Was gilt für den Datenschutz bei Datentransfers im Konzern?

Egal, welchen Kommentar, welche Zeitschrift, welchen Artikel man zum Konzerndatenschutz liest, überall steht mehr oder minder das Gleiche:

Es gibt kein Konzernprivileg im Datenschutz!

Wenn also personenbezogene Daten an einen Dritten, sprich außerhalb der verantwortliche Stelle weitergegeben werden, so ist es vollkommen egal, ob dieser Dritte ein fremdes oder ein konzernverbundenes Unternehmen ist. Es gilt, dass für diese Übermittlung immer eine (datenschutzrechtlich wirksame) Erlaubnis erforderlich ist.

Was ist ein Konzern?

Wie so oft hilft Wikipedia aus:

Als Konzern bezeichnet man den Zusammenschluss mehrerer rechtlich selbständiger Unternehmen zu einer wirtschaftlichen Einheit unter einer einheitlichen Leitung, wobei jede Unternehmung eine eigene Bilanz- und Erfolgsrechnung hat. Dafür geben die einzelnen Unternehmen ihre wirtschaftliche und finanzielle Unabhängigkeit auf. Rechtlich bleiben die Unternehmen selbstständig.

Durch die rechtliche Selbstständigkeit unterliegen einzelne, in Deutschland angesiedelte Unternehmenstöchter (und -mütter) jeweils als verantwortliche Stelle dem deutschen Datenschutzrecht, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen.

Ein Fall aus der Konzern-Praxis

Nehmen wir die NN Inc.* mit Sitz in USA, Hersteller von Consumer-Electronics. Nach erfolgreicher Markteinführung in Nordamerika wird der europäische Markt angepeilt. Als Brückenkopf wird Brüssel ausgewählt, welches die Europazentrale wird – selbstverständlich als eigenständiges Unternehmen. Tochterunternehmen in weiteren europäischen Ländern werden gegründet, drei davon auch in Deutschland.

John Doe, CEO der NN Inc., ist moderner Betriebswirtschaft gegenüber aufgeschlossen und organisiert seinen Konzern mit einer Matrix-Struktur. Das bedeutet, die IT-Tochter für Europa sitzt in England, die einzelnen Business Units in Europa berichten dem jeweils zuständigen Managern in Brüssel. Die Garantiezentrale als Ansprechpartner für die Endkunden ist in Bangalore, Indien beheimatet (Kostenfaktor!).

Die jeweiligen HR-Manager der deutschen Gesellschaften (1.200 Angestellte in Deutschland insgesamt) berichten an HR bei der amerikanischen Muttergesellschaft (wobei die dafür verwendete Software im Wege des Cloud-Computing outgesourced ist).

Genauer gesagt: Ein datenschutzrechtlicher Albtraum!

Erlaubnistatbestände für Datentransfers

Als Datenschutzbeauftragter der deutschen Unternehmen des NN-Konzerns hat man es jetzt nicht leicht und zumindest im folgenden Jahr gut zu tun. Es gilt zu unterscheiden zwischen Auftragsdatenverarbeitungen und Datenweitergaben, sicheren und unsicheren Drittländern, personenbezogenen und anonymisierten Daten, nationalem, europäischen und internationalen Recht.

Einzuordnen sind Shared Services und Cloud-Computing sowie angemessenes Datenschutzniveau, Richtlinien und …

» Vollständiger Artikel