Unternehmensgruppen – diese sind aus der modernen Wirtschaft nicht mehr wegzudenken. Ob als Konglomerate großer Multinationals oder als engmaschige Netzwerke kleinerer Unternehmen, Unternehmensgruppen spielen eine zentrale Rolle im globalen Wirtschaftsgefüge. Dabei stellt sich oft die Frage, wie die Datenschutz-Grundverordnung (DSGVO) innerhalb dieser Gruppen angewendet wird. Gerade in Zeiten, in denen Datenschutz höchste Priorität hat, müssen Unternehmen sicherstellen, dass sie den rechtlichen Anforderungen entsprechen. In diesem Beitrag werfen wir einen detaillierten Blick auf die DSGVO-Vorschriften, die für Unternehmensgruppen gelten, und wie diese in der Praxis umgesetzt werden können.

Was versteht man unter einer Unternehmensgruppe?

Eine Unternehmensgruppe besteht aus mehreren rechtlich eigenständigen Unternehmen, die jedoch durch eine zentrale Leitung verbunden sind. Diese Struktur kann verschiedene Formen annehmen:

  • Mutter-Tochter-Unternehmen
  • Schwesterunternehmen
  • Holdinggesellschaften
  • Fusionierte Unternehmen

Im Zusammenhang mit der DSGVO ist es insbesondere relevant, dass innerhalb dieser Gruppen oft personenbezogene Daten übertragen und verarbeitet werden, was besondere datenschutzrechtliche Vorschriften aktiviert.

Rechtlicher Rahmen der DSGVO für Unternehmensgruppen

Die DSGVO gilt für jede Form der Verarbeitung personenbezogener Daten innerhalb der EU, unabhängig von der Größe des Unternehmens oder seiner Struktur. Für Unternehmensgruppen bedeutet dies, dass jede juristische Person innerhalb der Gruppe die Vorschriften erfüllen muss. Einige zentrale Aspekte der DSGVO, die besonders relevant für Unternehmensgruppen sind, umfassen:

  • Rechtmäßigkeit der Datenverarbeitung: Artikel 6 DSGVO
  • Datensicherheit: Artikel 32 DSGVO
  • Auftragsverarbeitung: Artikel 28 DSGVO
  • Beteiligung eines Datenschutzbeauftragten: Artikel 37-39 DSGVO

Rechtmäßigkeit der Datenverarbeitung

Gemäß Artikel 6 der DSGVO muss die Verarbeitung personenbezogener Daten rechtmäßig sein. Es gibt sechs rechtmäßige Gründe für die Datenverarbeitung, darunter:

  • Einwilligung der betroffenen Person
  • Erfüllung eines Vertrags
  • Erfüllung einer rechtlichen Verpflichtung
  • Schutz lebenswichtiger Interessen
  • Erfüllung einer Aufgabe im öffentlichen Interesse
  • Berechtigte Interessen des Verantwortlichen

Für Unternehmensgruppen sind speziell die Aspekte der Einwilligung und der berechtigten Interessen wichtig. Häufig werden Daten innerhalb der Gruppe ausgetauscht, um geschäftliche Prozesse zu optimieren oder Verwaltungsaufgaben zu vereinfachen. Dabei müssen die berechtigten Interessen gegen die Datenschutzrechte der betroffenen Personen abgewogen werden.

Einwilligung der betroffenen Person

Die Einholung der Einwilligung kann sich als besonders komplex erweisen, da sie informiert, freiwillig und spezifisch sein muss. Für Unternehmensgruppen bedeutet dies:

  • Klare und leicht verständliche Formulierungen
  • Keine Kopplung der Einwilligung an andere Dienstleistungen
  • Widerrufsmöglichkeit jederzeit und einfach für die betroffene Person

Ein Beispiel aus der Praxis: Ein internationaler Konzern möchte die Daten seiner Mitarbeiter zentral speichern, um den HR-Bereich effizienter zu gestalten. Hier muss jeder Mitarbeiter explizit und freiwillig der Datenverarbeitung zustimmen.

