Bei der Kundendatenverarbeitung nutzen größere Unternehmen meistens ein elektronisches Datenbanksystem, das als „CRM-System“ (Customer Relation Management) der Verwaltung der gesamten Informationen zum Kunden dient. In diesem System kann dann der Vertrieb oder aber der Support die Stammdaten (Name, Tel, E-Mail, Adresse) des Kunden direkt anlegen bzw. einsehen und oftmals auch mit weiteren Angaben verknüpfen, z.B. im Beschwerdemanagement. Auch lassen sich gezielte Marketingaktionen über ein solches Tool steuern.

Konzerne etablieren derartige CRM-Systeme zumeist auch übergreifend in den einzelnen Töchtergesellschaften, um zur Wahrung ihrer berechtigten Interessen die Abwicklung von Anfragen oder den Vertrieb zu optimieren, das Marketing zu unterstützen oder aber sich vor Betrug bzw. dem Zahlungsausfall auf Seiten des Kunden zu schützen.

Der Einsatz einer gemeinsamen Kundendatenbank innerhalb eines Konzerns ist jedoch an zahlreiche datenschutzrechtliche Anforderungen geknüpft, die in der Praxis häufig missachtet werden. Neben der Notwendigkeit eines funktionierenden Rollen- und Berechtigungskonzepts (nach dem sog. „Need-to-know“-Prinzip) gilt es auch entsprechende datenschutzrechtliche Vereinbarungen zu treffen, um den tatsächlichen Datenaustausch zwischen den einzelnen juristischen Personen im Konzern zu regeln. Dies setzt jedoch eine vorherige datenschutzrechtliche Prüfung und Bewertung des Konzepts voraus, um in rechtlicher Hinsicht differenzieren zu könne, inwieweit hier beispielsweise eine Auftragsverarbeitung (Art. 28 DSGVO) oder aber eine gemeinsame Verantwortung (Art. 26 DSGVO) vorliegt. Diese Frage dürfte von strategischen Entscheidungen und dem Geschäftsmodell geprägt sein, muss jedoch in jedem Fall vorab geklärt werden.

Erst nach der Klärung der datenschutzrechtlichen Verantwortlichkeit sind die jeweiligen (Datenschutz-)Verträge untereinander, respektive: im gesamten Konzern anzupassen bzw. abzuschließen. In einem Konzern bietet sich hier ein Rahmenvertrag an, der den gesamten Datenfluss bzw. dessen Verantwortlichkeiten definieren und regeln könnte.

Im Falle einer gemeinsamen Verantwortlichkeit sollte ein solcher Vertrag dann auch festlegen, welche Gesellschaft für die Umsetzung von Betroffenenanfragen, der Bereitstellung von Informationen zur Datenverarbeitung oder der Meldung von Datenschutzvorfällen zuständig ist und wie die konkreten, weiteren Pflichten (u.a. Umsetzung von Löschkonzepten) aus der DSGVO jeweils umgesetzt werden. Die sich aus dem Datenschutzrecht ergebenen Aufgaben und Prozesse können hiermit im Unternehmensverbund verankert werden.

Dies ist rechtlich sogar notwendig: Nicht nur die allgemeinen Datenschutzgrundsätze gebieten dies, sondern sogar die konkreten Vorgaben aus Art. 26 bzw. Art. 28 DSGVO sind maßgeblich. Fehlt es an einem Vertrag und somit unter Umständen an einer rechtlichen Grundlage für diese gemeinsame Datenverarbeitung aufseiten der einzelnen Gesellschaften im Verbund, droht dem Verantwortlichen schlimmstenfalls ein Bußgeld in Höhe von bis zu 2 Prozent des Jahresumsatzes des Konzerns (Art. 83 Abs. 4 lit. a DSGVO).

Ein aktuelles Beispiel

Viele Unternehmen sind dem Irrtum aufgesessen, die Regelung des „internen Datenflusses“ sei nicht ganz so wichtig und würde ohnehin selten bis gar nicht einem Externen ins Auge fallen. Es herrscht der Irrglaube, nur die Geschäftsleitung hätten überhaupt Kenntnis und Zugriff auf diese Verträge.

Ein aktueller Fall aus dem Tätigkeitsbericht des Jahres 2020 vom Hamburger Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) verdeutlicht jedoch, warum dies ein Trugschluss ist und die Realität anders aussieht.

Denn in dem vom HmbBfDI geführten Verfahren gegen ein größeres Unternehmen wurde die fehlende Vereinbarung nach Art. 26 DSGVO beanstandet und mit einem Bußgeld in Höhe von 13.000 Euro geahndet. Es wären auch noch weitere Sanktionen/Vorgaben denkbar gewesen. Auslöser war eine Beschwerde eines Kunden, dessen Daten an verschiedenen Stellen im Konzern auftauchten. Die Hamburger Aufsichtsbehörde prüfe daraufhin die internen Vereinbarungen zum Datenaustausch innerhalb des Konzerns.

Im TB 2020, S. 119 heißt es hierzu:

„Führen mehrere demselben Unternehmensverbund angehörende Gesellschaften eine Kundendatenbank, sind sie gemeinsam für die Verarbeitung Verantwortliche. Dies erfordert eine Vereinbarung gem. Art. 26 DSGVO. Das Fehlen einer solchen Vereinbarung wurde mit einer Geldbuße sanktioniert.“

Diese relativ abstrakte Formulierung sollte Anlass bieten, die internen Verträge innerhalb eines Unternehmensverbundes datenschutzrechtlich zu analysieren und ggfs. anzupassen. Denn eine unklare Situation kann auch zur Verantwortungsdiffusion und folglich zu weiteren Schwierigkeiten bei der Wahrung der Vorgaben der DSGVO führen, wenn Prüf- und Meldepflichten kaum oder gar nicht existieren und somit Betroffenenanfragen bzw. Datenschutzvorfälle ins Leere laufen. Auch dies könnte mittelbar Verstößen begründen, die geahndet werden.

Es empfiehlt sich daher im Konzern bzw. im Unternehmensverbund die internen Datenflüsse zu organisieren sowie datenschutzrechtlich durch entsprechende Verträge abzusichern. Hier stehen – wie der aktuelle Fall aus Hamburg zeigt – sogar nicht ganz geringe Bußgelder im Raum.

| | , | , ,