Home / Aktuelles & Termine / it.sec blog

Oftmals wird innerhalb einer Unternehmensgruppe nicht zwischen den einzelnen Unternehmen unterschieden und es werden personenbezogene Daten unüberlegt ausgetauscht, z.B. im Personalwesen oder bei der Einbindung von Kollegen aus anderen Unternehmen in den Kundensupport.

Dabei sind auch die einzelnen Unternehmen einer Unternehmensgruppe zueinander grundsätzlich Dritte. Auch die Datenschutzgrundverordnung (DSGVO) enthält kein Konzernprivileg. Sofern ein Unternehmen personenbezogene Daten, für die es verantwortlich ist, gegenüber anderen Unternehmen, die derselben Unternehmensgruppe angehören, offenlegt, muss diese Offenlegung daher datenschutzrechtlich abgesichert werden:

Der Verantwortliche kann die anderen Unternehmen, die derselben Unternehmensgruppe angehören, als Auftragsverarbeiter einsetzen und diese Auftragsverhältnisse über Verträge zur Auftragsverarbeitung absichern. Hierzu muss der Verantwortliche einen Vertrag zur Auftragsverarbeitung mit jedem Unternehmen oder mit dem Mutterkonzern, welcher wiederum die anderen Unternehmen als weitere Auftragsverarbeiter einsetzt, abschließen. Dies kann über einen Intercompany-Vertrag geregelt werden. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO i.V.m. der bestehenden Datenschutzvereinbarung bzw. dem Intercompany-Vertrag i.S.v. Art. 28 Abs. 3 DSGVO.

Der Datenaustausch innerhalb eines Konzerns ist durch den Erwägungsgrund 48 der DSGVO als „berechtigtes Interesse“ privilegiert. Der Verantwortliche, der Teil einer Unternehmensgruppe ist, darf daher personenbezogene Daten innerhalb der Unternehmensgruppe übermitteln, sofern die empfangenden Unternehmen dieser Unternehmensgruppe ebenso angehören, die empfangenden Unternehmen dieser Unternehmensgruppe ihren Sitz innerhalb der EU/EWR haben, es internen Verwaltungszwecken dient und im Falle einer gemeinsamen Verarbeitung eine Vereinbarung i.S.v. Art. 26 Abs. 1 S. 2 DSGVO geschlossen wurde. Im Fall der gemeinsamen Verarbeitung kann dies in den Intercompany-Vertrag aufgenommen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.

Sofern mit dem konzerninternen Datenaustausch Datenübermittlungen in Drittstaaten verbunden sind (z.B. weil ein Unternehmen seinen Sitz in den USA hat), müssen zusätzlich die Vorgaben der Art. 44 ff DSGVO beachtet werden.

Wir empfehlen, die konzerninternen Datenflüsse zu ermitteln, zu prüfen, auf welcher Rechtsgrundlage diese beruhen und etwaige damit verbundene Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau datenschutzrechtlich abzusichern.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung regelt die Auftragsverarbeitung europaweit einheitlich. Die neuen Regelungen orientieren sich inhaltlich weitestgehend an § 11 BDSG. Über die in Art. 28 DSGVO enthaltenen Neuerungen gegenüber dem alt Bekannten möchten wir Sie heute in unserem Blogbeitrag informieren.

Zum einen finden sich sprachliche Änderungen in der neuen Gesetzesnorm. So wird nicht mehr vom Auftragsdatenverarbeiter gesprochen, sondern lediglich nur noch vom Auftragsverarbeiter. Neu ist zudem, dass eine Datenverarbeitung im Auftrag nun auch außerhalb der Europäischen Union stattfinden kann. Der Auftragsverarbeiter hat ferner den Verantwortlichen zu unterstützen, damit dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachkommen kann. Des Weiteren muss eine Unterstützungsleistung bezüglich der Pflichten des Verantwortlichen aus Art. 32 ff DSGVO erfolgen. Diese neuen Pflichten müssen in die aktuell bestehenden Verträge zur Auftrags(daten)verarbeitung bis Mai 2018 mit aufgenommen werden.

Unabhängig vom Vertragswerk werden künftig einige neue Regelungen und Pflichten für die Auftragsverarbeiter zu beachten sein. Nach Art. 30 Abs. 2 DSGVO beispielsweise, müssen anders als nach dem BDSG auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen.

Als Unternehmen sollten Sie bereits in der aktuell bestehenden Übergangsphase Ihre bestehenden Prozesse und Verträge zur Auftragsverarbeitung überprüfen und die erforderlichen Änderungen zeitnah und zügig vornehmen. Neue Verträge sollten Sie bereits auf Grundlage der DSGVO schließen. Ein entsprechendes Muster hierzu hat it.sec bereits in deutscher und englischer Sprache für ihre Kunden erstellt.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Betroffenenrechte BGH Compliance Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldepflicht Meldescheine Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediengesetz Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31