Rechtsgrundlagen für den konzerninternen Datentransfer

Geschrieben am: | Geschätzte Lesezeit: 9 Minuten

Unternehmen innerhalb eines Konzerns übermitteln regelmäßig personenbezogene Daten an andere Konzerntöchter oder die Konzernmutter. Da es aus Sicht das Datenschutzes kein generelles Konzernprivileg gibt, bedarf es dafür einer Rechtsgrundlage. Doch für unterschiedliche Datenverarbeitungen eignen sich auch jeweils andere Rechtsgrundlagen. Wir verschaffen Ihnen einen Überblick.

Datenschutzrechtliche Voraussetzungen für Datentransfer im Konzern

Die Anzahl großer auch multinationaler Konzerne wächst weiter. Zugleich verstärken sich die Tendenzen zur konzernweit ausgerichteten Personalverwaltung und anderer in einer Matrixstruktur durchgeführter Verarbeitungstätigkeiten. Während Konzerne sich als wirtschaftliche Einheit verstehen, ist für das Datenschutzrecht das einzelne Unternehmen maßgeblich.

So definiert die EU-Datenschutz-Grundverordnung (DSGVO) einen Konzern bzw. eine Unternehmensgruppe in den Begriffsbestimmungen unter Art. 4 Nr. 19 DSGVO als „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

In Erwägungsgrund 48 DSGVO hält der Gesetzgeber fest, dass für den Austausch von personenbezogenen Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Einrichtungen, die einer zentralen Stelle zugeordnet sind, ein berechtigtes Interesse bestehen kann. Dies ist jedoch nicht gleichzusetzen mit einer grundsätzlichen Erlaubnis zum Datenaustausch. Es bedeutet lediglich, dass eine Übermittlung im Einzelfall und nach vorheriger Abwägung auf den Rechtsgrund des Art. 6 Abs. (1) f DSGVO gestützt werden kann.

Nichtsdestotrotz muss die konkrete Konstellation des Datenaustauschs stets hinterfragt werden. Der erste Schritt sollte immer die Frage nach der tatsächlichen Notwendigkeit der Übermittlung sein. Besteht eine solche, sollte dann hinterfragt werden, ob der Zweck auch mittels einer pseudonymen oder gar anonymisierten Verarbeitung durch eine Konzerngesellschaft auf gleiche Weise erreicht werden kann. Handelt es sich im Grunde nicht um eine konzerndimensionale Verarbeitung, im Zuge derer mehrere Unternehmen Zweck und oder Mittel bestimmen, bedarf es oftmals keiner Übermittlung von Klarnamen, ohne dass der eigentliche Zweck vereitelt würde. Vor diesem Hintergrund ist der Grundsatz der Datensparsamkeit nach Art. 5 DSGVO zu beachten – insbesondere auch im Konzernkontext.

Grundsätzlich entfaltet die Verarbeitung selbst konstituierende Wirkung für die daraufhin zu realisierende rechtliche Gestaltung. Bevor man sich an einen Rechtstext macht, der den Datenfluss innerhalb eines Konzerns vertraglich flankieren soll, muss also eruiert werden, wie die jeweiligen Verarbeitungstätigkeiten tatsächlich in der Praxis erfolgen.

Je nach konzerndimensionaler Realisierung oder getrennt nach Unternehmen, kommen mehrere Konstellationen in Frage:

Auftragsverarbeitung

Wird ein Konzernunternehmen als Auftragsverarbeiter für ein oder mehrere andere Konzernunternehmen im Rahmen einer Hilfsfunktion weisungsgebunden tätig, so sind Auftraggeber und Auftragnehmer im Verhältnis zueinander nicht Dritte. Der Auftraggeber bleibt Verantwortlicher und die Datenweitergabe zwischen beiden stellt keine bloße Übermittlung von personenbezogenen Daten dar. Dies ist im Konzernkontext dann der Fall, wenn eine Konzerngesellschaft als Dienstleistungsgesellschaft für den gesamten Konzern oder einzelne Einheiten fungiert. Eine Konzerndienstleistungsgesellschaft wird in der Regel als Auftragsverarbeiter für die anderen Konzerngesellschaften tätig.

