Geschrieben am 31.07.2017 von:
Das aus dem Aktienrecht bekannte Konzernprivileg war im Datenschutzrecht bisher nicht anerkannt. Durch Wirksamkeit der Datenschutz-Grundverordnung im Mai 2018 sind aber zumindest wesentliche Erleichterungen für die verantwortlichen Stellen vorgesehen.
Konzern nur im Aktienrecht anerkannt
Der Begriff des Konzerns ist in § 18 AktG definiert. Ein Konzern ist danach die Zusammenfassung eines herrschenden Unternehmens und mehrerer abhängiger Unternehmen unter der Leitung des herrschenden Unternehmens. Wegen dieser einheitlichen wirtschaftlichen Leitung genießen Konzerne gerade im Steuerrecht zahlreiche Privilegien.
Auch im Datenschutzrecht wären bei ähnlichen Konstellationen Erleichterungen denkbar. So könnte man ausschließlich das leitende Unternehmen als verantwortliche Stelle im Sinne des BDSG sehen, so dass nur dieses für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich wäre.
Tatsächlich legt § 3 Abs. 7 BDSG jedoch fest, dass jede Stelle, die personenbezogene Daten erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, eine verantwortliche Stelle ist. Daraus folgt, dass jedes Einzelunternehmen eines Konzerns eine separate verantwortliche Stelle bleibt. Aus § 3 Abs. 8 BDSG folgt weiterhin, dass diese strenge Unterscheidung auch bei der Übermittlung von Daten gilt. Werden Daten an einen Empfänger außerhalb der verantwortlichen Stelle (also auch jedes Schwesterunternehmen) übermittelt, so gilt dieses als Dritter.
BDSG anwendbar
Jedes einzelne Konzernunternehmen ist für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. Gem. § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn die betroffene Person darin einwilligt oder eine gesetzliche Vorschrift dies erlaubt. Als Erlaubnistatbestände kommen in der Regel § 28 BDSG oder § 32 BDSG in Betracht. Außerdem kann eine Auftragsdatenverarbeitung nach § 11 BDSG vorliegen.
Einige Erlaubnistatbestände erfordern eine Abwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und den schutzwürdigen Interessen der Betroffenen. In diesem Zusammenhang wird ein konzerninterner Datenaustausch weniger kritisch gesehen als die Übermittlung von Daten an einen „außenstehenden“ Dritten.
Änderung durch die DS-GVO
Auch durch die Datenschutz-Grundverordnung wird sich diese Situation nicht grundsätzlich ändern. Die neue Verordnung kennt jedoch im Gegensatz zum BDSG den Begriff der Unternehmensgruppe. Eine solche liegt gem. Art. 4 Abs. 19 DS-GVO vor bei einem herrschenden Unternehmen und anderen von diesem beherrschten Unternehmen. Die Definition entspricht im Wesentlichen der des Konzerns im Sinne des § 18 AktG.
Aus Erwägungsgrund 37 der DS-GVO folgt zudem, dass der Begriff der Unternehmensgruppe sehr weit auszulegen ist. In jedem Fall dürften aber Konzerne eine solche Unternehmensgruppe darstellen.
Verantwortlichkeit bleibt
An der grundsätzlichen eigenen Verantwortlichkeit jeder einzelnen Stelle ändert dies jedoch nichts. Auswirkungen hat das Vorliegen einer Unternehmensgruppe aber bei der nach Art. 6 Abs. 1 S. 1 f) DS-GVO notwendigen Interessenabwägung im Rahmen der Entscheidung, ob ein Erlaubnistatbestand greift. Hierzu legt Erwägungsgrund 48 nämlich fest, dass die Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse darstellt. Diese Feststellung wird auch als „kleines Konzernprivileg“ bezeichnet.
Die Übermittlung von Daten an Unternehmen innerhalb eines Konzerns war bisher nicht geregelt und auch nicht privilegiert. Die DS-GVO schafft hier Abhilfe und sieht für eine solche Datenübermittlung einen passenden Erlaubnistatbestand vor.