• Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

    Passwort vergessen?

DDV Suche

.

DS-GVO: Auslegungstipp "Datenverarbeitung im Konzern"

Datenverarbeitung im Konzern

Die Verordnung sieht keine pauschale Vereinfachung für den Datenaustausch zwischen Konzerngesellschaften vor. Jede Gesellschaft ist – wie bereits unter der Geltung des Bundesdatenschutzgesetzes - auch weiterhin datenschutzrechtlich als eine selbständige und separate Einheit zu betrachten.

Um konzernweite Customer Relationship Management-Systeme (CRM-Systeme) zu betreiben und Daten hieraus für Zwecke des Dialogmarketings verwenden zu können, kann auf die Interessenabwägungsklausel oder aber auch auf Konzerneinwilligungen zurückgegriffen werden. Das Bestehen eines berechtigten Interesses am konzerninternen Datenaustausch erkennt die Verordnung im Erwägungsgrund 48 ausdrücklich an:

"Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln."  Die Grundprinzipien für die Datenübermittlung innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.

Dabei geben die in der Verordnung vorgesehenen allgemeinen Rechtsgrundlagen für die Datenverarbeitung den Handlungsspielraum für konzernweite CRM-Systeme vor.

Praxistipp: Im Rahmen der Interessenabwägung sind bei einer konzerninternen Übermittlung die berechtigten Interessen der Unternehmen in der Regel höher und die schutzwürdigen Interessen der betroffenen Personen niedriger zu bewerten als bei einem Austausch zwischen konzernfremden Unternehmen.

Die Verordnung eröffnet in einer eigenen Bestimmung – Artikel 26 – die Möglichkeit,  dass mehrere Unternehmen gemeinsam für die Verarbeitung eines Datenbestandes verantwortlich sein können, wenn sie ihre jeweiligen Verpflichtungen entsprechend regeln. Dazu müssen die beteiligten Unternehmen in transparenter Form die Zwecke und Mittel der Verarbeitung festlegen.  Sie müssen untereinander eine Regelung treffen, wer von ihnen welche Verpflichtung aus der Grundverordnung erfüllt. Sorgfalt muss insbesondere auf klare Festlegungen bezüglich der Wahrnehmung der Rechte der betroffenen Person gelegt werden – überdies auf die Vereinbarung, wer welchen Informationspflichten nachzukommen hat.

Für konzernübergreifende CRM-Systeme bietet sich eine solche gemeinsame Verantwortlichkeit häufig an. Alternativ besteht die Möglichkeit, das CRM-System durch eine Dienstleistungsgesellschaft im Rahmen einer Auftragsverarbeitung auszugestalten. Es sind jedoch auch Mischformen denkbar.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019

DDV Suche

Schnelleinstieg

Mitglied werden

Dialog ist Gold

DDV. Ihr Netzwerk für wirtschaftlichen Erfolg durch Dialogmarketing.

DDV-Newsletter

Newsletter abonnieren

Abonnieren Sie jetzt unseren DDV-Newsletter

RSS Feed

RSS abonnieren

RSS ist ein Service, mit dem Sie neue Nachrichten automatisch empfangen, sobald sie erschienen sind. Ein RSS Reader ist dafür Voraussetzung.

Ihre Ansprechpartner

Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.

Fragen zur Mitgliedschaft:

Martina Rambach

E-Mail: m.rambach@ddv.de

Tel: 069 401 276-522

Fax: 069 401 276-599

Presseanfragen

Boris von Nagy

E-Mail: b.vonnagy@ddv.de

Tel: 069 401 276-513

Fax: 069 401 276-599

Rechtliche Fragen

Franz Peter Altemeier

E-Mail: fp.altemeier@ddv.de

Tel: 030 509 3209-44

Fax: 030 509 3209-55

Sonstige Anfragen

Martina Klein

E-Mail: info@ddv.de

Tel: 069 401 276 500

Fax: 069 401 276 599