Datenschutz im Konzern

Unternehmen, die zu einem Konzern verbunden sind, müssen beim Austausch von personenbezogenen Daten zwischen verschiedenen Konzernunternehmen die Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) einhalten.

 In Erwägungsgrund 48 DSGVO hat der Gesetzgeber grundsätzlich anerkannt, dass ein berechtigtes Interesse zum Datenaustausch zwischen verschiedenen Konzern-Unternehmen bestehen kann. Diese Erwägung enthält jedoch keine generelle Erlaubnis zum konzerninternen Datenaustausch. Es handelt vielmehr um einen Hinweis darauf, dass in jedem Einzelfall geprüft werden muss, ob ein Datenaustausch auf Art. 6 Abs. 1 f DSGVO gestützt werden kann.

Datenschutzkonformer Austausch von persönlichen Daten im Konzernverbund setzt stets voraus, dass der in Art. 5 DSGVO niedergelegte Grundsatz der Datensparsamkeit eingehalten wird. Es ist deshalb stets zu prüfen, ob und in welchem Umfang ein Datenaustausch überhaupt notwendig ist und ob die Weitergabe psyeudonymisierter oder anonymisierter Daten ausreichend wäre.

Sodann ist zu prüfen, auf welche Rechtsgrundlage der Datenaustausch gestützt werden kann und ob hierfür zusätzliche Rechtstexte zu erstellen sind. In Betracht kommen dabei insbesondere eine Vereinbarung über eine Auftragsverarbeitung, Vereinbarungen über gemeinsame Verantwortlichkeit mehrerer Gesellschaften, eine Erlaubnis, die sich aus der Zweckbestimmung eines einzelnen Vertrages ergibt, eine schriftliche Einwilligung des Betroffenen oder eine Betriebsvereinbarung.

Wir beraten Konzerngesellschaften zu allen Fragen des Datenschutzes im Konzern und erstellen rechtssichere Vorlagen für die notwendigen Rechtstexte.

SIE HABEN FRAGEN ODER BENÖTIGEN UNSEREN RAT?

Sprechen Sie uns an – wir helfen Ihnen weiter.