Datenübermittlung zwischen Unternehmen (Anleitung)

Geschrieben am: | Geschätzte Lesezeit: 6 Minuten

Die Übermittlung personenbezogener Daten zwischen Unternehmen ist ein alltäglicher Prozess – sei es zwischen unabhängigen Unternehmen oder den Einheiten eines Konzerns bzw. einer Unternehmensgruppe. Unsere Anleitung zeigt Ihnen, wie Sie den rechtlichen Rahmen der Datenschutz-Grundverordnung (DSGVO) erfüllen. Denn besonders bei verbundenen Unternehmen bzw. innerhalb von Konzernen können komplexe datenschutzrechtliche Regelungen sinnvoll oder gar notwendig sein.

Verschiedene Arten von Datentransfer

Die Übermittlung von personenbezogenen Daten zwischen Unternehmen lässt sich in drei Arten einteilen:

  1. Die Übermittlung an einen Dritten, der die Daten als eigenständiger Verantwortlicher verarbeitet.
  2. Die Verarbeitung findet aufgrund einer gemeinsamen Verantwortlichkeit statt.
  3. Die Übermittlung an einen weisungsgebundenen Dienstleister, der als Auftragsverarbeiter für den Verantwortlichen tätig wird.

An jede dieser Varianten knüpfen sich andere Rechtsfolgen, weshalb die im fraglichen Einzelfall vorliegende Art der Übermittlung zu bestimmen ist.

Bei den ersten beiden Punkten gibt es nur Verantwortliche, worunter die DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle fasst, die allein (Punkt 1) oder gemeinsam (Punkt 2) mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn eine Stelle nicht über Zwecke und Mittel entscheidet, sondern diese vorgegeben bekommt – sprich weisungsgebunden ist – liegt der Fall von Punkt 3 vor. Die DSGVO spricht dann von Auftragsverarbeitung. Näheres zu dieser Unterscheidung erfahren Sie in unserem Artikel über DSGVO-konforme Verarbeitung im Auftrag.

Konzernprivileg und kleines Konzernprivileg

Ob die Übermittlung dabei zwischen voneinander unabhängigen Unternehmen oder innerhalb einer Unternehmensgruppe bzw. eines Konzerns stattfindet, spielt dabei (zunächst) keine Rolle. Maßgeblich für die Beurteilung ist das Bestehen mehrerer juristischer Personen, nicht deren Verhältnis zueinander.

Ein sog. Konzernprivileg, welches eine Sondersituation statuieren würde, kennt die DSGVO nicht. Lediglich kleinere Erleichterungen knüpfen an das Bestehen einer Unternehmensgruppe an. Dabei spricht man dann vom „kleinen Konzernprivileg“. Dieses umfasst zum Beispiel die Bestellung eines Konzerndatenschutzbeauftragten oder gibt Punkte für die Interessensabwägung im Rahmen des berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vor. Insbesondere Letzteres wird im Folgenden relevant.

Die Voraussetzungen für das kleine Konzernprivileg liegen nach Art. 4 Nr. 19 DSGSVO vor, sobald ein „herrschendes“ und ein „abhängiges“ Unternehmen vorliegen. Erwägungsgrund 37 DSGVO besagt, dass dieses Verhältnis weit auszulegen ist, weshalb der Fall schon durch das Bestehen eines faktischen Beherrschungsverhältnis gegeben ist. Auf einen bestimmten gesellschaftsrechtlichen Status, z.B. den Vertragskonzernstatus des Aktienrechts, kommt es nicht an. Maßstab ist der mögliche beherrschende Einfluss auf die Datenverarbeitung (Näheres zum Unternehmensbegriff finden Sie zudem in diesem Artikel).

Rechtskonformer Datentransfer

Sobald ermittelt ist, welche Art von Datentransfer vorliegt, ergibt sich daraus die rechtlich gebotene Vorgehensweise. Grundsätzlich bedarf eine Verarbeitung personenbezogener Daten immer einer gesetzlichen Erlaubnis, da die DSGVO ein Verbot mit Erlaubnisvorbehalt aufstellt, d.h. was nicht ausdrücklich erlaubt ist, ist verboten.

