In der Entstehungsgeschichte der DSGVO gab es Diskussionen, inwieweit die Verordnung ein sogenanntes Konzernprivileg aufnehmen sollte. Unter dem Konzernprivileg versteht man rechtliche Privilegien wie z.B. vereinfachte Erlaubnistatbestände von Beschäftigtendaten, die dem Konzern durch den Zusammenschluss der Unternehmen zu einer rechtlichen und wirtschaftlichen Einheit zukommen könnten. Solch ein Konzernprivileg wurde nicht aufgenommen. Stattdessen findet sich im Erwägungsgrund 48 der DSGVO nur noch folgender Hinweis:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt“.
Zunächst fällt auf, dass der Erwägungsgrund von einzelnen Verantwortlichen spricht. Trotz der beherrschenden Stellung der Konzernmutter, ordnet der Gesetzgeber die jeweiligen Konzernunternehmen also nach Art. 4 Abs. 7 DSGVO grundsätzlich als Verantwortlicher für ihre Datenverarbeitung ein. Die Konzernunternehmen sind im Verhältnis zueinander daher datenschutzrechtlich als Dritte anzusehen. Für eine Datenweitergabe bedarf es daher weiterhin einer Rechtsgrundlage. Es muss weiterhin vor jeder Datenübertragung im Konzern geprüft werden, ob eine Auftragsverarbeitung oder eine Gemeinsame Verantwortlichkeit vorliegt. Zudem werden zu Verwaltungszwecken oft auch besondere Kategorien personenbezogener Daten übertragen, welche nach Art. 9 DSGVO nicht aufgrund einer Interessenabwägung übertragen werden können. Daneben bleiben auch die strengen Vorschriften der Art. 44 ff. DSGVO für den internationalen Datentransfer, nach denen beim auch beim Empfänger im Konzernverbund im Drittland ein angemessenes Datenschutzniveau bestehen muss, gem. Erwägungsgrund 48 S. 2 DSGVO unberührt (siehe Kapitel D VI).
Eine Übermittlung von Beschäftigtendaten ist innerhalb von Konzernen zulässig, soweit sie zur Durchführung des Arbeitsvertrags erforderlich ist. Da Beschäftigtendaten als sensible Daten zu beurteilen sind, bedarf es deshalb auch innerhalb von Konzernen für eine Datenübermittlung stets einer Rechtsgrundlage. Aufgrund des fehlenden Konzernprivilegs bleibt deshalb nur der Rückgriff auf die allgemeinen Rechtsgrundlagen der DSGVO und auf § 26 BDSG.
Grundsätzlich kann ein konzernweiter Arbeitsvertrag abgeschlossen werden, der als Grundlage für eine konzernweite Datenübermittlung auf der Grundlage des § 26 Abs. 1 Satz 1 BDSG dient und in dem bereits der Konzernbezug hergestellt wird. Dies kann dadurch geschehen, dass die Konzernmutter selbst für den Beschäftigten klar erkennbar als Arbeitgeber auftritt oder im Arbeitsvertrag ein konzernweiter Einsatz oder ein Einsatz über die Anstellungsgesellschaft hinaus vereinbart wird.
Kollektivvereinbarungen wie z.B. eine Konzernbetriebsvereinbarung können eine Verarbeitung von Beschäftigtendaten auf Konzernebene rechtfertigen.
Von einer Datenübermittlung ist die Datenverarbeitung im Auftrag zu unterscheiden. Findet innerhalb von Konzernstrukturen eine Datenverarbeitung im Auftrag statt, muss, weil ein Konzernprivileg auch hier nicht besteht, ein Vertrag über eine Auftragsverarbeitung (Art. 28 DSGVO) abgeschlossen werden.
Literatur
Taeger Jürgen / Gabel Detlev (Hrsg.): Kommentar DSGVO – BDSG, Frankfurt am Main, 4. Auflage 2022
Wedde Peter in: Computer und Arbeit: Was gilt beim Datenschutz im Konzern?, Frankfurt am Main, 6/2021 S. 8
Quellen
Datenschutzkonferenz: Kurzpapier Nr. 4 – Datenübermittlung in Drittländer, 11.07.2017