(DEU) Konzerne, Art. 26 Vereinbarungen und Bußgelder...
Thomas Reisinger | 23.March 2021Artikelinhalt
Im Tätigkeitsbereich des Hamburger Beauftragen für Datenschutz und Informationssicherheit für das Jahr 2020 findet sich eine kleine aber feine Entscheidung zum Thema "Datenverarbeitungen innerhalb eines Konzerns:"
Hier wurde nämlich ein Bußgeld in Höhe von EUR 15.000 verhängt. Erfolgt ist dieses Bußgeld aufgrund eines konzernweiten CRM-Systems (i.e. eine gemeinsame Kundendatenbank). Konkret beanstandete hierbei der Hamburger Beauftragte, dass keine Vereinbarung nach Art 26 DSGVO abgeschlossen wurde.
So weit so gut. Was bedeutet diese Entscheidung nun für die Praxis
Datenflüsse innerhalb eines Konzerns sind nicht formell privilegiert!
Die wichtigste Aussage dieser Entscheidung ist, dass man sich mal vergegenwärtigen muss, dass Datenflüsse innerhalb eines Konzerns nicht privilegiert sind. Leider - und dies ist ein wirkliches, authentisches "Leider!" - kennt die DSGVO kein sogenanntes Konzernprivileg wie es zum Beispiel das Kartellrecht hat.
Info: Im Bereich des Kartellrechts werden alle Mitglieder / Gesellschaften innerhalb eines Konzerns als eine einzige Organisation betrachtet. Auf dem Papier sind die einzelnen Gesellschaften formell rechtlich eigenständige juristische Personen. Da diese allerdings in Form der einzelnen Gesellschaftsanteile miteinander verknüpft sind werden sie als eine einzige Konstruktion behandelt und müssen Vorgänge welche kartellrechtlich relevant wären nicht beachten.
Beispielsweise fällt eine Preisabsprache zwischen einer Supermarktkette A und Supermarktkette B dann nicht unter das Kartellrecht, wenn diese innerhalb eines gemeinsamen Konzerns sind.
Die DSGVO kennt sowas nicht, sondern wertet die einzelnen Gesellschaften innerhalb eines Konzerns als rechtlich eigenständige Verantwortliche. Datenverarbeitungen oder Datenübermittlungen zwischen den einzelnen Gesellschaften innerhalb eines Konzerns sind somit genauso zu werten wie wenn diese an konzernfremde Verantwortliche ergehen würden.
Konkretes Beispiel: Der Versand von Gehaltsdaten von Gesellschaft A an Gesellschaft B ist in rechtlicher Hinsicht auf den ersten Blick genau so eine Datenübermittlung wie der Versand von Gehaltsdaten an das Finanzamt. Mit dem Unterschied, dass bei der Übermittling an das Finanzamt eine sichere - nämlich gesetzliche Verpflichtung - Rechtsgrundlage vorhanden ist.
Kann / darf man nun also gar keine Daten innerhalb eines Konzerns übermitteln?
Dem aufmerksamen Leser ist sicher aufgefallen, dass ober sehr viele Wörter wie "auf den ersten Blick" und "eigentlich" usw... vorgekommen sind. Das war auch beabsichtigt, denn ein kleines Schlupfloch lässt die DSGVO schon zu. Und zwar wird im Erwägungsgrund 48 der DSGVO diese Problematik angesprochen und diesbezüglich ausgeführt, dass man innerhalb eines Konzerns regelmäßig (sprich: so gut wie immer!) Datenübermittlungen auf ein berechtigtes Interesse stützen kann.
Okay... und was heißt das jetzt? Warum wurde dieses Bußgeld verhängt?
Dieses sogenannte "kleine" Konzernprivileg liefert zwar regelmäßig eine Rechtsgrundlage für Datenübermittlungen. Allerdings ist das nur die halbe Miete....
hust hust: Spätestens jetzt sollten einem die Begriffe "Auftragsverarbeitung" oder "gemeinsame Verantwortlichkeit" in den Kopf schießen!
Und genau darum geht es auch in dem eingangs erwähnten Bußgeld. Datenverarbeitungen innerhalb eines Konzerns begründen regelmäßig Auftragsverarbeitungen oder aber gemeinsame Verantwortlichkeiten.
Im konkreten Fall war der Hamburger Beauftragte der Meinung, dass ein konzernweites CRM-System, welches den einzelnen Gesellschaften mehr oder minder gleiche Berechtigungen einräumt eben den zuletztgenannten Tatbestand der gemeinsamen Verantwortlichkeit nach Art 26 DSGVO erfüllt und insofern eine entsprechende Vereinbarung geschlossen werden hätte müssen.
Die Unterscheidung zwischen einer Gemeinsamem Verantwortlichkeit und Auftragsverarbeitung ist - wie dem Leser sicher bereits bekannt ist - oftmals schwierig und manchmal einfach eine Glaubensfrage - noch dazu in Konzernen wo der eigentliche Verantwortliche aufgrund von Konzernvorgaben nur wenig mitzuentscheiden hat. Im Endergebnis kann diese Frage aber dahingestellt bleiben, da auch im Fall der Auftragsverarbeitung eine Vereinbarung - nämlich eine Auftragsverarbeitungsvereinbarung nach Art 28 DSGVO - notwendig gewesen wäre.
An dem eigentlichen Bußgeld hätte sich - und das ist jetzt ein wenig im Bereich der Spekulation - aber wohl nichts geändert, da der wesentliche Schuldvorwurf der Entscheidung darin liegt, dass vom belangten Verantwortlichen weder die eine, noch die andere Vereinbarung gemacht wurde, sondern man stattdessen den Datenfluss innerhalb des Konzerns wohl als von der DSGVO ausgenommen betrachtet hat.
Was bedeutet das für mich?
Die wesentliche Lesson die man aus dieser Entscheidung ziehen kann ist, dass man - sofern man ein Konzern ist und Datenflüsse stattfinden - entsprechende Vereinbarungen trifft.
Die üblichen Verdächtigen in diesem Bereich sind erfahrungsgemäß:
- Personalverwaltung
- Kundenverwaltung
- IT
- Marketing
Die genaue Einordnung ist hier - wie bereits gesagt - oftmals schwierig und muss immer konkret geprüft werden. Oftmals werden auch beide Tatbestände erfüllt sein. Jedenfalls sollte man aber hier irgendeine Handlung setzen, da angenommen werden darf, dass im Fall einer "falschen" Vereinbarung die Behörde lediglich den Abschluss der korrekten Vereinbarung anordnet und keine - oder eine wesentlich kleinere - Geldbuße verhängen wird.
Auch wenn es kein Konzernprivileg gibt, so gibt es eine Konzernqualifikation: Bußgelder in einem Konzern werden nämlich nach dem Umsatz des gesamten Konzerns berechnet. Wenn man ein kleines gallisches Dorf hat, welches sich partout querlegt, dann kann dies teuer werden. Und zwar für alle.
Links zum Artikel
Blogbeitrag - datenschutz-notizen
Tätigkeitsbericht - Hamburger Beauftragten für Datenschutz und Informationssicherheit (Die relevante Entscheidung auf Seite 119)