Beschäftigtendaten

Was gilt beim Datenschutz im Konzern?

28. Juni 2021
Datenschutz_1_60585328-e1465203622629
Quelle: © Marco2811 / Foto Dollar Club

Innerhalb von Konzernstrukturen finden vielfältige betriebs- und unternehmensübergreifende Datenverarbeitungen statt. Zulässig ist das bei personenbezogenen Daten nur, wenn die Regeln der DSGVO beachtet werden. Das gilt auch für Betriebsräte.

Innerhalb von Konzernstrukturen finden vielfältige betriebs- und unternehmensübergreifende Datenverarbeitungen statt. Das Internet und die hier angebotenen Softwareanwendungen ermöglichen etwa die konzernweite Vernetzung von Produktionsprozessen, die unternehmensübergreifende Steuerung von Abläufen oder die länderübergreifende Projektzusammenarbeit von Beschäftigten aus verschiedenen Konzernunternehmen. Entscheidungen zur Beschaffung und zur Ausgestaltung von IT-Systemen sowie Anwendungen oder zu einzelnen Verarbeitungsprozessen werden in Konzernen zentral getroffen und mittels gesellschaftsrechtlicher Einflussmöglichkeiten in den Einzelunternehmen einheitlich umgesetzt. Abweichungen von zentralen Festlegungen sind meist nicht möglich. Faktisch bestimmt damit allein die Konzernspitze Art und Umfang der konzernweiten Datenverarbeitung.

Dieser weitgehenden Gestaltungsfreiheit sind Grenzen gesetzt, wenn personenbezogene Daten verarbeitet werden. Dann müssen Datenschutzregeln beachtet werden, die insbesondere die Datenschutz-Grundverordnung (DSGVO) vorgibt. Diese enthält allerdings längst nicht nur Pflichten zulasten der Verantwortlichen, vielmehr garantiert die Verordnung gerade auch für Konzerne die grenzüberschreitende Verarbeitung personenbezogener Daten. Darüber hinaus benennt sie die Voraussetzungen für die Zulässigkeit einer Verarbeitung personenbezogener Daten außerhalb der Europäischen Union (EU) (vgl. hierzu Wedde, CuA 2/2021, S. 8 ff.). 

Wer ist verantwortlich?

In der DSGVO wird der Begriff »Konzern« nicht verwendet. Er entspricht jedoch der in Art. 4 Nr. 19 DSGVO beschriebenen »Unternehmensgruppe«. Hierbei handelt es sich um eine Gruppe, die aus einem »herrschenden Unternehmen« und aus von diesem abhängigen Unternehmen besteht. Der Begriff »Unternehmen« bezeichnet nach Art. 4 Nr. 18 DSGVO natürliche oder juristische Personen, die eine wirtschaftliche Tätigkeit ausüben. Die hierfür gewählte Rechtsform ist unerheblich. Der im Folgenden aus sprachlichen Gründen verwendete Begriff »Konzern« ist daher identisch mit der durch Art. 4 Abs. 19 DSGVO definierten Unternehmensgruppe.

Die datenschutzrechtliche Verantwortlichkeit leitet sich auch innerhalb eines Konzerns aus der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO ab. Verantwortlicher ist, wer in einem Unternehmen über Zwecke und Mittel der Verarbeitung entscheidet. Innerhalb von Konzernstrukturen gibt es im Regelfall sowohl in den einzelnen Unternehmen als auch bei einer Konzernobergesellschaft jeweils eine eigenständige »Verantwortlichkeit«. Die gemäß Art. 4 Nr. 7 DSGVO Verantwortlichen müssen auch innerhalb eines Konzerns die Einhaltung der einschlägigen datenschutzrechtlichen Vorgaben eigenständig und eigenverantwortlich sicherstellen und kontrollieren. Die Befugnis zur Verarbeitung setzt zudem voraus, dass mindestens einer der in Art. 6 Abs. 1 DSGVO abschließend aufgezählten Erlaubnistatbestände erfüllt ist.

Gibt es ein Konzernprivileg?

Bei einer unternehmensübergreifenden Verarbeitung in einem Konzern müssen die einschlägigen datenschutzrechtlichen Regelungen ebenso beachtet und eingehalten werden wie bei der Vergabe von Auftragsverarbeitungen an externe Unternehmen. Dies folgt aus dem Fehlen eines datenschutzrechtlichen Konzernverarbeitungsprivilegs in der DSGVO.

Um trotz des Fehlens eines Konzernprivilegs eine konzernweite Verarbeitung zu ermöglichen, wird in der Diskussion teilweise darauf verwiesen, dass sich aus Erwägungsgrund 48 zur DSGVO ein »kleines Konzernprivileg« ableitet. Um diese Aussage zu verstehen, muss man wissen, dass es zu den einzelnen Artikeln in der DSGVO insgesamt 173 Erwägungsgründe gibt, die die Ziele beschreiben, die der europäische Gesetzgeber mit den einzelnen Regelungen verfolgt. Die Erwägungsgründe selbst haben zwar keine Gesetzeskraft, helfen aber bei der Auslegung der Vorschriften. (...)

Mehr lesen?

Den vollständigen Beitrag von Prof. Dr. Peter Wedde lesen Sie in »Computer und Arbeit« Ausgabe 6/2021. Weitere Highlights:

  • Gesetzesnovelle: Datenschutz und IT im neuen BPersVG
  • Corona: Von Gästelisten, Luca und der Corona-Warn-App
  • Betriebsversammlung: Vorhang auf für den Betriebsrat!

Sie haben bereits ein Abo? Dann lesen Sie hier weiter.

Wer noch kein Abo hat, kann trotzdem sofort online weiterlesen und Zugriff auf das gesamte Online-Archiv mit allen Ausgaben von »Computer und Arbeit« erhalten:

Jetzt 2 Ausgaben gratis testen!

© bund-verlag.de

(ct)

AiB-Banner Viertel Quadratisch - Anzeige -

Das könnte Sie auch interessieren

Lieferkette Produktion Transport Logistik supply chain
Lieferkettengesetz - Aktuelles

Europäisches Lieferkettengesetz kommt

Brille Tastatur Computer Bildschirmarbeit
Gesundheitsschutz - Aus den Fachzeitschriften

7 Fragen zur Bildschirmbrille