Datenschutz im Konzern: Was Sie über das kleine Konzernprivileg wissen müssen

In großen Unternehmensgruppen und Konzernen stellt sich oft die Frage, wie personenbezogene Daten rechtssicher ausgetauscht werden können.

Ein umfassendes Konzernprivileg ist in der DSGVO nicht vorgesehen. Dennoch gibt es gewisse Erleichterungen für den internen Datenaustausch innerhalb einer Unternehmensgruppe – das sogenannte kleine Konzernprivileg.

Doch was genau verbirgt sich hinter diesem Begriff? Welche rechtlichen Rahmenbedingungen müssen dabei beachtet werden? Und handelt es sich auch tatsächlich um ein kleines Konzernprivileg? 

Das Konzernprivileg ist eine besondere Regelung im Datenschutz, die es Unternehmensgruppen ermöglicht, personenbezogene Daten unter bestimmten Bedingungen intern zu übertragen. Es unterscheidet sich in ein umfassendes und ein kleines Konzernprivileg. 

Während Entwürfe für ein umfassendes Konzernprivileg nicht in die DSGVO aufgenommen wurden, erlaubt das kleine Konzernprivileg die Übermittlung von Daten innerhalb der Unternehmensgruppe für spezifische interne Verwaltungszwecke. Diese Erleichterung kann insbesondere bei der zentralen Verwaltung von Mitarbeitenden- und Kund:innendaten von Vorteil sein, um Effizienz und Kohärenz zu gewährleisten.

Die rechtlichen Rahmenbedingungen für das Konzernprivileg sind in der DSGVO klar definiert. Artikel 4 Abs. 19 der DSGVO definiert eine Unternehmensgruppe als eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. 

Erwägungsgrund 37 der DSGVO ergänzt, dass ein herrschendes Unternehmen einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben muss, um als Unternehmensgruppe zu gelten. Das erfolgt beispielsweise „aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen“. Demnach wird ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, zusammen mit diesen als eine Unternehmensgruppe betrachtet.

Aufgrund der inhaltlich sehr ähnlichen Definition in § 18 AktG (Aktiengesetz) stellen Konzerne im Regelfall Unternehmensgruppen i. S. d. DSGVO dar, sodass für sie die in der DSGVO geregelten einschlägigen Normen anwendbar sind.

Erwägungsgrund 48 der DSGVO ist besonders relevant, da er das kleine Konzernprivileg beschreibt. Er erlaubt die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen für interne Verwaltungszwecke, gestützt auf die berechtigten Interessen der Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO. Trotz dieser Erleichterung bleibt jedes Gruppenunternehmen rechtlich verantwortlich für den Schutz der von ihm verarbeiteten personenbezogenen Daten – entweder im Rahmen einer Auftragsverarbeitung oder gemeinsamen Verantwortlichkeit.

Zu beachten ist, dass diese Regelung sich auf die Interessenabwägungen bei Beurteilung der Rechtmäßigkeit von Datenverarbeitungen bezieht, wie sie insbesondere nach Art. 6 Abs. 1 S. 1 lit. f DSGVO durchzuführen ist. Durch diese ausdrückliche Normierung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung können Datenflüsse innerhalb einer Konzerngruppe ggf. leichter zu rechtfertigen sein. 

In der Praxis ermöglicht das kleine Konzernprivileg die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe für spezifische interne Verwaltungszwecke. Dies umfasst beispielsweise die zentrale Personalverwaltung, die Nutzung eines konzernweiten CRM-Systems oder die zentrale Buchhaltung. Solche zentralisierten Funktionen helfen, Prozesse effizienter zu gestalten und konsistente Datenmanagement-Praktiken innerhalb des Konzerns zu gewährleisten.

Ein praktisches Beispiel ist die zentrale Verwaltung von Mitarbeitendendaten, bei der eine zentrale Personalabteilung die Daten aller Mitarbeitenden innerhalb der Unternehmensgruppe verwaltet. Dies kann die Effizienz steigern und sicherstellen, dass alle relevanten Datenschutzvorschriften einheitlich angewendet werden. 

Obwohl das kleine Konzernprivileg augenscheinlich Erleichterungen bietet, gibt es auch klare Einschränkungen. Diese Regelung gilt ausschließlich und zudem eingeschränkt für interne Verwaltungszwecke. Sobald personenbezogene Daten für andere Zwecke, wie etwa Marketing oder externe Dienstleister, genutzt werden sollen, greift das kleine Konzernprivileg nicht mehr. In solchen Fällen sind zusätzliche Rechtsgrundlagen erforderlich, wie die explizite Einwilligung der betroffenen Personen oder vertragliche Regelungen gemäß den Anforderungen der DSGVO.