Es ist nicht generell anzunehmen, dass eine Konzern- bzw. Muttergesellschaft als Auftragnehmer fungiert. In der Praxis kann auch der der Fall eintreten, dass die Konzernmutter eigenständige Nutzungsrechte an den vom zur Verfügung gestellten Daten haben will oder hinsichtlich einiger Verarbeitungstätigkeiten selbst Zwecke und Mittel der Verarbeitung bestimmt oder Einfluss darauf ausüben wird. Hier muss von einer anderen Konstellation ausgegangen werden, da die Konzernmutter unter Umständen die an sie übermittelten Daten entweder in eigener Verantwortlichkeit oder mit anderen Unternehmen gemeinschaftlich verarbeitet.

Gemeinsame Verantwortlichkeit

In Abgrenzung zur Verarbeitung im Auftrag, kommt bei einer gemeinschaftlichen Verarbeitung eine gemeinsame Verantwortlichkeit zwischen mehreren Verantwortlichen in Betracht. Der Unterschied zur zuvor genannten Konstellation ist, dass beide Parteien sowohl über Zwecke als auch Mittel der Verarbeitung bestimmen und so einen ursächlichen Beitrag für die Erfüllung des der Verarbeitung zugrundeliegenden Zweckes leisten.

In diesem Fall benötigen beide Verantwortliche eine Rechtsgrundlage. Dies kann im Rahmen von konzerndimensionalen Arbeitsverhältnissen zum Beispiel dann vorliegen, wenn verschiedene Konzernunternehmen einen Einfluss auf die Durchführung des Arbeitsverhältnisses haben, da dies im Arbeitsvertrag so vorgehsehen ist. Der einzige Unterschied ist, dass die Anforderungen aus dem Datenschutzrecht beide Verantwortliche treffen. Einzelne Pflichten können mittels Vertrags aufgeteilt werden. Gewinnbringend erscheint zum Beispiel, dass die sachnähere Unternehmenseinheit bestimmte organisatorische Maßnahmen für den anderen Verantwortlichen übernimmt. Alle Anforderungen ergeben sich aus Art. 26 DSGVO.

Siehe dazu auch unser gesonderter Ratgeber zur gemeinsamen Verarbeitung personenbezogener Daten (im Konzern).

Bloße Datenübermittlung

Wenn hingegen eine ganze Unternehmenseinheit zur eigenverantwortlichen Wahrnehmung an eine Konzerngesellschaft übertragen wird, wird der Datenverarbeiter selbst zum Verantwortlichen für die Aufgabe, die zur Durchführung in eigener Verantwortung übertragen wurde. Bei der Übermittlung werden personenbezogenen Daten dann lediglich übermittelt.

Zu beachten gilt, dass es freilich auch eine Rechtsgrundlage für den Datentransfer des übermittelnden Unternehmens geben muss. Sollen personenbezogene Daten lediglich für interne Verwaltungszwecke übermittelt werden, kann in der Regel auf das berechtigte Unternehmensinteresse gemäß Art. 6 Abs. 1 lit f DSGVO abgestellt werden. Oftmals müssen die übermittelten Daten für eine interne Verwaltung aber nicht personenbezogen sein, so dass eine bloße Übermittlung in der Praxis eine eher untergeordnete Rolle spielen sollte. Der bloßen Übermittlung im Konzernkontext liegt zuweilen auch ein Vertrag zugrunde. Aus dem Vertrag muss dann gegenüber den Betroffen transparent hervorgehen, dass im Zuge der Erfüllung auch andere Verantwortliche involviert sind.