Berechtigte Interessen des Verantwortlichen

Unternehmensgruppen können personenbezogene Daten auch im Rahmen berechtigter Interessen verarbeiten. Hierbei handelt es sich oft um Business-Interessen, die gegen das Recht auf Datenschutz der betroffenen Person abgewogen werden müssen. Die Risiken und Vorteile müssen sorgfältig bewertet und dokumentiert werden.

Datensicherheitsmaßnahmen in Unternehmensgruppen

Die DSGVO legt großen Wert auf die Integrität und Vertraulichkeit von Daten. Artikel 32 fordert Unternehmen dazu auf, technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Diese Maßnahmen umfassen:

  • Verschlüsselung von Daten
  • Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen
  • Regelmäßige Tests und Bewertungen der Sicherheitsmaßnahmen
  • Zugriffskontrollen und Berechtigungsmanagement

Eine große Herausforderung für Unternehmensgruppen ist die Koordination dieser Maßnahmen über verschiedene juristische Einheiten hinweg. Einheitliche Sicherheitsstandards und ständige Überwachung sind notwendig, um Sicherheitslücken zu vermeiden.

Beispiele für Datensicherheitsmaßnahmen

Ein europäischer Einzelhandelsriese hat folgende Maßnahmen umgesetzt:

  • Einsatz von Firewalls und Intrusion-Detection-Systemen
  • Regelmäßige Sicherheits- und Penetrationstests
  • Schulung der Mitarbeiter im Umgang mit personenbezogenen Daten
  • Strenge Zugangskontrollsysteme

Diese Maßnahmen sichern nicht nur die Daten, sondern stärken auch das Vertrauen der Kunden und Mitarbeiter in die Organisation.

Auftragsverarbeitung innerhalb der Gruppe

Artikel 28 der DSGVO reguliert die Verarbeitung von Daten durch Auftragsverarbeiter. Innerhalb einer Unternehmensgruppe gelten oft Tochterfirmen oder externe Dienstleister als Auftragsverarbeiter. Ein Datenverarbeitungsvertrag (Data Processing Agreement, DPA) ist hier unerlässlich. Dieser Vertrag muss klar regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters

Ein Beispiel: Ein multinationaler Konzern betreibt ein zentrales IT-Service-Center, welches Daten für alle Tochtergesellschaften verarbeitet. Hier muss ein Datenverarbeitungsvertrag die Verantwortlichkeiten und Sicherheitsmaßnahmen detailliert festlegen.

Checkliste für einen Datenverarbeitungsvertrag

Folgende Punkte sollten in keinem Datenverarbeitungsvertrag fehlen:

  • Beschreibung der Verarbeitung
  • Sicherheitsmaßnahmen nach Artikel 32 DSGVO
  • Unterauftragsverhältnisse
  • Rechte der betroffenen Personen
  • Haftung und Schadensersatz

Datenschutzbeauftragter in Unternehmensgruppen

Die DSGVO sieht vor, dass bestimmte Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen. Das betrifft insbesondere solche, deren Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten besteht oder die regelmäßig und systematisch Personen überwachen. Artikel 37 bis 39 regeln die Befugnisse und Pflichten des Datenschutzbeauftragten. Für Unternehmensgruppen gilt:

  • Ein Datenschutzbeauftragter kann für die gesamte Gruppe benannt werden
  • Der Datenschutzbeauftragte muss unabhängig agieren können
  • Er muss ausreichende Ressourcen zur Verfügung haben
  • Direkte Berichtspflicht an die oberste Führungsebene

Ein prägnantes Beispiel bietet ein Finanzdienstleister mit Niederlassungen in mehreren EU-Ländern. Hier wird ein zentraler Datenschutzbeauftragter benannt, der einheitliche Datenschutzrichtlinien für die gesamte Gruppe entwickelt und umsetzt.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte hat zahlreiche Aufgaben:

  • Überwachung der DSGVO-Konformität
  • Schulung und Sensibilisierung der Mitarbeiter
  • Anlaufstelle für Datenschutzbehörden
  • Durchführung von Datenschutz-Folgeabschätzungen (DSFA)
  • Beratung der Geschäftsleitung

