Unternehmen stehen vor erheblichen Hürden, wenn es um die Übermittlung von Daten geht. Gibt es einen Schutz für Unternehmen im Rahmen der DSGVO? Erfahren Sie mehr über die Vorschriften zum Schutz von Unternehmensdaten.

Konzerne haben bei der Verarbeitung von Daten größere Hürden zu überwinden als kleine und mittlere Unternehmen oder Freiberufler. Typischerweise ist eine Gruppe rechtlich selbstständiger Unternehmen unter einem Dach verbunden, die häufig im Ausland tätig ist.

Daher ist die Datenübermittlung innerhalb der Gruppe besonders schwierig. Verstöße gegen das Datenschutzrecht hingegen werden mit empfindlichen Strafen geahndet: Bußgelder von bis zu 4 % des Bruttojahresumsatzes können in diesen Fällen verhängt werden.

Gibt es nach der DSGVO ein Gruppenprivileg für Großunternehmen bei der Verarbeitung von Daten?

Unternehmen stehen bei der Einhaltung der Datenschutzvorschriften vor einem schwierigen Problem. Bei der Verarbeitung personenbezogener Daten erfordern die Koordinierung und Harmonisierung der Datenschutzvorschriften zwischen den verschiedenen Unternehmensabteilungen nicht nur ein umfangreiches Fachwissen. Sie belasten auch die Verantwortlichen in puncto Kommunikation und Koordination stark.

In anderen Rechtsbereichen tragen Konzernprivilegien den besonderen Bedürfnissen von Großunternehmen Rechnung und bieten Vorteile und Vereinfachungen. Für Kapitalgesellschaften gelten eine Reihe von Sonderregelungen, insbesondere im Bereich der Besteuerung. Die Datenschutz-Grundverordnung hingegen sieht keine Gruppenprivilegien vor. Infolgedessen haben große Unternehmen weiterhin Schwierigkeiten, die Datenschutzvorschriften einzuhalten.

Datenübermittlung: Best-Practice-Optionen, auch wenn Sie keinen Zugang zur Datenschutzgruppe haben

Der Datenschutz wird weltweit auf unterschiedliche Weise geregelt. Folglich müssen multinationale Organisationen viele Datenschutzstandards gleichzeitig einhalten, und zwar für alle Daten innerhalb der Unternehmensgruppe: Während in Europa die General Data Protection Regulation (DSGVO) den Datenschutz regelt, gelten in Japan der California Consumer Privacy Act (CCPA) und der Act on the Protection of Personal Information (APPI). Die internationalen Vorschriften können mitunter erheblich von der DSGVO in Europa abweichen.

Bei der Datenübermittlung bereitet jedoch nicht nur die Beseitigung weltweiter Rechtsfragen („conflict of laws“) den Parteien Schwierigkeiten. Die verbundenen Unternehmen der Gruppe sind alle rechtlich eigenständige Einheiten. Dies hat zur Folge, dass die zahlreichen Unternehmen der Gruppe datenschutzrechtlich als „Dritte“ gelten. Bei der Übermittlung und Verarbeitung personenbezogener Daten von Kunden und Arbeitnehmern innerhalb der Gruppe ist besondere Vorsicht geboten.

Zusammenarbeit der Datenschutzbeauftragten und konzernweite Zusammenarbeit im Bereich des Datenschutzes

Großen Unternehmen werden im Rahmen der DSGVO keine weitreichenden Unternehmensrechte gewährt. Dennoch gibt es Best-Practice-Optionen für den DSGVO-konformen Schutz personenbezogener Daten in Organisationen.

Jedes Unternehmen der Gruppe hat einen eigenen Datenschutzbeauftragten, der für alle Anfragen des Unternehmens zuständig ist und die Erreichbarkeit vor Ort sicherstellt. Es kann auch ein Konzerndatenschutzbeauftragter eingesetzt werden, der die Prozesse des Konzerns überwacht und koordiniert. Er oder sie ist Ansprechpartner für die Aufsichtsbehörde und informiert Mitarbeiter und externe Dienstleister über ihre Pflichten bei der Datenverarbeitung. Diese Lösung ermöglicht die „kleinen Unternehmensrechte“ der DSGVO.

Privileg für kleine Unternehmen“ nach der Datenschutz-Grundverordnung

Auch wenn die DSGVO kein umfassendes Gruppenprivileg bietet, gibt es einige Vereinfachungen für Unternehmensgruppen. So ist beispielsweise die Ernennung eines gemeinsamen Konzerndatenschutzbeauftragten dank dieses „Kleingruppenprivilegs“ möglich.

Gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f der DSGVO ist die Übermittlung personenbezogener Daten von Verbrauchern und Arbeitnehmern innerhalb der Gruppe unter bestimmten Umständen ebenfalls zulässig. Interne Verwaltungszwecke fallen zum Beispiel unter diese Kategorie. Um jedoch Geldstrafen auf der Grundlage der DSGVO zu vermeiden, sollte die Entscheidung für eine solche Datenübermittlung sorgfältig geprüft und dokumentiert werden.

Es sei darauf hingewiesen, dass die Übermittlung von Daten innerhalb der Gruppe in Übereinstimmung mit den Datenschutzvorschriften erfolgt.

Für den Datenaustausch innerhalb der Gruppe ist stets eine rechtliche Rechtfertigung für die Übermittlung personenbezogener Daten gemäß der DSGVO erforderlich. Wenn die Daten außerhalb der Europäischen Union übermittelt werden, muss ein angemessenes Datenschutzniveau gewährleistet sein, das den Kriterien der DSGVO entspricht.

Personenbezogene Daten sollten immer vor unerwünschtem Zugriff und Verarbeitung während der Übermittlung, z. B. per E-Mail oder Fax, geschützt werden. Außerdem müssen personenbezogene Daten nach einer bestimmten Zeit gemäß der DSGVO gelöscht werden. Alle DSGVO-Datenschutzvorschriften müssen im Allgemeinen nicht nur befolgt werden, sondern auch vollständig überprüfbar sein.

In Bezug auf das Datenschutzrecht stellt die Datenübermittlung für Unternehmen eine einzigartige Reihe von Problemen dar. Verschiedene internationale Standards müssen mit der aktuellen Rechtsprechung, den nationalen Datenschutzgesetzen und den berechtigten Interessen der Betroffenen in Einklang gebracht werden. Der Austausch und die Verarbeitung personenbezogener Daten zwischen den Tochtergesellschaften eines Konzerns erfordert gut strukturierte Protokolle.

Auch wenn die Datenschutz-Grundverordnung kein Gruppenprivileg vorsieht, bietet das „Kleingruppenprivileg“ mehrere Vorteile für große Unternehmen: Es ist wichtig, einen zentralen Konzerndatenschutzbeauftragten zu haben.