Erlaubnis aus der Zweckbestimmung eines Vertrages

Eine Legitimation für einen Datentransfer kann insbesondere in einem Vertragszweck begründet liegen. Denken Sie unbedingt daran, dass es sich um einen zugrundeliegenden Vertrag zwischen Betroffenen und Unternehmen handeln muss. Sollen beispielsweise Beschäftigtendaten an ein Konzernunternehmen übermittelt werden, muss der zugrundeliegende Zweck hierfür aus dem Arbeitsvertrag mit den jeweiligen Mitarbeitern hervorgehen. Dies ist dann der Fall, wenn der Arbeitsvertrag bei Vertragsschluss ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Die Übermittlung ist dann regelmäßig zur Durchführung des Arbeitsverhältnisses im Sinne des § 26 BDSG (Bundesdatenschutzgesetz) notwendig.

Gleiches gilt für die Vertragserfüllung gegenüber Kunden. Tritt der Verantwortliche im Rechtsverkehr als Konzern auf bzw. erfüllt Leistungen im Rahmen von Konzernverträgen oder durch verschiedene Unternehmenseinheiten, ergibt sich die Rechtsgrundlage gegenüber dem Betroffenen bereits aus dem zugrundeliegenden Vertrag. Ist der Zweck dementsprechend konzerndimensional angelegt, bedarf es keiner der anderen aufgezählten Rechtsgrundlagen.

Berechtigtes Interesse des Verantwortlichen

Grundsätzlich ist von einem vorangingen Interesse des Betroffenen an keiner Weitergabe  auszugehen. Eine Übermittlung könnte sich jedoch dann im Rahmen des berechtigten Interesses (Art. 6 Abs. 1 lit f DSGVO) des weitergebenden Konzernunternehmens rechtfertigen lassen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der jeweiligen Betroffenen treffen. Dies ist insbesondere von der Kategorie der Daten sowie Kategorie der Betroffenen abhängig.

Die Abwägung der Übermittlung von Kundendaten – die sich teilweise auf Name und Adresse beschränken – fällt eher zugunsten des Konzernunternehmens aus. Im Falle von Beschäftigtendaten, insbesondere solche der Personalverwaltung, dürfte regelmäßig das Gegenteil der Fall sein. Diese Entscheidung ist stets eine des Einzelfalls, wobei alle entscheidungserheblichen Kriterien innerhalb der Abwägung berücksichtigt werden müssen. Nicht umsonst legt der Verordnungsgeber in den Auslegungshilfen in Form der Erwägungsgründe fest, dass ein berechtigtes Interesse zu internen Verwaltungszwecken vorliegen kann, aber nicht muss. Zudem lässt die Beschränkung ausschließlich zu Verwaltungszwecken den Schluss zu, dass dieser Erwägungsgrund restriktiv auszulegen ist.

So kann das Ergebnis der Abwägung ausnahmsweise auch zugunsten der berechtigten Interessen der Konzernunternehmen ausfallen. Entscheidungserheblich sind dabei unter anderem:

  • Vorliegen eines konzernweiten Datenschutzkonzepts
  • einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen, einschließlich der Möglichkeit, die Betroffenenrechte bei jeder der Konzerngesellschaften gleichermaßen geltend machen zu können
  • der Verarbeitungsverlauf muss für die Betroffenen transparent sein. Hierzu bedarf es entsprechender Informationen, welche die Maßgaben aus Art. 12 ff. DSGVO erfüllen.
  • ein konzernweit realisiertes Datenschutzmanagementsystem, das auch im Falle einer Internationalität einen verbindlichen, konzernweiten Datenschutzstandard festlegt und somit die Einhaltung auch nationaler Besonderheiten berücksichtigen kann
  • im Falle von Beschäftigtendaten muss der Arbeitgeber weiterhin umfassender Ansprechpartner für den Arbeitnehmer bleiben, d.h. auch für die Erfüllung sämtlicher Betroffenenrechte einstehen
  • auch darf das Haftungsrisiko nicht dergestalt verlagert werden, dass bei dem ursprünglich übermittelnden Verantwortlichen kein Schadenersatz mehr geltend gemacht werden kann. Der Betroffene muss der Jurisdiktion unterliegen, welche er auch ohne Datentransfer unterläge bzw. mindestens ein diesbezügliches Wahlrecht haben
  • Übermittlung der Daten auch in ein unsicheres Drittland und in diesem Falle das Vorliegen geeigneter Garantien für einen Transfer

