Home / Aktuelles & Termine / it.sec blog

Oftmals wird innerhalb einer Unternehmensgruppe nicht zwischen den einzelnen Unternehmen unterschieden und es werden personenbezogene Daten unüberlegt ausgetauscht, z.B. im Personalwesen oder bei der Einbindung von Kollegen aus anderen Unternehmen in den Kundensupport.

Dabei sind auch die einzelnen Unternehmen einer Unternehmensgruppe zueinander grundsätzlich Dritte. Auch die Datenschutzgrundverordnung (DSGVO) enthält kein Konzernprivileg. Sofern ein Unternehmen personenbezogene Daten, für die es verantwortlich ist, gegenüber anderen Unternehmen, die derselben Unternehmensgruppe angehören, offenlegt, muss diese Offenlegung daher datenschutzrechtlich abgesichert werden:

Der Verantwortliche kann die anderen Unternehmen, die derselben Unternehmensgruppe angehören, als Auftragsverarbeiter einsetzen und diese Auftragsverhältnisse über Verträge zur Auftragsverarbeitung absichern. Hierzu muss der Verantwortliche einen Vertrag zur Auftragsverarbeitung mit jedem Unternehmen oder mit dem Mutterkonzern, welcher wiederum die anderen Unternehmen als weitere Auftragsverarbeiter einsetzt, abschließen. Dies kann über einen Intercompany-Vertrag geregelt werden. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO i.V.m. der bestehenden Datenschutzvereinbarung bzw. dem Intercompany-Vertrag i.S.v. Art. 28 Abs. 3 DSGVO.

Der Datenaustausch innerhalb eines Konzerns ist durch den Erwägungsgrund 48 der DSGVO als „berechtigtes Interesse“ privilegiert. Der Verantwortliche, der Teil einer Unternehmensgruppe ist, darf daher personenbezogene Daten innerhalb der Unternehmensgruppe übermitteln, sofern die empfangenden Unternehmen dieser Unternehmensgruppe ebenso angehören, die empfangenden Unternehmen dieser Unternehmensgruppe ihren Sitz innerhalb der EU/EWR haben, es internen Verwaltungszwecken dient und im Falle einer gemeinsamen Verarbeitung eine Vereinbarung i.S.v. Art. 26 Abs. 1 S. 2 DSGVO geschlossen wurde. Im Fall der gemeinsamen Verarbeitung kann dies in den Intercompany-Vertrag aufgenommen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.

Sofern mit dem konzerninternen Datenaustausch Datenübermittlungen in Drittstaaten verbunden sind (z.B. weil ein Unternehmen seinen Sitz in den USA hat), müssen zusätzlich die Vorgaben der Art. 44 ff DSGVO beachtet werden.

Wir empfehlen, die konzerninternen Datenflüsse zu ermitteln, zu prüfen, auf welcher Rechtsgrundlage diese beruhen und etwaige damit verbundene Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau datenschutzrechtlich abzusichern.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Da die Datenübermittlung an Dritte und die dadurch bedingte Offenlegung personenbezogener Daten eine für die betroffene Person besonders belastende Datenverarbeitung darstellt, muss der Verantwortliche prüfen, ob diese Datenverarbeitung zulässig ist.

Dritte sind dabei Personen oder Stellen außerhalb des Verantwortlichen, davon ausgenommen sind die betroffene Personen selbst sowie die Auftragsverarbeiter.

Die Zulässigkeit der Übermittlung personenbezogener Daten an Dritte bestimmt sich ebenso nach Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO). Danach ist die Übermittlung personenbezogener Daten an Dritte nur zulässig

  • mit wirksamer Einwilligung der betroffenen Person,
  • zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist,
  • zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person,
  • zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses,
  • zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt,
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht schutzwürdige Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person am Ausschluss einer solchen Übermittlung überwiegen,
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder
  • zur Erfüllung hoheitlicher Aufgaben, die dem Verantwortlichen übertragen wurden.

Eine mit der Datenübermittlung verbundene Begründung gemeinsamer Kontrolle ist abzusichern über einen Joint Control-Vertrag nach Art. 26 DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Verarbeiten zwei oder mehr Verantwortliche dieselben personenbezogenen Daten arbeitsteilig oder gemeinsam für jeweils eigene Zwecke ("joint control") gilt Art. 26 Datenschutzgrundverordnung (DSGVO).

Beispiele:

  • Reisebüro, Hotelkette und Fluggesellschaft betreiben gemeinsam eine Internet-Plattform, über die sie die Daten erheben und verarbeiten.
  • Unternehmen, die derselben Unternehmensgruppe angehören, betreiben eine gemeinsame Webseite

Die Übermittlung z.B. von Beschäftigtendaten durch den Arbeitgeber an das Finanzamt wäre dagegen von Art. 26 DSGVO nicht erfasst, da das Finanzamt und der Arbeitgeber die Zwecke und Mittel der Datenverarbeitung schon gar nicht gemeinsam festlegen oder die Datenverarbeitung arbeitsteilig vornehmen dürfen und somit zwei separate Verantwortliche sind ("separate controllers").

Gemäß Art. 26 Abs. 1 und 2 DSGVO müssen die gemeinsam Verantwortlichen dann in einer Vereinbarung die folgenden Regelungen treffen:

  • Firmenname und Rechtsform der Verantwortlichen
  • Vertreter der Verantwortlichen
  • Anschrift und Kontaktdaten der Verantwortlichen
  • Übersicht der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen
  • Zwecke und Mittel der Datenverarbeitung
  • Aufteilung der Pflichten aus der DSGVO zwischen den Verantwortlichen
  • Wahrnehmung der Informationspflichten gemäß Art. 13 und Art. 14 DSGVO
  • Wahrnehmung der Rechte der betroffenen Personen aus den Art. 15 bis Art. 22 DSGVO
  • Wahrnehmung der Pflichten aus Art. 12 Abs. 3 und 4 DSGVO
  • Einrichtung einer Anlaufstelle für betroffene Personen

Das Wesentliche der Vereinbarung ist den betroffenen Personen zur Verfügung zu stellen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Strafe Strafverfolgung Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30