Besondere Herausforderungen entstehen auch bei der Übermittlung von Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums – selbst, wenn die Daten konzernintern übermittelt werden. Hier müssen die Bestimmungen der Artikel 44 ff. DSGVO eingehalten werden, welche angemessene Garantien wie Angemessenheitsbeschlüsse der EU-Kommission oder Binding Corporate Rules (BCRs) – welche grundsätzlich durch die Datenschutz-Aufsichtsbehörden genehmigt werden müssen – vorsehen.

Darüber hinaus dürfen Mitarbeitendendaten nicht uneingeschränkt im Rahmen des kleinen Konzernprivilegs zentral verarbeitet werden. Die zentrale Verarbeitung muss verhältnismäßig und erforderlich sein. Es muss geprüft werden, ob pseudonymisierte oder anonymisierte Daten ausreichen, um den Verwaltungszweck zu erfüllen. Zudem müssen die Interessen der betroffenen Mitarbeitenden berücksichtigt werden, und es muss transparent kommuniziert werden, wie und von wem ihre Daten innerhalb des Konzerns genutzt werden.

Demnach greift das vermeintliche Konzernprivileg nur sehr eingeschränkt. Bei den meisten Verarbeitungen und Datentransfers unterliegen Konzerne denselben Anforderungen der DSGVO an die Rechtmäßigkeit wie zwei unabhängige Unternehmen. Unternehmen in einem Konzernverbund werden somit in den meisten Fällen als Dritte betrachtet. Daher ist, unserer Meinung nach, fraglich, ob überhaupt von einem – wenn auch nur kleinen – Konzernprivileg gesprochen werden kann. 

Um das kleine Konzernprivileg optimal zu nutzen und gleichzeitig die Anforderungen der DSGVO zu erfüllen, sollten Unternehmen bestimmte Best Practices beachten. Eine zentrale Maßnahme ist die Bestellung/Benennung von einer:eines konzernübergreifenden Datenschutzbeauftragten für die gesamte Unternehmensgruppe. Diese:r Datenschutzbeauftragte sollte leicht von allen Unternehmensteilen erreichbar sein und sicherstellen, dass alle Datenschutzvorschriften konzernweit einheitlich angewendet werden. Hier werden sich ggf. weitere Problemstellungen ergeben, da insbesondere bei Konzernteilen in Drittländern keine Bestellungs- bzw. Benennungspflicht gem. DSGVO gegeben ist.

Weiterhin ist es essenziell, die betroffenen Personen umfassend zu informieren. Gemäß Art. 13 DSGVO müssen sie darüber aufgeklärt werden, wie ihre Daten verarbeitet und weitergeleitet werden. Transparenz und klare Kommunikation sind hier der Schlüssel, um Vertrauen zu schaffen und rechtliche Risiken zu minimieren.

Die Implementierung von Binding Corporate Rules (BCRs) stellt eine weitere Best Practice dar. Diese internen Datenschutzvorschriften helfen, einen einheitlichen Standard für den Datenschutz innerhalb der Unternehmensgruppe zu etablieren und erleichtern den Datentransfer in Drittländer.

Besonders wichtig ist auch die umfassende Dokumentation aller datenschutzrechtlichen Maßnahmen. Eine lückenlose Dokumentation gemäß den Vorgaben der DSGVO (wie z. B. Art. 30 DSGVO) dient nicht nur der Nachweisbarkeit der Einhaltung der Vorschriften, sondern schützt das Unternehmen auch vor möglichen Bußgeldern und rechtlichen Auseinandersetzungen. Alle Prozesse und Zustimmungen sollten genau dokumentiert und regelmäßig überprüft werden, um sicherzustellen, dass sie den aktuellen rechtlichen Anforderungen entsprechen. 

Ein bedeutsames Urteil im Kontext des kleinen Konzernprivilegs betrifft die zentrale Verwaltung von Gehaltsdaten. In einem Fall, der vor dem Arbeitsgericht Herne (Az. 5 Ca 280/19) verhandelt wurde, gab ein Unternehmen die Gehaltsdaten einer Mitarbeiterin an eine Konzerntochtergesellschaft weiter, um Vergleichswerte für neue Verträge zu erheben. Die betroffene Person hatte jedoch nicht in diese Datenverarbeitung eingewilligt und klagte gegen die Weitergabe.