Etwaige Regelungen müssen zwischen den Konzernunternehmen verbindlich getroffen werden, z.B. durch Verträge oder in Form von bindenden Unternehmensregelungen. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden. Besonderheiten gelten freilich für den Fall, dass personenbezogene Daten im Zuge des Konzerntransfers in ein unsicheres Drittland übermittelt werden sollen.

Einwilligung

Eine Einwilligung der Betroffenen sollte nur in den Fällen in Anspruch genommen werden, in denen dieser eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Für Unternehmen ist diese Rechtsfolge oftmals nicht praktikabel. Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus. Auch sind für den Fall des beabsichtigten Transfers von Beschäftigtendaten die jeweiligen nationalen Besonderheiten zu beachten. In Deutschland gelten über die DSGVO hinausgehende Mindestanforderungen für die Einwilligung im Beschäftigungskontext nach § 26 Abs. 2 BDSG.

Betriebsvereinbarungen

Eine Betriebsvereinbarung kommt ebenfalls als Legitimation eines konzerninternen Datentransfers für Beschäftigtendaten in Betracht. Art. 6 Abs. 2 in Verbindung mit Art. 88 DSGVO regelt eine Abweichungsbefugnis zugunsten der Mitgliedstaaten für Datenverarbeitungen im Beschäftigungskontext. Wenn mit Hilfe von Betriebsvereinbarungen die oben beim berechtigten Interesse der verantwortlichen Stelle genannten Anforderungen erfüllt sind, bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung.

Für weitergehende Praxistipps empfehlen wir die Lektüre unseres speziellen Artikels zum konzerninternen Datentransfer auf Basis einer Betriebsvereinbarung.

Praxistipps für den konzerninternen Datentransfer

Gehen Sie systematisch vor. Beschreiben Sie im Unternehmen zunächst, welche Verarbeitungstätigkeiten vorliegen. Hierbei kann Ihnen unter Umständen der Rückgriff auf ein vorliegendes (konzernweites) Verzeichnis von Verarbeitungstätigkeiten helfen, da hierin der Empfängerkategorie entnommen werden kann, welche Verarbeitungen einen konzerndimensionalen Bezug haben. Für all diese Verarbeitungstätigkeiten muss im Vorfeld ermittelt werden, welche Unternehmenseinheit oder Konzerngesellschaft personenbezogene Daten erhalten muss, um den mit der Verarbeitung verbundenen Zweck erfüllen zu können. Nur wenn es überhaupt der Übermittlung bedarf, muss eine Rechtsgrundlage gefunden werden.

Tipp: Oftmals wird der Transfer allgemeiner und personenbezogener Daten innerhalb des Konzerns nicht getrennt. Eine in allen Prozessen wirtschaftlich eingebundene Konzernmutter wird freilich alle Daten aller Konzerngesellschaften für die Wirtschaftsplanung einsehen und verarbeiten wollen bzw. müssen. Hier stellt sich die Frage, ob diese Daten auch um einen vorliegenden Personenzug bereinigt ausreichen.

Unterscheiden Sie zwingend zwischen Beschäftigten und anderen Kategorien von Betroffenen. Die Übermittlung von HR-Daten bedarf im Zweifel eines besonders strengen Prüfmaßstabs.

Denken Sie an geeignete Garantien für einen Transfer in ein Drittland. Oft sind die Compliance-Vorgaben in verschiedenen Ländern unterschiedlich, da hier Unternehmen aus verschiedensten Rechtstraditionen zusammenkommen. Hier gilt es besonders wachsam zu sein. Garantien für einen Transfer von personenbezogenen Daten ersetzen keine Rechtsgrundlage, diese überhaupt übermitteln zu dürfen.

