortlichen eine Vereinbarung zu schließen wäre, soweit personenbezogene Daten im Inland übermittelt werden. Insbesondere in der Praxis wird die Erforderlichkeit des Abschlusses einer C2C-Vereinbarung im Inland häufig abgelehnt. Es wird damit argumentiert, dass eine solche in der DSGVO explizit nicht vorgesehen wäre und lässt für die Datenübermittlung das Vorliegen einer Rechtsgrundlage – meist Art. 6 Abs. 1 lit. f i.V.m. ErwG 48 DSGVO – ausreichen. Eine C2C-Vereinbarung wäre nach dieser Auffassung gemäß Art. 46 Abs. 2 lit. c DSGVO nur dann verpflichtend, wenn Daten in ein Drittland übermittelt werden. Dagegen wendet die Gegenmeinung insbesondere im Hinblick auf den Schutz der betroffenen Personen ein, dass, obwohl die DSGVO eine C2C-Vereinbarung für Inlandsübermittlungen explizit nicht kennt und es das Institut der sogenannten „Funktionsübertragung“ nicht mehr gibt, die personenbezogene Daten ohne eine vertragliche Vereinbarung nur auf der Grundlage des Art. 6 Abs. 1 lit. f DSGVO nicht weitergegeben werden dürfen (hierzu vgl. Spittka in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 12 Rn. 68 mit weiteren Nachweisen).

Für diese Ansicht spricht auch, dass die Interessenabwägung nur zugunsten des Verantwortlichen ausfallen kann, wenn zwischen den Verantwortlichen eine C2C-Vereinbarung geschlossen wird, die ähnlich einem AV-Vertrag die wesentlichen Regelungen bezüglich der Modalitäten der Datenverarbeitung enthält (zum Beispiel Regelungen bzgl. des Gegenstands und der Dauer der Datenverarbeitung, der Art und des Zwecks der Verarbeitung, der technischen und der organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten).

Fazit

Die Datenübermittlung innerhalb eines Unternehmensverbunds stellt die Verantwortlichen vor Herausforderungen. Da ein Konzernprivileg fehlt, müssen die Verantwortlichen stets prüfen, auf welche Rechtsgrundlage sie die jeweilige Datenübermittlung stützen können. Zudem müssen die jeweiligen Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigkeiten beider Unternehmen (des übermittelnden und des empfangenden) dokumentiert werden. Im Fall einer Datenübermittlung in ein Drittland sind ferner besondere Zulässigkeitsvoraussetzungen der DSGVO zu beachten und gegebenenfalls formale Voraussetzungen, wie beispielsweise der Abschluss von vertraglichen Vereinbarungen, zu erfüllen.

Sie benötigen Unterstützung bei der datenschutzkonformen Gestaltung der Datenflüsse in Ihrer Unternehmensorganisation? Sprechen Sie uns an, wir helfen Ihnen gerne!