Datenschutz­compliance beim konzern­internen Daten­transfer

 

Konzernweiter Datenaustausch in Matrixorganisationen

Viele Unternehmen sind heute in Matrixstrukturen organisiert, so dass Geschäftsprozesse nicht nur innerhalb einer einzelnen Gesellschaft abgewickelt werden, sondern dass daran meist mehrere miteinander im Konzern verbundene Gesellschaften beteiligt sind.

In der Praxis besonders häufig ist die Konzentration von IT-Systemen in einer Gesellschaft, die dann als zentraler konzerninterner Provider IT-Leistungen gegenüber verschiedenen Konzerngesellschaften erbringt. Ein anderes in der Praxis häufiges Beispiel ist die Auslagerung und Konzentration der Personalabteilung in einer Gesellschaft, die dann sämtliche Personalangelegenheiten auch für andere Konzerngesellschaften ausführt.

Datenschutzrechtliche Schranken des Datenaustauschs im Konzern

In allen solchen Fällen tauschen die verschiedenen beteiligten Konzerngesellschaften zwangsläufig personenbezogene Daten aus, seien es Mitarbeiterdaten, Kundendaten oder Daten von sonstigen Geschäftspartnern und deren Mitarbeitern. Das Datenschutzrecht erlaubt einen solchen Datenaustausch zwischen verschiedenen Gesellschaften aber nur unter bestimmten engen Voraussetzungen. Da das Datenschutzrecht kein „Konzernprivileg“ vorsieht, gilt das auch im Verhältnis zwischen verschiedenen im Konzern verbundenen Gesellschaften, also etwa zwischen einer Muttergesellschaft und ihren Tochtergesellschaften oder zwischen Schwestergesellschaften. Mit anderen Worten ist auch beim Datenaustausch im Konzern für jeden betroffenen Einzelprozess eine datenschutzrechtliche Rechtfertigung erforderlich.

Zusätzliche datenschutzrechtliche Anforderungen ergeben sich dann, wenn hier ausländische Unternehmen beteiligt sind, deren Datenschutzrecht aus Sicht der Europäischen Union kein „angemessenes Datenschutzniveau“ garantiert.

Lösungen und Risiken einer Incompliance

Insgesamt gibt es unterschiedliche Wege, den Datenaustausch im Konzern zu ebnen, insbesondere durch vertragliche Vereinbarungen der beteiligten Gesellschaften. Teilweise ist aber auch die Anpassung bestehender Prozesse erforderlich, insbesondere die selektive Beschränkungen von Zugriffsberechtigungen auf Daten nach einem strikten „need to know“-Prinzip.

Diese datenschutzrechtlichen Anforderungen gehen auf Richtlinien der Europäischen Kommission zurück, die durch die Mitgliedstaaten in deren jeweiliges nationales Recht der Mitgliedsstaaten umzusetzen waren. Wenngleich die Details Umsetzungen in den einzelnen Mitgliedsstaaten variieren, gelten die hier skizzierten Anforderungen dem Grunde nach in allen Mitgliedsstaaten gleichermaßen. Daran wird auch die derzeit noch in inhaltlicher Detailabstimmung befindliche, in allen Ländern der Europäischen Union dann unmittelbar geltende Datenschutz-Grundverordnung aller Voraussicht nach nichts ändern.

In vielen Unternehmen sind diese datenschutzrechtlichen Grenzen des konzernweiten Datenaustauschs nicht bekannt, oder die datenschutzrechtlich erforderlichen Maßnahmen wurden zumindest noch nicht getroffen. Ebenso ist oft nicht bekannt, dass ein datenschutzrechtlich unzulässiger Austausch personenbezogener Daten auch zwischen Konzerngesellschaften mit Bußgeldern von bis zu Euro 300.000 pro Einzelfall geahndet werden kann. Perspektivisch ist sogar zu erwarten, dass die geplante Datenschutz-Grundverordnung hier noch weitaus höhere Bußgelder vorsieht. Hinzu kommt insbesondere die Gefahr von Reputationsschäden.

Weitere Artikel: EU-Datenschutz-Grundverordnung: EU-Minister erzielen Einigung auf europaweite Standards; Cyber Security: Umfrage bestätigt geringes Risikobewusstsein bei deutschen Unternehmen