Transfer Verantwortlicher zu Verantwortlicher

Beim Transfer von Daten zwischen zwei Verantwortlichen läuft es in der Regel auf eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 DSGVO hinaus, wobei als Erlaubnistatbestand meist die Verarbeitung auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO in Frage kommt. Bei der Abwägung ob ein berechtigtes Interesse besteht, spielt die Zugehörigkeit zu einer Unternehmensgruppe eine Rolle. Es greift das oben erwähnte kleine Konzernprivileg.

Erwägungsgrund 48 DSGVO besagt:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“

Die Konzernstellung verschiebt die Interessensabwägung zugunsten des Unternehmens. Im Grunde bleiben die Voraussetzungen für die Bejahung eines berechtigten Interesses aber gleich. Insbesondere bedarf es einer Erforderlichkeit für die Übermittlung. Die Erforderlichkeit ist nicht schon deshalb gegeben, weil den Unternehmen ein Beherrschungsverhältnis zugrunde liegt. Bei einem Großteil der Übermittlung von personenbezogenen Daten zwischen Konzernunternehmen wird die Interessensabwägung aber positiv ausfallen und man sollte sie auf das berechtigte Interesse stützen können. Es ist aber trotzdem immer eine Einzelfallwürdigung nötig. Eine pauschale Behauptung, das Interesse würde bestehen, ist nicht möglich.

Die Interessenabwägung kann auch noch weiter positiv beeinflusst werden: Eine praxisnahe Möglichkeit, um die Interessengewichtung zugunsten des Verantwortlichen zu verschieben, wird zum Teil in konzerninternen Datenschutzverträgen gesehen. Es handelt sich dabei nicht um ein explizites Mittel der DSGVO, sondern um eine an andere Maßnahmen angelehnte Möglichkeit, deren Einfluss nicht über die Interessenabwägung hinausgehen kann. Solche konzerninternen Datenschutzverträge können Schutzmaßnahmen zur Gewährleistung eines erhöhten Datenschutzniveaus – wie beispielsweise technische und organisatorische Maßnahmen – festschreiben und so dazu beitragen, dass die Beeinträchtigung der Rechte und Interessen von betroffenen Personen weniger intensiv ist und diese im Rahmen der Interessenabwägung weniger stark gewichtet werden.

Wie oben erwähnt, enthält die DSGVO – abseits der Regelungen zur Auftragsverarbeitung und beim Drittlandtransfer – keine Vorgaben für Datenschutzvereinbarungen zur Absicherung konzerninterner Datenübermittlungen. Für die Erstellung eines solchen Vertrages können jedoch die Vorgaben für solche Regelungen als Orientierung herangezogen werden.

Entscheidungserheblich, ob ein solches Interesse vorliegt, kann auch die Art der Daten sein. Für die Übermittlung von Kundendaten wird die Abwägung im Rahmen des überwiegenden berechtigten Interesses eher zugunsten des Unternehmens ausfallen, bei Beschäftigtendaten ist ein höherer Maßstab an die Übermittlungsvoraussetzungen anzulegen.

Da die strenge Zweckbindung auch im Rahmen der Übermittlung von personenbezogenen Daten zu beachten ist, dürfen die übermittelten Daten nur zu dem Zweck verarbeitet werden, welcher das festgestellte berechtigte Interesse begründet. Für eine etwaige Weiterverarbeitung dieser Daten wird eine hiervon losgelöste Rechtsgrundlage benötigt.

Gemeinsame Verantwortlichkeit

Die Verarbeitung kann auch im Rahmen einer gemeinsamen Verantwortlichkeit (Joint Control) erfolgen, wenn die Zwecke und Mittel der Verarbeitung gemeinsam festgesetzt werden. Dann bedarf es sowohl einer Rechtsgrundlage nach Art. 6 Abs. 1 Satz 1 DSGVO als auch eines Vertrags zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement).

Transfer Verantwortlicher zu Auftragsverarbeiter

Sofern die Voraussetzungen für eine Auftragsverarbeitung vorliegen, bedarf es keiner extra Erlaubnis nach Art. 6 Abs. 1 Satz 1 DSGVO für die Übermittlung. Dies ist der Fall, wenn eine Weisungsbefugnis in eine Richtung besteht, d.h. ein Unternehmen die Zwecke und Mittel der Verarbeitung festlegt und das andere die Verarbeitung entsprechend für dieses ausführt. Es ist dann jedoch ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Wie das funktioniert finden Sie ausführlich in einem eigenen Artikel erläutert.

