de en
Nexia Ebner Stolz

Rechtsberatung

Verträge für den Datentransfer in Unternehmensgruppen

Werden personenbezogene Daten zwischen Unternehmen einer Unternehmensgruppe ausgetauscht, bedarf es einer vertraglichen Vereinbarung. Diese ist entweder in Form eines Joint Control Agreement oder einer Auftragsverarbeitungs-Vereinbarung abzuschließen.

Inn­er­halb von Unter­neh­mens­grup­pen - mit oder ohne beherr­schen­den Ein­fluss unte­r­ein­an­der - stel­len sich beson­dere daten­schutz­recht­li­che Fra­gen. Ein Aus­tausch von per­so­nen­be­zo­ge­nen Daten zwi­schen den Unter­neh­men ist nur erlaubt, wenn diese zuvor einen Ver­trag für den kon­zern­in­ter­nen Daten­trans­fer abge­sch­los­sen haben.

Je nach Art der Koope­ra­tion der Unter­neh­men ist dies in Form eines Joint Con­trol Agree­ment oder einer Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung vor­zu­neh­men.

Joint Con­trol Agree­ment

Nut­zen Unter­neh­men Daten zu „gemein­sa­men Zwe­cken“ und ver­wen­den sie dabei „gemein­same Mit­tel“, sind sie „gemein­sam Ver­ant­wort­li­che“ (Joint Con­trol­lers) im Sinne des Daten­schutz­rechts.

Für einen gemein­sa­men Zweck ist es aus­rei­chend, dass Unter­neh­men zwar unter­schied­li­che Zwe­cke ver­fol­gen, sich dabei aber gegen­sei­tig unter­stüt­zen. Auch der Begriff „gemein­same Mit­tel“ ist weit zu ver­ste­hen: Dies kön­nen z. B. Ser­ver sein, die im Eigen­tum eines Unter­neh­mens ste­hen. Soll hei­ßen: Viele Unter­neh­mens­grup­pen sind „gemein­sam Ver­ant­wort­li­che“.

Liegt eine „gemein­same Ver­ant­wort­lich­keit“ vor, ver­langt Art. 26 Daten­schutz­grund­ver­ord­nung (DSGVO), dass die Unter­neh­men ein Joint Con­trol Agree­ment sch­lie­ßen.

Was muss in einem Joint Con­trol Agree­ment min­des­tens gere­gelt wer­den?

  • Doku­men­ta­tion der „gemein­sa­men Zwe­cke“: Oft kann hier auf geeig­nete For­mu­lie­run­gen aus dem Ver­ar­bei­tungs­ver­zeich­nis zurück­ge­grif­fen wer­den. Bei­spiel: Durch­füh­rung eines kon­zern­wei­ten Recrui­tings von Mit­ar­bei­ter/innen.
  • Doku­men­ta­tion der „gemein­sa­men Mit­tel“: Dies kön­nen z. B. eine gemein­same Inter­net­seite oder ein gemein­sa­mes CRM-Sys­tem der Unter­neh­mens­gruppe sein.
  • Besch­rei­bung der ope­ra­ti­ven Funk­tio­nen der Unter­neh­men: Auch hier geht es meist um eine Doku­men­ta­tion der geleb­ten Pra­xis.
    Bei­spiel: Unter­neh­men A über­nimmt den Waren­ver­kauf, Unter­neh­men B Ver­sand und Rech­nungs­stel­lung 
  • Abg­ren­zung der inter­nen daten­schutz­recht­li­chen Zustän­dig­kei­ten: Hier geht es darum, wer wel­che Pflich­ten aus der DSGVO erfül­len muss. Dies sind z. B. die Bereit­stel­lung von Daten­schutz­in­for­ma­tio­nen und die Bear­bei­tung von Aus­kunft­s­an­trä­gen von Betrof­fe­nen.
    Oft bie­tet sich im Grund­satz eine Abg­ren­zung der Ver­ant­wort­lich­kei­ten nach Sphä­ren an: Daten, die in den „Macht­be­reich“ eines Unter­neh­men gelan­gen, lie­gen im Ver­ant­wor­tungs­be­reich die­ses Unter­neh­mens. Ent­schei­det man sich für eine sol­che Abg­ren­zung, sollte aus Grün­den der Effi­zi­enz davon in Ein­zel­be­rei­chen abge­wi­chen wer­den. Denn sonst müss­ten alle Unter­neh­men alle daten­schutz­recht­li­chen Pflich­ten der DSGVO erfül­len - selbst wenn ein ande­res Unter­neh­men diese Pflicht bereits erfüllt hat.
    Bei­spiel: Unter­neh­men A über­nimmt die Bereit­stel­lung von Daten­schutz­er­klär­un­gen für die gesamte Gruppe.
    Hin­weis: Unter­neh­men kön­nen sich nach außen etwa gegen­über Daten­schutz­be­hör­den nicht dar­auf beru­fen, dass intern ein ande­res Unter­neh­men zustän­dig ist.
  • Mit­wir­kungspf­lich­ten: Um ihre Pflich­ten erfül­len zu kön­nen, sind die Unter­neh­men auf gegen­sei­tige Unter­stüt­zung ange­wie­sen.
    Bei­spiel: Ein Kunde bean­tragt beim Unter­neh­men A Löschung sei­ner Daten. Die Daten sind auf dem Ser­ver des Unter­neh­mens B gespei­chert. Es muss im Joint Con­trol Agree­ment gere­gelt sein, dass A sol­che Anträge an B wei­ter­lei­tet.

Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung

Ver­ar­bei­ten Unter­neh­men Daten nicht zu eige­nen Zwe­cken, son­dern nur nach Wei­sung ande­rer Unter­neh­men, so liegt kein Joint Con­trol­lership vor. In die­sen Fäl­len ist eine Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung abzu­sch­lie­ßen.

Bei­spiel: Eine Ser­vice-Gesell­schaft im Kon­zern stellt für die gesamte Unter­neh­mens­gruppe die IT bereit.

Rechts­grund­lage und Infor­ma­ti­onspf­lich­ten

Auch für Daten­trans­fers inn­er­halb einer Unter­neh­mens­gruppe bedarf es einer Rechts­grund­lage. Das Joint Con­trol Agree­ment ist keine Rechts­grund­lage. Aller­dings ent­hal­ten die Erwä­g­ungs­gründe zur DSGVO Hin­weise auf ein „Kon­zern­pri­vi­leg light“: In der Regel dürf­ten danach Daten zu „inter­nen Ver­wal­tungs­zwe­cken“ zwi­schen Unter­neh­men einer Unter­neh­mens­gruppe aus­ge­tauscht wer­den, sofern ein Unter­neh­men einen beherr­schen­den Ein­fluss auf andere Unter­neh­men der Gruppe aus­ü­ben kann (Art. 4 Nr. 19 DSGVO). Hier besteht aller­dings noch keine Rechts­si­cher­heit.

Über die Eck­punkte eines Joint Con­trol Agree­ment sollte in der Daten­schutz­er­klär­ung infor­miert wer­den. Für eine Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung besteht diese Infor­ma­ti­onspf­licht nicht. Auch Auf­trags­ver­ar­bei­ter sind als „Emp­fän­ger“ von Daten in der Daten­schutz­er­klär­ung anzu­ge­ben.

Hin­weis

Viele Unter­neh­mens­grup­pen haben noch kein Joint Con­trol Agree­ment abge­sch­los­sen. Dies sollte nach­ge­holt wer­den. Denn der Euro­päi­sche Gerichts­hof hat nun schon mehr­fach ent­schie­den, dass ein Joint Con­trol­lership sogar bei deut­lich locke­ren Koope­ra­tio­nen vor­lie­gen kann (zuletzt EuGH, Urteil vom 29.7.2019, Rs. C-40/17 zur Nut­zung des „Gefällt mir“-But­tons von Face­book). Ein Daten­aus­tausch in Unter­neh­mens­grup­pen ohne eine ver­trag­li­che Rege­lung des Daten­trans­fers ver­stößt gegen die DSGVO und kann zu Buß­gel­dern füh­ren. Wir unter­stüt­zen Sie bei dem Ent­wurf der not­wen­di­gen Ver­trä­gen sowie bei der Prü­fung mög­li­cher gesell­schafts­recht­li­cher Aus­wir­kun­gen.

nach oben