Datenverarbeitung im Konzern

Die Verordnung sieht keine pauschale Vereinfachung für den Datenaustausch zwischen Konzerngesellschaften vor. Jede Gesellschaft ist – wie bereits unter der Geltung des Bundesdatenschutzgesetzes - auch weiterhin datenschutzrechtlich als eine selbständige und separate Einheit zu betrachten.

Um konzernweite Customer Relationship Management-Systeme (CRM-Systeme) zu betreiben und Daten hieraus für Zwecke des Dialogmarketings verwenden zu können, kann auf die Interessenabwägungsklausel oder aber auch auf Konzerneinwilligungen zurückgegriffen werden. Das Bestehen eines berechtigten Interesses am konzerninternen Datenaustausch erkennt die Verordnung im Erwägungsgrund 48 ausdrücklich an:

"Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln."  Die Grundprinzipien für die Datenübermittlung innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.

Dabei geben die in der Verordnung vorgesehenen allgemeinen Rechtsgrundlagen für die Datenverarbeitung den Handlungsspielraum für konzernweite CRM-Systeme vor.

Praxistipp: Im Rahmen der Interessenabwägung sind bei einer konzerninternen Übermittlung die berechtigten Interessen der Unternehmen in der Regel höher und die schutzwürdigen Interessen der betroffenen Personen niedriger zu bewerten als bei einem Austausch zwischen konzernfremden Unternehmen.

Die Verordnung eröffnet in einer eigenen Bestimmung – Artikel 26 – die Möglichkeit,  dass mehrere Unternehmen gemeinsam für die Verarbeitung eines Datenbestandes verantwortlich sein können, wenn sie ihre jeweiligen Verpflichtungen entsprechend regeln. Dazu müssen die beteiligten Unternehmen in transparenter Form die Zwecke und Mittel der Verarbeitung festlegen.  Sie müssen untereinander eine Regelung treffen, wer von ihnen welche Verpflichtung aus der Grundverordnung erfüllt. Sorgfalt muss insbesondere auf klare Festlegungen bezüglich der Wahrnehmung der Rechte der betroffenen Person gelegt werden – überdies auf die Vereinbarung, wer welchen Informationspflichten nachzukommen hat.

Für konzernübergreifende CRM-Systeme bietet sich eine solche gemeinsame Verantwortlichkeit häufig an. Alternativ besteht die Möglichkeit, das CRM-System durch eine Dienstleistungsgesellschaft im Rahmen einer Auftragsverarbeitung auszugestalten. Es sind jedoch auch Mischformen denkbar.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019