Kleines Konzernprivileg

Die DSGVO kennt den Begriff der Unternehmensgruppe. Sie definiert die Unternehmensgruppe noch etwas weiter als den gesellschaftsrechtlichen Konzern. So sind auch Unternehmensgruppen aufgrund rein faktischer Kontrollmöglichkeiten durch ein einzelnes Unternehmen, insbesondere in Bezug auf die Datenverarbeitung, denkbar.

Gemäss Definition nach Art. 4 Ziff. 19 DSGVO bezeichnet eine Unternehmensgruppe „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.“ ErwG. 37 DSGVO ergänzt: „Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden.“

Davon unbeschadet bleiben die jeweiligen juristischen Einheiten einer Unternehmensgruppe (die Gruppenunternehmen) immer selbst rechtlich verantwortlich für den Schutz der von ihnen verarbeiteten personenbezogenen Daten. Eine Datenweiterleitung unter den Gruppenunternehmen erfolgt daher stets von einem Verantwortlichen an einen Auftragsverarbeiter oder einen Dritten.

Die datenschutzrechtlichen Folgen des Bestands einer Unternehmensgruppe sind insbesondere zweierlei. Zunächst kann gemäss Art. 37 Abs. 2 DSGVO für die gesamte Gruppe ein gemeinsamer Datenschutzbeauftragter bestimmt werden und es muss sich nicht jedes Gruppenunternehmen um einen eigenen Datenschutzbeauftragten bemühen. Dies unter der Voraussetzung, dass der Datenschutzbeauftragte von jedem Gruppenunternehmen aus leicht erreicht werden kann.

Sodann existiert gemäss ErwG. 48 DSGVO ein so genanntes kleines Konzernprivileg, mit welchem personenbezogene Daten unter den einzelnen Gruppenunternehmen relativ unkompliziert ausgetauscht werden dürfen, wenn dies internen Verwaltungszwecken dient. Rechtsgrundlage dafür sind die berechtigten Interessen des Verantwortlichen gemäss Art. 6 Abs. 1 Bst. f DSGVO. Zentral ist jedoch, dass es sich wirklich nur um interne, verwaltungsbezogene Zwecke handelt, wie z.B. ein zentrales Sekretariat, eine zentralisierte Personalverwaltung oder ein konzernübergreifendes Kommunikationsverzeichnis (CRM). Für alle darüber hinausgehenden Zwecke einer Datenweiterleitung unter den Gruppenunternehmen gilt das kleine Konzernprivileg nicht mehr und es werden andere Rechtsgrundlagen benötigt. Dies kann zum Beispiel die explizite Einwilligung der betroffenen Personen oder ein Vertrag mit diesen sein, der die Weiterleitung der Daten an ein anderes Gruppenunternehmen als Auftragsverarbeiter oder Dritten vorsieht.

Unabhängig davon, ob es sich um eine Datenweiterleitung im Rahmen des kleinen Konzernprivilegs oder an einen Auftragsverarbeiter oder Dritten handelt, hat der Verantwortliche die betroffenen Personen gemäss Art. 13 DSGVO darüber zu informieren. Befindet sich das datenempfangende Gruppenunternehmen in einem Drittland, sind gemäss ErwG. 48 DSGVO ausserdem in jedem Fall die Bestimmungen gemäss Art. 44 ff. DSGVO zu beachten, wonach für den Datentransfer angemessene oder geeignete Garantien erbracht werden müssen (z.B. Angemessenheitsbeschluss der EU-Kommission, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln, Verhaltensregeln, Zertifikate etc.).