Viele Unternehmen gehören einer Gruppe von Unternehmen oder einem Konzern an. Sie sind also mit anderen Unternehmen wie Mutter-, Tochter- oder Schwestergesellschaften verbunden. Dabei stellt sich die Frage nach dem Datenschutz innerhalb der Unternehmensgruppe. Vorherrschend ist oftmals die falsche Annahme, dass im Unternehmensalltag die verschiedenen Gesellschaften ja eigentlich „zusammengehören“ und somit „alles eins“ sei. Personenbezogene Daten könnten daher auch gemeinsam genutzt werden bzw. bestünden gegenseitige Einsichtsrechte in Datensätze.
Weit gefehlt! Auch innerhalb einer Unternehmensgruppe gilt: Die Daten müssen eindeutig einem verantwortlichen Unternehmen zugeordnet werden und getrennt von den Datensätzen der anderen Unternehmen verarbeitet werden. Es gibt insoweit grundsätzlich kein „Privileg“ für Unternehmensgruppen gegenüber anderen – nicht konzernangehörigen – Unternehmen. Welche Ausnahmen es davon jedoch gibt und welche weiteren Punkte zu beachten sind, lesen Sie in diesem Blogbeitrag.
Optionen für Datenaustausch innerhalb der Unternehmensgruppe
Es gibt Möglichkeiten, den Datenaustausch innerhalb einer Unternehmensgruppe DSGVO-konform zu gestalten. Eine Unternehmensgruppe ist dabei „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“ (Art. 4 Nr. 19 DSGVO). Im Grunde gelten hierbei die gleichen Regeln wie bei einem Datenaustausch mit einem „fremden“ Unternehmen. Wenn ein Unternehmen aus der Gruppe Einsicht in personenbezogenen Daten eines anderen Unternehmens nehmen möchte, ist dafür das Vorliegen eines nachvollziehbaren Grundes und eine Rechtsgrundlage erforderlich.
Beliebte Möglichkeit: Auftragsverarbeitung
Ein beliebtes Mittel in der Praxis ist oftmals die Auslagerung bestimmter Tätigkeiten im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dabei beauftragt ein Unternehmen aus der Gruppe ein anderes Unternehmen aus der Gruppe mit der Verarbeitung von personenbezogenen Daten zu einem vorher eindeutig festgelegten Zweck. Dann übernimmt z. B. die Muttergesellschaft die Lohnbuchhaltung oder die Bereitstellung der IT-Infrastruktur für die Tochtergesellschaft. Trotz der Auslagerung der Datenverarbeitung bleibt jedoch das auslagernde Unternehmen für die Daten verantwortlich. Es muss einen Vertrag zur Auftragsverarbeitung mit dem dienstleistenden Unternehmen abschließen und die technischen und organisatorischen Maßnahmen genau prüfen.
Echte Datenweitergabe – auch zu internen Verwaltungszwecken
Eine weitere Möglichkeit, Daten innerhalb einer Unternehmensgruppe zu verarbeiten ist eine echte Datenweitergabe von einem Unternehmen zum anderen. Doch dafür muss eine Rechtsgrundlage aus Art. 6 oder Art. 9 DSGVO vorliegen. Dies sollte in der Praxis sorgfältig geprüft werden, da ebenso ein verständlicher Zweck vorliegen muss. Darüber hinaus muss die betroffenen Personen über die Datenweitergabe an ein anderes Unternehmen innerhalb der Gruppe auch informiert werden – und zwar schon zum Zeitpunkt der Datenerhebung. Häufig kommt hier als Rechtsgrundlage nur die vorherige Einwilligung aller Betroffenen (z. B. der Kunden) in Betracht.
