Datenübermittlungen innerhalb einer Gruppe verbundener Unternehmen oder auch innerhalb eines Konzerns (im Folgenden Unternehmensgruppe genannt) unterstehen den gleichen datenschutzrechtlichen Vorgaben wie die Übermittlung von personenbezogenen Daten an externe Unternehmen. Die DSGVO kennt insofern kein „Konzernprivileg“, was zur Folge hat, dass gerade auch für die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe die datenschutzrechtlichen Vorgaben der DSGVO einzuhalten und umzusetzen sind.
Dabei kommt es häufig vor, dass innerhalb einer Unternehmensgruppe eine Vielzahl von personenbezogenen Daten weitergegeben werden, da beispielsweise ein Unternehmen der Gruppe für alle anderen Unternehmen die Personalverwaltung durchführt oder IT-Supportdienstleistungen anbietet. Die Konstellationen, in denen Daten zwischen den verschiedenen Gesellschaften einer Unternehmensgruppe ausgetauscht werden, sind zahlreich und vielfältig. Dabei muss datenschutzrechtlich für jede einzelne Weitergabe personenbezogener Daten geprüft werden, ob es sich um eine bloße Datenübermittlung (= alleinige Verantwortlichkeit beider beteiligter Unternehmen), eine Auftragsdatenverarbeitung oder eine gemeinsame Verantwortlichkeit handelt. Kommt man nun zum Ergebnis, dass eine Weitergabe personenbezogener Daten an andere Unternehmen der Gruppe eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit darstellt, so verlangt die DSGVO den Abschluss von bestimmten Datenschutzverträgen wie den Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO oder den Vertrag zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO.
Intercompany Vertrag
Um nicht unzählige Einzelverträge zur Auftragsdatenverarbeitung oder zur gemeinsamen Verantwortlichkeit abschließen zu müssen, können verbundene Unternehmen aus Transparenzgründen einen sog. Intercompany Vertrag abschließen, in welchem die Konstellationen Auftragsdatenverarbeitung und gemeinsame Verantwortlichkeit jeweils übergreifend vertraglich abgebildet werden. Daneben sollten auch Datenübermittlungen an Unternehmen innerhalb der Gruppe, die ihren Sitz außerhalb der EU/EWR haben, berücksichtigt werden.
Es kann in solch einem Vertrag transparent dargestellt werden, welches Unternehmen der Gruppe Daten exportiert und welches Unternehmen der Gruppe die Daten importiert, zu welchen Zwecken dies geschieht, um welche Daten es sich handelt und vor allem welche der obigen Konstellationen vorliegt.
Solche Intercompany Verträge dienen gerade dazu, die komplexen Datenflüsse innerhalb einer Unternehmensgruppe datenschutzrechtlich transparent darzustellen und ein Vertragswirrwarr zu vermeiden. Insofern kann sich die Einführung eines solchen Vertragskonstrukts als vorteilhaft erweisen, um nicht unnötige Einzelverträge untereinander abschließen zu müssen.
Inhalt eines „Intercompany Vertrages“
Die konkrete Ausgestaltung sollte in der Regel die drei oben beschriebenen Konstellationen (Auftragsverarbeitung, gemeinsame Verantwortlichkeit und Datenübermittlungen außerhalb EU/EWR) berücksichtigen und die wesentlichen Datenschutzverträge (d. h. Auftragsdatenverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO und Vertrag zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 2 DSGVO sowie ggf. auch die sogenannten EU-Standarddatenschutzklauseln) gemäß den Anforderungen der DSGVO enthalten.
Im Anschluss gilt es, die einzelnen Datenflüsse innerhalb der Unternehmensgruppe herauszuarbeiten und transparent abzubilden. Das ist der Kernpunkt eines Intercompany Vertrages.
Kommen in Unternehmensgruppen alle drei Konstellationen (Datenübermittlungen außerhalb EU/EWR, gemeinsame Verantwortlichkeit oder Auftragsdatenverarbeitung) vor, so sollten diese drei Konstellationen klar voneinander abgegrenzt werden. Um welche Konstellation es sich handelt, wird Ihnen Ihr Datenschutzbeauftragter erläutern.
Die Einordnung in diese drei Konstellationen kann als Anhang im Intercompany Vertrag beschrieben werden. Anschließend sind die jeweils einzelnen Datenverarbeitungsprozesse durch die verschiedenen Gesellschaften der Unternehmensgruppe der jeweiligen Konstellation unterzuordnen. Die Datenexporteure/-importeure der Unternehmensgruppe können unter den drei Unterpunkten sodann tabellarisch aufgelistet werden.
Hierbei sollten folgende Punkte aufgelistet werden: Die übermittelten Datenarten, die Betroffenengruppen, die Zwecke der Datenverarbeitung sowie die konkrete Art der Datenverarbeitung/Leistungsbeschreibung. Am Ende müssen alle beteiligten Akteure diesen Vertrag unterzeichnen. Alternativ gibt es die Möglichkeit dem schon bestehenden Vertrag als weitere Partei beizutreten. Es sollte dann allerdings auch eine Klausel im Intercompany Vertrag enthalten sein, die den Beitritt durch weitere Unternehmen der Gruppe ermöglicht.
20. März 2023 @ 11:58
Die Rechtsgrundlage wäre Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse). Für Datenübermittlungen außerhalb der EU bedarf es zusätzlich neben einer Rechtsgrundlage noch weitere Garantien (siehe Art. 44ff. DSGVO).
16. März 2023 @ 11:21
EG 48 DSGVO: „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“ Und was ist hiermit als Rechtsgrundlage zumindest innerhalb der EU?