Tipp: Notwendig ist in diesem Fall immer eine gedanklich zweigestufte Prüfung. Erstens: Liegt überhaupt eine Rechtsgrundlage für die Übermittlung vor? Zweitens: Existiert eine geeignete Garantie, wodurch für den Betroffenen das gleiche Datenschutzniveau auch im Drittland gewährleistet wird?

Denken Sie unbedingt an die bestehende Rechenschaftspflicht. Wenn Sie als Rechtsgrundlage für den Datentransfer ein überwiegendes berechtigtes Unternehmensinteresse anführen, bedarf es hierzu auch einer dokumentierten Abwägung, aus der hervorgeht, dass die Abwägung zugunsten des Unternehmens ausfällt. Eine solche Abwägung müssen Sie der Aufsichtsbehörde im Zweifelsfall vorlegen können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

10 Kommentare

  1. Patricia Schmitt-Peter Profilbild
    Patricia Schmitt-Peter

    Sehr geehrter Herr Röleke,

    ich habe folgende Frage: Ein mittelständisches deutsches Unternehmen, mit Muttergesellschaft in UK wird von einem amerikanischen Konzern übernommen. Mit der Muttergesellschaft in UK gab es ein Agreement zur Verarbeitung der personenbezogenen Mitarbeiterdaten (auch Gehaltsdaten). Nun fordert eine deutsche Konzerntochter die Weitergabe der Gehaltsdaten aller Mitarbeiter um z.B. Gehaltsanpassungen prüfen zu können. Ich bin der Meinung dies kann nur auf Basis einer Rechtsgrundlage erfolgen und die alleinige Berufung auf das Konzernprivileg ist nichts rechtens. Über Ihren Kommentar wäre ich dankbar.

    Antworten
    1. Martin Röleke Profilbild
      Martin Röleke

      Danke für Ihre Anfrage, die ich gerne versuche zu beantworten.

      Der Konzern kann ein berechtigtes Interesse nach Art. 6 Abs.1 lit.f DSGVO geltend machen, wenn er zu administrativen Zwecken personenbezogene Daten – darunter auch Gehaltsdaten – verarbeiten will. Dann spricht man von einem sog. “kleinen Konzernprivileg”. In diesem Fall darf das Individualinteresse der einzelnen Beschäftigten, Daten nicht weitergeben zu dürfen, nicht überwiegen.

      Das ist insbesondere dann der Fall, wenn der verfolgte Zweck – hier die Gehaltsanpassung – auch mit milderen Mitteln erfüllt werden könnte, sprich die Datenweitergabe in dieser Form nicht notwendig ist.

      Typischerweise wird das berechtigte Interesse der Unternehmensgruppe dann dem Interesse der Beschäftigten überwiegen, wenn die Gehaltsdaten pseudonymisiert weitergegeben, Gehaltsanpassungen auch auf Kostenstelle oä, erfolgen kann. Nicht immer geht es im Konzernkontext gerade um die Zuordenbarkeit einer bestimmten natürlichen Person. Anders etwa bei einer individuellen Personalentwicklungsplanung.

      Konzerninterne Verträge zur Datenweitergabe sind insbesondere dann notwendig, wenn Daten auch in unsicheren Drittländern verarbeitet werden sollen. Dies gilt auch nach dem Angemessenheitsbeschluss (EU-US), da dann ein weltweites Schutzniveau auch für solche Länder garantiert werden kann, die nicht qua Angemessenheitsbeschluss als sicher eingestuft wurden.

      Ich hoffe, ich konnte in dieser Allgemeinheit weiterhelfen.

      Antworten
  2. T.P. Profilbild
    T.P.

