actionbrowser.com
Shop Akademie Service & Support News 10. 06. 2021 Datenschutzprogramme in Konzernen Florian Weidlich Senior Manager im Bereich Verrechnungspreise bei PwC Deutschland Bild: MEV-Verlag, Germany Die Datenschutz-Grundverordnung (DSGVO) stellt umfangreiche Anforderungen an die Implementierung von Datenschutzorganisation und unternehmensinterne Prozesse zur Gewährleistung von Datenschutz-Compliance. Bei Verstößen gilt seit 2018 ein Bußgeldrisiko von bis zu 4% des globalen Vorjahresumsatzes. Konzerninterne Datenweitergabe nicht automatisch zulässig. Parallel zu ersten behördlichen und gerichtlichen Entscheidungen haben verschiedene Länder weltweit begonnen, ihre Datenschutzgesetzgebung zu novellieren und orientieren sich dabei häufig an der DSGVO. Diese Entwicklungen haben dazu geführt, dass international tätige Konzerne Datenschutzprogramme aufgelegt haben. In vielen Fällen wurden zentrale Datenschutzkompetenzen auf Ebene der Konzernobergesellschaft aufgebaut, aber auch Verantwortliche unternehmensübergreifend festgelegt. In der Folge erbringen Konzernmütter oftmals vielfältige Dienstleistungen an ausländische Konzerngesellschaften.
Erwägungsgrund 150 der DSGVO verweist darauf, dass beim Unternehmensbegriff an den Unternehmensbegriff der Artikel 101 und 102 des AEUV angeknüpft werden soll. Die Artikel 101 und 102 des AEUV regeln den Unternehmensbegriff im Kartellrecht und gehen daher von der Einheit einzelner Gesellschaften aus, wenn diese als Wirtschaftseinheit agieren. Auch die Artikel-29-Datenschutzgruppe verweist darauf, dass Sanktionen gegen Unternehmen nur dann "wirksam, verhältnismäßig und abschreckend" sein können, wenn vom kartellrechtlichen Unternehmensbegriff gemäß der Auslegung des EuGHs ausgegangen wird. Datenschutz in Konzernen | LexDidacta.de. Danach gehören zur Wirtschaftseinheit neben Muttergesellschaft auch alle abhängigen Tochtergesellschaften. Nicht entscheidend ist damit die Rechtsform oder die Art der Finanzierung. Die Wirtschaftseinheit ist vor allem dann anzunehmen, wenn die Tochtergesellschaft trotz eigener Rechtspersönlichkeit in ihrem Marktverhalten Weisungen und einem erkennbaren Einfluss der Muttergesellschaft unterliegt. Für welche Verstöße können gruppenweite Bußgelder verhängt werden?
In allen anderen Fällen bedarf es einer ausdrücklichen Einwilligung des Betroffenen in den internationalen Datentransfer oder des Vorliegens eines anderen der in Art. 49 Abs. 1 DSGVO genannten Ausnahmegründe.
Ein Fall aus der Konzern-Praxis Nehmen wir die NN Inc. * mit Sitz in USA, Hersteller von Consumer-Electronics. Nach erfolgreicher Markteinführung in Nordamerika wird der europäische Markt angepeilt. Als Brückenkopf wird Brüssel ausgewählt, welches die Europazentrale wird – selbstverständlich als eigenständiges Unternehmen. Tochterunternehmen in weiteren europäischen Ländern werden gegründet, drei davon auch in Deutschland. Datenschutz konzern dsgvo zur erhebung und. John Doe, CEO der NN Inc., ist moderner Betriebswirtschaft gegenüber aufgeschlossen und organisiert seinen Konzern mit einer Matrix-Struktur. Das bedeutet, die IT-Tochter für Europa sitzt in England, die einzelnen Business Units in Europa berichten dem jeweils zuständigen Managern in Brüssel. Die Garantiezentrale als Ansprechpartner für die Endkunden ist in Bangalore, Indien beheimatet (Kostenfaktor! ). Die jeweiligen HR-Manager der deutschen Gesellschaften (1. 200 Angestellte in Deutschland insgesamt) berichten an HR bei der amerikanischen Muttergesellschaft (wobei die dafür verwendete Software im Wege des Cloud-Computing outgesourced ist).
