• Bitte den Benutzernamen oder die E-Mail-Adresse eingeben. Sie erhalten dann umgehend Anweisungen zum Zurücksetzen des Passworts zugesandt.

    /eu-ds-gvo-auslegungstipp-datenverarbeitung-im-konzern.html?tx_felogin_pi1%255Bshowlogin%255D=1&cHash=183e89aa36c57740df112dbcdf6dd19c 

DDV Suche

28.03.2017.

EU DS-GVO: Auslegungstipp "Datenverarbeitung im Konzern"

Datenverarbeitung im Konzern

Die Verordnung sieht keine pauschale Vereinfachung für den Datenaustausch zwischen Konzerngesellschaften vor. Jede Gesellschaft ist – wie bereits unter der Geltung des Bundesdatenschutzgesetzes - auch weiterhin datenschutzrechtlich als eine selbständige und separate Einheit zu betrachten.

Um konzernweite Customer Relationship Management-Systeme (CRM-Systeme) zu betreiben und Daten hieraus für Zwecke des Dialogmarketings verwenden zu können, kann auf die Interessenabwägungsklausel oder aber auch auf Konzerneinwilligungen zurückgegriffen werden. Das Bestehen eines berechtigten Interesses am konzerninternen Datenaustausch erkennt die Verordnung im Erwägungsgrund 48 ausdrücklich an:

"Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln."  Die Grundprinzipien für die Datenübermittlung innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.

Dabei geben die in der Verordnung vorgesehenen allgemeinen Rechtsgrundlagen für die Datenverarbeitung den Handlungsspielraum für konzernweite CRM-Systeme vor.

Praxistipp: Im Rahmen der Interessenabwägung sind bei einer konzerninternen Übermittlung die berechtigten Interessen der Unternehmen in der Regel höher und die schutzwürdigen Interessen der betroffenen Personen niedriger zu bewerten als bei einem Austausch zwischen konzernfremden Unternehmen.

Die Verordnung eröffnet in einer eigenen Bestimmung – Artikel 26 – die Möglichkeit,  dass mehrere Unternehmen gemeinsam für die Verarbeitung eines Datenbestandes verantwortlich sein können, wenn sie ihre jeweiligen Verpflichtungen entsprechend regeln. Dazu müssen die beteiligten Unternehmen in transparenter Form die Zwecke und Mittel der Verarbeitung festlegen.  Sie müssen untereinander eine Regelung treffen, wer von ihnen welche Verpflichtung aus der Grundverordnung erfüllt. Sorgfalt muss insbesondere auf klare Festlegungen bezüglich der Wahrnehmung der Rechte der betroffenen Person gelegt werden – überdies auf die Vereinbarung, wer welchen Informationspflichten nachzukommen hat.

Für konzernübergreifende CRM-Systeme bietet sich eine solche gemeinsame Verantwortlichkeit häufig an. Alternativ besteht die Möglichkeit, das CRM-System durch eine Dienstleistungsgesellschaft im Rahmen einer Auftragsverarbeitung auszugestalten. Es sind jedoch auch Mischformen denkbar.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, Juni 2016

Ihre Ansprechpartner

Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.

Fragen zur Mitgliedschaft:

Martina Rambach

E-Mail: m.rambach@ddv.de

Tel: 069 401 276-522

Fax: 069 401 276-599

Presseanfragen

Boris von Nagy

E-Mail: b.vonnagy@ddv.de

Tel: 069 401 276-513

Fax: 069 401 276-599

Fragen zur Website

Bettina Höfner

E-Mail: b.hoefner@ddv.de

Tel:069 401 276-541

Fax: 069 401 276-599

Sonstige Anfragen

Martina Klein

E-Mail: info@ddv.de

Tel: 069 401 276 500

Fax: 069 401 276 599