Praxisbeispiel: Datenschutz in einem globalen Technologiekonzern

Um die theoretischen Erläuterungen greifbarer zu machen, betrachten wir ein Praxisbeispiel. Ein global tätiger Technologiekonzern mit zahlreichen Tochtergesellschaften in der EU muss sich der Herausforderung stellen, einheitliche Datenschutzstandards zu implementieren. Hier ist das Vorgehen des Unternehmens:

  • Benennung eines zentralen Datenschutzbeauftragten für die gesamte Gruppe
  • Einheitliche Datenschutzrichtlinien und Handbücher
  • Regelmäßige Audits und Risikobewertungen
  • Zentralisierte IT-Sicherheitsmaßnahmen und Notfallpläne
  • Verpflichtung aller Mitarbeiter zu regelmäßigen Datenschutzschulungen
  • Erstellung und Verbreitung eines Verzeichnisses von Verarbeitungstätigkeiten

Durch dieses strukturiert und umfassend angelegte Datenschutzkonzept wird gewährleistet, dass alle Einheiten des Konzerns DSGVO-konform arbeiten.

FAQs zur DSGVO-Anwendung in Unternehmensgruppen

Frage: Muss jede Tochtergesellschaft einer Unternehmensgruppe einen eigenen Datenschutzbeauftragten benennen?

Antwort: Nein, es ist möglich, einen Datenschutzbeauftragten für die gesamte Unternehmensgruppe zu benennen, sofern dieser ausreichend unabhängig agieren kann und über die notwendigen Ressourcen verfügt.

Frage: Was passiert, wenn eine Tochtergesellschaft außerhalb der EU ansässig ist?

Antwort: Wenn die Tochtergesellschaft auf das Angebot von Waren oder Dienstleistungen an EU-Bürger abzielt oder deren Verhalten innerhalb der EU verfolgt, muss sie die DSGVO einhalten.

Frage: Wie werden Datenschutz-Folgeabschätzungen innerhalb einer Unternehmensgruppe durchgeführt?

Antwort: Datenschutz-Folgeabschätzungen (DSFA) müssen für Verarbeitungsvorgänge durchgeführt werden, die ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellen. In einer Unternehmensgruppe kann dies zentralisiert erfolgen, vorausgesetzt, es werden alle relevanten Risiken und Maßnahmen einbezogen.

Frage: Was sind die Konsequenzen bei Nichteinhaltung der DSGVO in einer Unternehmensgruppe?

Antwort: Verstöße gegen die DSGVO können zu erheblichen Geldbußen führen. Diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Zusammenfassung und Schlussfolgerungen

Der Umgang mit den DSGVO-Vorschriften innerhalb von Unternehmensgruppen erfordert eine detaillierte Planung und Umsetzung. Rechtmäßigkeit der Datenverarbeitung, Datensicherheitsmaßnahmen, Auftragsverarbeitungsverträge und die Benennung eines Datenschutzbeauftragten sind zentrale Aspekte, die vorschriftsmäßig berücksichtigt werden müssen. Praxisbeispiele und Checklisten verdeutlichen, wie Unternehmen diese Herausforderungen in der Realität meistern können. Es ist von enormer Wichtigkeit, dass alle Einheiten innerhalb einer Unternehmensgruppe an einem Strang ziehen und eine einheitliche Datenschutzstruktur schaffen. So werden nicht nur gesetzliche Vorschriften eingehalten, sondern auch das Vertrauen der Kunden und Partner gestärkt.

Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.

Rechtsanwalt Arthur Wilms - Kanzlei Herfurtner

Arthur Wilms | Rechtsanwalt | Associate

Vincent Bork Kanzlei Hefurtner

Vincent Bork | Rechtsanwalt | Associate

Anwalt Wolfgang Herfurtner Hamburg - Wirtschaftsrecht

Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter

Kundenbewertungen & Erfahrungen zu Herfurtner Rechtsanwälte. Mehr Infos anzeigen.

Aktuelle Beiträge aus dem Rechtsgebiet Gesellschaftsrecht