Datenübermittlung in Konzernen nach der DSGVO

Egal wo Daten übermittelt werden sollen, stellt dies immer eine Datenverarbeitung im Sinne der DSGVO dar. Diese muss dann auch im Sinne der DSGVO erlaubt sein. In der Praxis kann das gerade Konzerne vor schwierige Probleme stellen.

Konzerne sind Gruppen von Unternehmen, die alle unter dem Dach des Konzerns agieren, in der Regel aber rechtlich eigenständig sind. Es liegt in der Natur der Sache, dass hier oft Daten zwischen den einzelnen Unternehmen übertragen werden sollen. Bei Verstößen greifen auch hier hohe Bußgelder.

Es stellt sich die Frage: Gibt es in der DSGVO Regelungen, die diesen Vorgang erleichtern?

Gibt es ein Konzernprivileg?

Um die Antwort vorwegzunehmen: Ein wirkliches Konzernprivileg gibt es in der DSGVO im Gegensatz zu anderen Rechtsgebieten nicht.

Dabei haben Konzerne nicht nur die Aufgabe, in einem Unternehmen den Datenschutz zu beachten, sondern müssen dies gleich in mehreren Unternehmen überwachen und zudem in den einzelnen Unternehmen an das Vorgehen des gesamten Konzernes anpassen. Dies erfordert viel Kommunikation und Koordination.

Hierbei hilft aber das sogenannte „kleine Konzernprivileg“ der DSGVO. Gemäß Art. 37 II DSGVO kann ein Konzern als Gruppe von Unternehmen im Sinne von Art. 4 Nr. 19 DSGVO einen zentralen Datenschutzbeauftragten für alle Unternehmen im Verbund ernennen. Dieser Datenschutzbeauftragte muss neben allen anderen Anforderungen der DSGVO an einen Datenschutzbeauftragten auch von den Niederlassungen aus leicht zu erreichen sein. So soll er vom Gedanken des Gesetzgebers her sowohl mit den Niederlassungen als auch mit den lokalen Datenschutzbehörden besser zusammenarbeiten können. Gerade bei größeren Konzernen, die auch internationale Niederlassungen haben, stellt dies aber eine praktisch nicht erfüllbare Voraussetzung dar, aufgrund der zeitlichen, räumlichen und gegebenenfalls auch sprachlichen Barrieren.

In der Praxis werden die Konzern-Datenschutzbeauftragten deshalb oft von lokalen Datenschutz-Koordinatoren (auch Privacy-Manager genannt) unterstützt. Diese sind mit dem lokalen Recht und der Sprache vertraut, sind aber selbst keine benannten Datenschutzbeauftragten. Sie treten nur als Mittler auf. Art. 37 II DSGVO erfordert nämlich nicht, dass der Konzern-Datenschutzbeauftragte stets vor Ort verfügbar ist, was solche Lösungen vereinfacht. Sonst würde die Anwendbarkeit in der Praxis auch ins Leere laufen. Es soll genügen, dass er über technische Mittel schnell kontaktierbar ist und zumindest innerhalb der EU auch zeitnah ein Termin vor Ort vereinbart werden kann.

Internationale Konflikte

Gerade große Konzerne agieren überwiegend international auch außerhalb des Geltungsbereiches der DSGVO, was sie vor die Herausforderung stellt, verschiedene Datenschutzvorschriften beachten zu müssen.

Hier ist das bereits erklärte Vorgehen über Datenschutz-Koordinatoren unerlässlich.

Erfolgt eine Datenübermittlung in ein Land außerhalb der EU, ist zudem immer zu beachten, dass dort ein Schutzniveau gewährleistet wird, das dem Standard der DSGVO entspricht. Zudem muss auch der Übermittlungsprozess entsprechend abgesichert sein, sodass die Daten nicht an Unbefugte geraten können.

Die Einhaltung der Vorschriften der DSGVO muss natürlich auch entsprechend der Rechenschaftspflicht nachweisbar sein. Es empfiehlt sich demnach, alle Datenverarbeitungen lückenlos zu dokumentieren.

Bevor ein Vorgang durchgeführt wird, sollte in der Planung immer auch der jeweilige Datenschutzbeauftragte zu Rate gezogen werden.