Zudem ist ein Datenaustausch in manchen Fällen innerhalb der Unternehmensgruppe aufgrund von berechtigten Interessen des verantwortlichen Unternehmens möglich. Dies gilt insbesondere, wenn sog. „interne Verwaltungszwecke“ (ErwGr. 48 DSGVO) vorliegen. Dieser Begriff macht zwar Hoffnung auf große Erleichterungen für Unternehmensgruppen, ist aber in der Praxis eher restriktiv auszulegen. Im Einzelfall ist der Sachverhalt also genau zu prüfen sowie die Abwägung entsprechend zu dokumentieren. Als Grundlage wären ggf. zentrale firmenübergreifende Personalverwaltungen oder Mitarbeiterstatistiken denkbar.
Gemeinsame Verantwortlichkeit mehrerer Unternehmen aus der Gruppe
Eine weitere Möglichkeit ist neben der oben genannten echten Datenweitergabe innerhalb einer Unternehmensgruppe auch eine sog. gemeinsame Verantwortlichkeit mehrerer Unternehmen in der Gruppe. Hierbei verfolgen die beteiligten Unternehmen – im Gegensatz zur Auftragsverarbeitung – neben einem gemeinsamen Zweck auch jeweils eigene Zwecke bei der Datenverarbeitung. Dies hat zur Folge, dass die Unternehmen gemeinsam verantwortlich werden (Art. 26 DSGVO). Bei der Auftragsverarbeitung hingegen ist ein Unternehmen der verantwortliche Auftraggeber und das andere Unternehmen lediglich der ausführende weisungsgebundene Dienstleister. Im Fall einer gemeinsamen Verantwortlichkeit müssen ein Joint-Controller-Vertrag geschlossen und die betroffenen Personen hierüber von Beginn an informiert werden.
Weitere datenschutzrechtliche Themen für eine Unternehmensgruppe
In Unternehmensgruppen sind natürlich weitere datenschutzrechtliche Themen zu beachten. Dies betrifft z. B. die räumliche Trennung der Büroräume der unterschiedlichen Firmen sowohl in technischer als auch organisatorischer Hinsicht, sofern mehrere Firmen in einem Gebäude ansässig sind. Die unterschiedlichen Unternehmen müssen prüfen, ob tatsächlich nur jene Mitarbeiter Zugang zu den eigenen Büroräumen haben, die in der betreffenden Firma angestellt sind. Ein Zugang für Mitarbeiter der anderen Firmen aus der Unternehmensgruppe ist grundsätzlich zu unterbinden, weil diese regelmäßig nicht befugt sind, die dort verarbeiteten personenbezogenen Daten einzusehen. In technischer Hinsicht könnten die Büroräume der einzelnen Firmen z. B. mit verschlossenen Verbindungstüren ausgestattet sein. Organisatorisch kann auch eine restriktive „Clean-Desk-Policy“ zu mehr Datenschutz führen. Hier sind die passenden Maßnahmen im Einzelfall zu prüfen.
Eine weitere Frage, die datenschutzrechtlich zu klären ist, betrifft Mitarbeiter, die tatsächlich für mehrere Unternehmen aus der Gruppe tätig sind, aber lediglich in einer Firma angestellt sind. Hier liegt zunächst keine Berechtigung vor, die Daten der Firma zu verarbeiten, mit der kein (Arbeits-)vertrag besteht. Dieses Problem kann entweder dadurch gelöst werden, dass die betreffenden Mitarbeiter in beiden Firmen angestellt werden oder eine Auftragsverarbeitung geprüft wird. Häufig ist auch der Datenschutzkoordinator für mehrere Unternehmen aus der Gruppe zuständig.
Benennung eines Konzerndatenschutzbeauftragten
Grundsätzlich muss jedes einzelne Unternehmen einen Datenschutzbeauftragten benennen, wenn die Voraussetzungen dafür vorliegen. Für eine Unternehmensgruppe ist es jedoch möglich, einen einzigen Konzerndatenschutzbeauftragten zu benennen. Es ist also nur ein Benennungsakt erforderlich, in dem festgehalten wird, für welche Unternehmen der Datenschutzbeauftragte innerhalb der Gruppe benannt werden soll.
Haben Sie weitere Fragen zu diesem Thema? Benötigen Sie Unterstützung im Datenschutz? Bitte wenden Sie sich vertrauensvoll an uns unter: info@sidit.de
