Viele Unternehmen sind heute in mittelständischen Konzern organisiert oder gehören zu einem internationalen Konzern. Dies ist datenschutzrechtlich nicht unproblematisch, da es derzeit im Datenschutz keine Konzernprivilegien gibt. Dies bedeutet konkret, dass ein Datenaustausch zwischen Konzerngesellschaften wie ein Austausch von Daten zwischen fremden Gesellschaften zu betrachtet ist. Es liegt somit eine Auftragsverarbeitung vor. Die betroffenen Personen müssen also über diesen Datenaustausch vorab informiert werden und müssen ihre (schriftliche) Zustimmung zur Weitergabe der Daten innerhalb des Konzerns geben.

Auf den ersten Blick klingt dies vielleicht umständlich und kompliziert, macht aber bei näherer Betrachtung durchaus Sinn.
Wenn ein Mitarbeiter bei einer (deutschen) Tochterunternehmen angestellt ist, ist es offensichtlich, dass dieses Unternehmen personenbezogene Daten benötigt, um die Gehaltsabrechnung durchzuführen und das Gehalt auszuzahlen. Der Mitarbeiter kann jedoch nicht ohne weiteres wissen, welche anderen Konzerngesellschften noch seine Daten benötigen und wozu. Gerade bei größeren Konzernstrukturen gibt es oftmals ein weites Firmengeflecht, welches nicht mal alle Führungskräfte genau verstehen. Es kann somit nicht vorausgesetzt werden, dass alle Unternehmen, die zum Konzern gehören, auch automatisch die personenbezogenen Daten verwenden dürfen.

Dieses Thema gewinnt dann nochmals an Bedeutung, wenn durch die Konzernmutter bestimmte Software zur Nutzung als verpflichtend vorgeschrieben wird. In vielen dieser Fälle entspricht die Software dann nicht komplett den neuen Datenschutz-Anforderungen. Zunächst liegt mindestens eine Auftragsverarbeitung vor, da die Software nicht durch das Tochterunternehmen selbst betrieben wird. Die Software wird meist auch nicht durch die Konzernmutter selbst gehostet, sondern durch einen Dienstleister. Dann ist zu klären, wo genau die Server für diese Software stehen. In derartigen Fällen ist dann etwas dedektivische Recherchearbeit gefordert, um diese Software entsprechend in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen und die richtigen Verträge zur Auftragsverarbeitung zu schließen.

Bei Konzernstrukturen ist oftmals dedektivische Recherchearbeit notwendig,
um das Verzeichnis der Verarbeitungstätigkeiten korrekt zu erstellen.

Wir empfehlen in diese Fällen, die Systemlandschaft im Konzern möglichst einmal grafisch abzubilden, die entsprechenden Datenflüsse einzuzeichnen und die rechtlichen Einheiten zu den Systemen und die Standorte der Server zu vermerken. Bei internationalen Konzernen wird Software oftmals auch in Drittländern gehostet (z.B. USA). Damit liegt dann auch noch eine Datenweitergabe an Drittländer vor. Durch eine derartige Systemlandkarte erhält man dann aber einen entsprechenden Überblick, um die notwendigen Maßnahmen strukturiert bearbeiten zu können.

Diese Systemlandkarte muss auch regelmäßig aktualisiert werden. Im Idealfall (was hier die gesetzliche Vorgabe wäre) wird vor Einführung einer neuen Software im Konzern, eine Risikofolgenabschätzung durchgeführt. Gerade bei amerikanisch / international geprägten Konzernen wird dies aus unserer Erfahrung heraus, zunächst leider noch die Ausnahme bleiben. Dies führt die inländischen Tochterunternehmen dann regelmäßig in eine Compliance-Problematik.

Nach korrekter Fertigstellung des Verzeichnisses der Verarbeitungstätigkeiten müssen auf jeden Fall die Mitarbeiter ausführlich informiert werden und es muss deren Zustimmung zur Datenweitergabe eingeholt werden.

Insgesamt ergeben Konzernstrukturen im Datenschutz vielfältige Fragestellungen und Herausforderungen für die deutschen / europäischen Tochterunternehmen. Durch die klare Dokumentation der Datenflüssen kann zunächst einmal die notwendige Transparenz geschaffen werden, dass dann in einem zweiten Schritt die datenschutzrechtlich korrekten Strukturen geschaffen werden.

Sollten Sie weitere Fragen zum Datenschutz in Konzernstrukturen haben, nutzen Sie einfach unsere Online-Terminvereinbarung:

HCH-Online-Terminvereinbarung