Diese Regelung bezieht sich auf Interessenabwägungen bei Beurteilung der Rechtmäßigkeit von Datenverarbeitungen, wie sie insbesondere nach Art. 6 Abs. 1 lit. f) DSGVO durchzuführen ist. Durch die jetzt ausdrückliche Normierung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung werden Datenflüsse innerhalb einer Konzerngruppe zukünftig leichter zu rechtfertigen sein. Was bleibt gleich? Verantwortlicher In der Datenschutz-Grundverordnung wird für die Bewertung als verantwortliche Stelle bzw. Verantwortlicher weiterhin auf die juristische Betrachtungsweise abgestellt. Als Verantwortlicher gilt nach Art. 7 DSGVO die juristische Person, sodass die jeweiligen Konzernunternehmen für die Datenverarbeitung verantwortlich bleiben und demnach im Verhältnis zueinander grundsätzlich als Dritter anzusehen sind. Für die Datenweitergabe ist auch unter Regie der DSGVO ein Erlaubnistatbestand (vor allem Art. DSGVO-konformer Datenaustausch im Konzernverbund. 6 DSGVO) vonnöten, wobei einige Erleichterungen gelten, wie das kleine Konzernprivileg.
Gesetzliche Erlaubnis: Alternativ lässt sich die konzerninterne Übermittlung von Daten auf gesetzliche Erlaubnistatbestände (§§ 28 ff. BDSG) stützen. Dies ist mit Rechtsunsicherheit verbunden ( Plath, in: Plath (Hrsg. ), BDSG, § 28 Rz. 46 ff. und speziell zu Konzerninteressen Rz. 73). Soweit es um Beschäftigtendaten geht, ist beispielsweise offen, ob § 28 Abs. 1 Satz 1 Nr. 2 BDSG eine Datenübermittlung überhaupt noch legitimieren kann, seit es den Sondertatbestand des § 32 Abs. 1 Satz 1 BDSG gibt, der den – schwer zu führenden – Nachweis verlangt, dass die konzerninterne Datenübermittlung für die Durchführung des Beschäftigungsverhältnisses "erforderlich" ist. Auftragsdatenverarbeitung: Die Auftragsdatenverarbeitung ist als Instrument des konzerninternen Datenaustausches weit verbreitet. Datenschutz konzern dsgvo gesetzestext. Eine entsprechende Struktur einzurichten, ist wegen der Notwendigkeit zahlreicher Vereinbarungen gemäß § 11 BDSG aufwändig ( Plath, in: Plath (Hrsg. ), BDSG, § 11 Rz. 42-45). Bei internationalen Konzernen ist eine Auftragsdatenverarbeitung zudem nicht immer praktikabel wegen der regulatorischen Anforderungen, die bei der Übermittlung personenbezogener Daten in Drittländer zu beachten sind (§§ 4 b und 4 c BDSG; dazu ausführlich v. d. Bussche, in: Plath (Hrsg.
Rechtsgrundlage im Konzern Grundsätzlich ist für die Weitergabe – wie auch bei der Verarbeitung – von Beschäftigtendaten innerhalb eines Konzern oder einer Unternehmensgruppe eine Rechtsgrundlage erforderlich. Sie kann sich aufgrund eines berechtigten Interesses aus einer gesetzlichen Rechtsgrundlage, aus einer Auftragsverarbeitungsvereinbarung oder einer Einwilligung ergeben. Dabei kann die Einwilligung kollektivrechtlich durch Abschluss einer Betriebsvereinbarung oder gar einer Konzernbetriebsvereinbarung erfolgen. Findet innerhalb des Konzerns bspw. die Lohnabrechnung zentral über eine Gesellschaft statt, kann eine Auftragsverarbeitung mit der zentral abrechnenden Gesellschaften sinnvoll bzw. Datenschutz konzern dsgvo zertifizierung kommt 2022. gar erforderlich sein. Bei der individualvertraglichen Einwilligung des einzelnen Arbeitnehmers ist jedoch zu beachten, dass sie unter dem jederzeitigen Widerrufsrecht steht. Die Rechtsgrundlage für eine Weitergabe im Konzern sollte daher bestenfalls nicht bzw. nur im absoluten Ausnahmefall auf einer Einwilligung des einzelnen Arbeitnehmers beruhen.