Das Gericht entschied zugunsten der Mitarbeiterin, da die Weitergabe der Gehaltsdaten ohne ausdrückliche Einwilligung und ohne ausreichende Rechtsgrundlage erfolgte. Hinzu kommt, dass die Verarbeitung nicht verhältnismäßig war. Um die angestrebten Zwecke zu erreichen, hätten pseudonymisierte Daten ausgereicht. Dieses Urteil verdeutlicht, dass selbst innerhalb des kleinen Konzernprivilegs eine sorgfältige Abwägung und klare Einwilligungen erforderlich sind, um rechtliche Probleme zu vermeiden.

Ein reales Konzernprivileg wurde letztendlich nicht in die DSGVO übernommen. Das sogenannte kleine Konzernprivileg bietet Konzernen und Unternehmensgruppen mögliche Erleichterungen beim Umgang mit personenbezogenen Daten gemäß Erwägungsgrund 48, der ihnen die Suche nach einem Erlaubnistatbestand für konzerninterne Datenübermittlungen nicht abnehmen, aber etwas erleichtern kann. Es ermöglicht, Daten für interne Verwaltungszwecke zu nutzen, ohne dabei gegen die strengen Vorgaben der DSGVO zu verstoßen. Dennoch müssen Unternehmen die rechtlichen Rahmenbedingungen und Einschränkungen genau beachten, um rechtliche Risiken zu minimieren.

Die Bestellung von gemeinsamen Datenschutzbeauftragten, die umfassende Information der betroffenen Personen und die Implementierung von Binding Corporate Rules sind essenzielle Maßnahmen, um die Vorteile des kleinen Konzernprivilegs voll auszuschöpfen. Durch diese Best Practices können Unternehmen sicherstellen, dass sie nicht nur effizient, sondern auch rechtssicher arbeiten. 

Bodensiek, Kai und David Julian Hoffmann (2021): „Newsletter im Konzern – kein Selbstläufer!“, MultiMedia und Recht Beilage, Heft 08/2021, S. 12-16.

Conrad, Isabell und Dr. Christina Treeger (2019): „§ 34 Recht des Datenschutzes Rn. 171-180“, Handbuch IT- und Datenschutzrecht, Dr. Astrid Auer. Reinsdorff und Isabell Conrad (Hrsg.), 3. Auflage 2019, C.H.Beck.

LG Bochum Urt. v. 22.1.2020 – 2 O 186/19, BeckRS 2020, 58911
Petri, Prof. Dr. Thomas (2024): „DS-GVO Art. 6 Rn. 168, 168a“, Datenschutz-Grundverordnung/BDSG, Prof. Dr. Jürgen Kühling und Prof. Dr. Benedikt Buchner (Hrsg.), 4. Auflage 2024, C.H.Beck.

Schneider, Prof. Dr. Jochen, Prof. Dr. Nikolaus Forgó und Prof. Dr. Marcus Helfrich (2019): „Konzern, Unternehmensgruppe, Relevant für Aufsicht Rn. 1-11“, Betrieblicher Datenschutz, Prof. Dr. Nikolaus Forgó, Prof. Dr. Marcus Helfrich und Prof. Dr. Jochen Schneider (Hrsg.), 3. Auflage 2019. C.H. Beck.

Schöttle, Dr. Hendrik (2019): „Kein Konzernprivileg Rn. 1-4“, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, Prof. Dr. Stephan Weth, Prof. Dr. Maximilian Herberger, Dr. Michael Wächter und Prof. Dr. Christoph Sorge (Hrsg.), 2. Auflage 2019, C.H.Beck.

Schröder, RA Dr. Christian (2024): „DS-GVO Art. 46 Rn. 28, 29“, Datenschutz-Grundverordnung/BDSG, Prof. Dr. Jürgen Kühling und Prof. Dr. Benedikt Buchner (Hrsg.), 4. Auflage 2024, C.H.Beck.

Schulz, Sebastian (2022): „DS-GVO Art. 6 Rn. 131, 132“, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, Prof. Peter Gola und Prof. Dr. Dirk Heckmann (Hrsg.), 3. Auflage 2022, C.H.Beck.

Seifert, Achim (2019): „DSGVO Art. 88 Datenverarbeitung im Beschäftigungskontext Rn. 37-41“, Datenschutzrecht. DSGVO mit BDSG, Prof. Dr. Dr. h.c. mult. Spiros Simitis, Prof. Dr. Gerrit Hornung und Prof. Dr. Indra Spiecker genannt Döhmann (Hrsg.), Nomos.