Besonderheiten bei einem Drittlandstransfer

Handelt es sich um eine Übertragung von personenbezogenen Daten in ein Drittland, für das kein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, schreibt die DSGVO zusätzliche Maßnahmen vor, die zu treffen sind. Zum Beispiel beim Transfer in die USA. Meist kommen dann die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO, seltener Binding Corporate Rules nach Art. 47 DSGVO zum Zuge.

Standardvertragsklauseln gibt es jeweils für den Transfer von Verantwortlichen zu anderen Verantwortlichen und für den Transfer von Verantwortlichen an Auftragsverarbeiter.

Informationspflichten und Aufnahme der Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten

Auswirkungen hat die jeweilige Art des Transfers von personenbezogenen Daten auch auf die Informationspflichten nach Art. 13 und 14  DSGVO. Jeder Verantwortliche hat die von der Verarbeitung betroffenen Personen zu informieren. Ein Auftragsverarbeiter muss nicht informieren, da er nicht Verantwortlicher ist. Findet ein Datentransfer in ein unsicheres Drittland statt, ist über darüber und über die geeigneten Garantien zur Sicherheit des Transfers zu informieren.

Zudem ist die Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten, aufzunehmen. Dabei handelt es sich um eine Vorgabe aus Art. 30 DSGVO, die verpflichtend ist.

Fazit: Datentransfer von Anfang an DSGVO-konform gestalten

Übertragen Sie personenbezogene Daten an andere Unternehmen (auch innerhalb eines Konzerns oder einer Unternehmensgruppe), ist immer zu prüfen, warum und wie der Datentransfer stattfindet. Wenn die Umstände ermittelt sind, sind die entsprechend notwendigen Maßnahmen zu treffen (Interessenabwägung, Auftragsverarbeitungsvertrag, Joint-Controller-Agreement).

Auch Besonderheiten wie der Drittlandtransfer werden, gerade in großen Konzernen, schnell einmal übersehen. Aber gerade hier dürfen keine Fehler passieren. Über das Verzeichnis von Verarbeitungstätigkeiten können die Aufsichtsbehörden einfach und effektiv kontrollieren, ob die Vorschriften beachtet wurden. Bußgelder können sich dann am Konzernumsatz bemessen. Wer seine Übermittlungen von personenbezogenen Daten von Anfang an mit Blick auf die DSGVO gestaltet, beugt dem vor und kann dabei selbst Gestaltungsspielräume ausnutzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

4 Kommentare

  1. Rainer Kress Profilbild
    Rainer Kress

    Auch von mir ein Lob für die schlüssige Darstellung. Es wird jedoch überwiegend von personenbezogenen (Beschäftigten-)Daten ausgegeangen. Ich würde hier anhand eines Beispiels noch weiter ausholen wollen:
    Muttergesellschaft M und Tochtergesellschaft T treten getrennt voneinander im Markt auf.
    M betreibt die IT-Infrastruktur und stellt diese T zur gemeinsamen Nutzung zur Verfügung. Die Beschäftigten beider Firmen sind projektbezogen wechselseitig für M und T tätig. Wenn nun M oder T personenbezogene Daten eines Auftraggebers bearbeiten, besteht zwischen Kunden und M oder T ein ADV. Ist es nun ausreichend, dass ein Joint Controller Vertrag, in dem die Nutzung der IT und die Einhaltung der DSGVO dokumentiert sind, zwischen M und T besteht, um den Projektauftrag mit den eingesetzten Mitarbeitern von M und T erfüllen zu können? Ein entsprechender Hinweis auf das bestehen des JC-Vertrags sollte sich selbstverständlich in bei den Datenschutzerklärungen von M und T finden. Sollte der JC-Vertrag auch beim Abschluss des ADV Erwähnung finden oder genügt der Verweis in der DS-Erklärung?
    Auch das “kleine Konzernprivileg” spricht immer nur von “internen Verwaltungszwecken”. Zählt hierzu auch das Tagesgeschäft, wie gemeinsame Erfüllung von Projektaufträgen? Sehen Sie hier noch weitere zu beachtende Aspekte?