    Vielen Dank für den interessanten Artikel!
    Ich hätte eine Frage zur datenschutzrechtlichen Rolle.
    Ein Unternehmen (Mutter) gründet eine Tochtergesellschaft. Die Mutter führt Gehalts- und Lohnabrechnung für die Tochtergesellschaft durch. Liegt hier ein Auftragsverarbeitungsverhälntis vor?
    Vielen Dank für die Antwort

    Antworten
    1. Martin Röleke Profilbild
      Martin Röleke

      Vielen Dank für Ihre Anfrage.

      Da es sich um Mitarbeiter der Tochter handelt und die Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses notwendig ist, leitet die Mutter ihre Rechtsgrundlage (§ 26 BDSG) von der Tochter ab, wird also für und im Auftrag der hierfür eigens verantortlichen Tochter tätig. In einer solchen Situation liegt regelmäßig eine Auftragsverarbeitung der Dienstleistungsgesellschaft im Auftrag der verantwortlichen Töchter vor.

      Mit freundlichen Grüßen
      Martin Röleke

      Antworten
      1. K.M. Profilbild
        K.M.

        Hallo Herr Röleke,
        dieses Thema betreffend habe ich gelesen das eine Mutter nicht Auftragsverarbeiter einer Tochter sein kann, da eine Tochter einer Mutter (die ja hier Entscheidungshoheit hat) keine Weisungen erteilen kann. Wie sehen Sie das?

        Antworten
        1. Martin Röleke Profilbild
          Martin Röleke

          Gerne kann ich kurz darauf eingehen.

          Die Möglichkeit besteht insbesondere dann, wenn nur das Tochterunternehmen eine Rechtsgrundlage besitzt, nicht jedoch die Mutter. Denn auch eine Unternehmenstochter kann Aufgaben wahrnehmen, die nichts mit dem Beherrschungsverhältnis im Konzern zu tun haben. Die datenschutzrechtliche Verantwortlichkeit bemisst sich bspw. auch nach den eigenen, originären gesetzlichen Verpflichtungen als Tochterunternehmen. Steht der Unternehmenstochter die Rechtsgrundlage im Sinne einer Verarbeitungserlaubnis zu, der Konzernmutter jedoch nicht (kein Konzernprivileg), kann die Tochter die Muttergesellschaft wie ein anderes Unternehmen auch, als Auftragsverarbeiter einsetzen. Beispiel: Unternehmenstochter schließt eigene Arbeitsverträge mit AN. Originäre RGL für die Verarbeitung der hiesigen MA-Daten ist § 26 BDSG, da beabsichtigter Verarbeitungszweck nicht von Arbeitsvertrag abgedeckt. Wird nun die Konzernmutter für Zwecke eigener Verpflichtungen im Bereich Personalmanagement eingesetzt, kann ein Shared Service für alle Töchter auch in einem Auftragsverhältnis erfolgen. Bzgl. der Erfüllung eigener gesetzlicher Verpflichtungen bedarf es eines Weisungsrechts auch gegenüber der Mutter.

          Antworten
  3. Thorsten Schuhmacher Profilbild
    Thorsten Schuhmacher

    Vielen Dank für den interessanten Artikel.

    Wie wäre es denn zu beurteilen, wenn eine Konzerntochter personenbezogene Daten erhält, diese anonymisiert und in anonymisierter Form an die Konzernmutter weitergeben möchte? Bedarf es für diese Weitergabe auch einer Rechtsgrundlage (z.B. dass die ursprüngliche Einwilligung auch die anschließende Weitergabe in anonymisierter Form umfassen muss)? Oder ist mit der Anonymisierung ein “neuer” Datensatz entstanden, mit dem die Konzerntochter machen kann, was sie möchte?

    Danke für Ihre Meinung.

    Antworten
    1. Martin Röleke Profilbild
      Martin Röleke

      Haben Sie vielen Dank für das Lob und die interessante Rückfrage.