    Antworten
    1. Elke Fenk Profilbild
      Elke Fenk

      Sehr geehrter Herr Kress,

      vielen Dank für Ihren Kommentar.
      Selbstverständlich umfasst die datenschutzrechtliche Verantwortung der personenbezogenen Daten bei Konzernzusammenschlüssen auch Kunden- oder Projektdaten. Hier sind die Einzelheiten des jeweiligen Falles zu berücksichtigen. Wird die IT als Auftragsverarbeitung durch die Mutter an die Tochter gegeben, kann hier eine Auftragsverarbeitung vorliegen, welche dann als Unterauftragnehmer in den Verträgen mit dem jeweiligen Kunden widerzugeben ist.
      Ebenso verhält es sich bei der Projektplanung und -bearbeitung: Je nach Tätigkeit, die im Einzelfall gegeben ist, sind Auftragsverarbeitung nach Art. 28 DSGVO oder eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegend. Hierfür würden weitere Informationen notwendig werden, welche zu beurteilen und der entsprechenden Konstellation anschließend zuzuordnen sind. Bei Auftragsverarbeitung verhält es sich wie eben dargestellt, sofern eine gemeinsame Verantwortlichkeit besteht, ist der Auftraggeber im Rahmen der Verträge darauf hinzuweisen.
      Bezüglich des kleinen Konzernprivilegs ist das Tagesgeschäft nicht einbezogen, hierbei geht es um kleinere administrative Tätigkeiten, nicht um die Bearbeitung von Projektaufträgen, welche die Dienstleistung des Unternehmens bzw. der Konzerngruppe darstellt.

      Beste Grüße
      Elke Fenk
      activeMind

      Antworten
  2. VolkerG Profilbild
    VolkerG

    Sehr schöne und schlüssige Darstellung!

    Was ich mich im Zusammenhang mit Joint Controllership nach Art. 26 frage ist was eigentlich der Mehrwert dieses Konstrukts ist. Anders als Auftragsverarbeitung nach Art. 28 i. V. m. Art 4 DS-GVO erzeugt Joint Controllership ja nicht die Situation dass beide Parteien sich gegenseitig nicht mehr als Dritte i. S. v. Art. 4 Ziffer 11 sehen müssen so dass ich auch bei Vorliegen eines Vertrags der die Voraussetzungen von Art. 26 erfüllt immer noch eine Rechtsgrundlage nach Art. 6 Abs. 1 vorweisen muss. Insofern hilft Joint Controllership aus meiner Sicht allenfalls bei der Interessenabwägung nach Art. 6 Abs. 1 f.

    Kann man es so ausdrücken dass Joint Controllership für Unternehmen die in keinem Beherrschungsverhältnis stehen eine ähnliche Wirkung entfaltet wie das kleine Konzernprivileg für diejenigen Firmen hat die über ein solches Verhältnis verbunden sind oder gibt es da weitere Aspekte?

    Antworten
    1. Ulrich Lasser Profilbild
      Ulrich Lasser

      Hallo VolkerG,

      die Regelung zur gemeinsamen Verantwortlichkeit in Art. 26 DSGVO hat vor allem den Schutz betroffener Personen zum Ziel und ist losgelöst von der Frage der Verarbeitungserlaubnis zu sehen. Da es sich um eine Pflicht handelt, die sich aus tatsächlichen Umständen ergibt, hat Art. 26 keinen Einfluss auf eine Interessensabwägung. Es geht um die Umstände und Folgen einer gemeinsamen Verarbeitung, nicht um die Erlaubnis.

      Durch die Norm wird die Transparenz gefördert, indem nach außen kommuniziert werden muss, wie die Verarbeitung strukturiert ist und vor allem wer daran beteiligt ist. Mittelbar fördert das den effektiven Rechtsschutz. Auch nach innen entfaltet die Vorschrift Wirkung. Durch Zuständigkeitsvereinbarungen wird nicht nur die Sicherheit der Verarbeitung erhöht und dafür gesorgt, dass betroffene Personen ihre Rechte ausüben können, sondern auch haftungsrelevante Punkte geregelt. Rechtsunklarheiten und Haftungsstreitigkeiten werden durch eine klare Regelung minimiert, was insbesondere bei einem Kräfteungleichgewicht der beteiligten verantwortlichen Stellen für die kleineren Parteien eine große Erleichterung sein kann.

      Viele Grüße
      Ulrich Lasser
      activeMind

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.