      Ihrer Frage entnehme ich, dass die Ersterhebung der Daten durch die Konzerntochter aufgrund einer Einwilligung erfolgte. Mit dieser sollte der ursprüngliche Verarbeitungszweck abgedeckt werden. Die Weitergabe der Daten zu einem bestimmten Zweck stellt eine eigenständige Verarbeitungstätigkeit dar, die ihrerseits einer Rechtsgrundlage bedarf. Dies kann – je nach Zweck – ebenfalls die Einwilligung sein, muss es aber nicht. Je nach Einzelfall kann die Weitergabe der Daten zu einem bestimmten Zweck auch ein überweigendes berechtigtes Interesse der Konzerntochter sein. Die im Vorfeld durchgeführte Anonymisierung ist dann ein starkes, abwägungserhebliches Kriterium für die Annahme eines berechtigten Interesses zugunsten der Konzerntochter.

      Gesetzt den Fall, dass eine der obigen Rechtsgrundlagen zugunsten der Konzerntochter sowie die technischen Voraussetzungen an die Anonymisierung gegeben sind, kann die Konzernmutter die Daten nach Belieben (weiter)verarbeiten. Bei der Verarbeitung anonymisierter Daten bedarf es mangels Anwendbarkeit keiner datenschutzrechtlichen Legitimation mehr.

      Besteht ein enger Zusammenhang zwischen der Ersterhebung und der beabsichtigten Weiterverarbeitung besteht zudem die Möglichkeit über eine Anwendung der ausnahmsweise möglichen Zweckänderung nach Art. 6 Abs. 4 DSGVO nachzudenken. Vertiefende Hinweise hierzu finden Sie im Artikel meines Kollegen.

      Viele Grüße,
      Martin Röleke

      Antworten
  4. Thomas H. Profilbild
    Thomas H.

    Eine Verständnisfrage : Art. 6 I f DSGVO bezieht sich erstmal nur um die reine Übermittlung innerhalb des Konzerns. Insofern eine andere Gesellschaft innerhalb dieses Konzerns (also nicht die Konzerngesellschaft, die mit dem Datensubjekt im Vertragsverhältnis steht) auf die übermittelten personenbezogenen Daten zugreift, liegt eine weitere Verarbeitung vor, die ihrerseits eine Rechtfertigung benötigt. Woher wird diese typischerweise hergenommen? Ich denke beispielsweise an Fälle wie eine einheitlich vom Konzern genutzte Kundendatenbank.

    Antworten
    1. Martin Röleke Profilbild
      Martin Röleke

      Vielen Dank für Ihre Anfrage!

      Wie Sie richtig erkannt haben, bedarf es stets einer Rechtsgrundlage. Gedanklich müssen Sie hierzu den Prüfkatalog des Art. 6 DSGVO durchgehen und an etwaige nationale Abweichungen denken.

      In Ihrem Beispiel einer konzernweiten Kundendatenbank bedarf es zur Speicherung dieser Kundendaten einer Rechtsgrundlage. Hier lässt sich zugunsten eines berechtigten Unternehmensinteresses gut argumentieren. Eine konzernweite Kundendatenbank wird aber in der Praxis freilich zu weiteren Zwecken als die bloße Speicherung hinaus angelegt, die ihrerseits wiederum einer Rechtsgrundlage bedürfen.

      Die elekrtonsiche Bewerbung von Kunden durch eine Konzerngesellschaft, mit denen diese nicht im Vertragsverhältnis steht, wird nicht mehr über ein berechtigtes Interesse zu rechtfertigen sein. Daher ist es wichtig, sich stets im Vorfeld einer anstehenden Verarbeitung über die Erforderlichkeit Gedanken zu machen. Hinterfragen Sie, warum es sich um eine konzernweite Kundendatenbank handeln muss und ob es für die beabsichtigten Verarbeitungen durch jede der involvierten juristischen Personen eine entsprechende Rechtsgrundlage gibt.

      In diesem Zusammenhang ist empfehlenswert, zunächst alle beabsichtigten Zwecke zu welchen auf diese Daten zurückgegriffen werden soll, abschließend zu eruieren.

      Viele Grüße,
      Martin Röleke

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.