Verträge für den Datentransfer in Unternehmensgruppen

In­ner­halb von Un­ter­neh­mens­grup­pen - mit oder ohne be­herr­schen­den Ein­fluss un­ter­ein­an­der - stel­len sich be­son­dere da­ten­schutz­recht­li­che Fra­gen. Ein Aus­tausch von per­so­nen­be­zo­ge­nen Da­ten zwi­schen den Un­ter­neh­men ist nur er­laubt, wenn diese zu­vor einen Ver­trag für den kon­zern­in­ter­nen Da­ten­trans­fer ab­ge­schlos­sen ha­ben.

Je nach Art der Ko­ope­ra­tion der Un­ter­neh­men ist dies in Form ei­nes Joint Con­trol Agree­ment oder ei­ner Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung vor­zu­neh­men.

Joint Control Agreement

Nut­zen Un­ter­neh­men Da­ten zu „ge­mein­sa­men Zwecken“ und ver­wen­den sie da­bei „ge­mein­same Mit­tel“, sind sie „ge­mein­sam Ver­ant­wort­li­che“ (Joint Con­trol­lers) im Sinne des Da­ten­schutz­rechts.

Für einen ge­mein­sa­men Zweck ist es aus­rei­chend, dass Un­ter­neh­men zwar un­ter­schied­li­che Zwecke ver­fol­gen, sich da­bei aber ge­gen­sei­tig un­terstützen. Auch der Be­griff „ge­mein­same Mit­tel“ ist weit zu ver­ste­hen: Dies können z. B. Ser­ver sein, die im Ei­gen­tum ei­nes Un­ter­neh­mens ste­hen. Soll heißen: Viele Un­ter­neh­mens­grup­pen sind „ge­mein­sam Ver­ant­wort­li­che“.

Liegt eine „ge­mein­same Ver­ant­wort­lich­keit“ vor, ver­langt Art. 26 Da­ten­schutz­grund­ver­ord­nung (DS­GVO), dass die Un­ter­neh­men ein Joint Con­trol Agree­ment schließen.

Was muss in einem Joint Con­trol Agree­ment min­des­tens ge­re­gelt wer­den?

• Do­ku­men­ta­tion der „ge­mein­sa­men Zwecke“: Oft kann hier auf ge­eig­nete For­mu­lie­run­gen aus dem Ver­ar­bei­tungs­ver­zeich­nis zurück­ge­grif­fen wer­den. Bei­spiel: Durchführung ei­nes kon­zern­wei­ten Re­cruitings von Mit­ar­bei­ter/in­nen.
• Do­ku­men­ta­tion der „ge­mein­sa­men Mit­tel“: Dies können z. B. eine ge­mein­same In­ter­net­seite oder ein ge­mein­sa­mes CRM-Sys­tem der Un­ter­neh­mens­gruppe sein.
• Be­schrei­bung der ope­ra­ti­ven Funk­tio­nen der Un­ter­neh­men: Auch hier geht es meist um eine Do­ku­men­ta­tion der ge­leb­ten Pra­xis.
  Bei­spiel: Un­ter­neh­men A über­nimmt den Wa­ren­ver­kauf, Un­ter­neh­men B Ver­sand und Rech­nungs­stel­lung 
• Ab­gren­zung der in­ter­nen da­ten­schutz­recht­li­chen Zuständig­kei­ten: Hier geht es darum, wer wel­che Pflich­ten aus der DS­GVO erfüllen muss. Dies sind z. B. die Be­reit­stel­lung von Da­ten­schutz­in­for­ma­tio­nen und die Be­ar­bei­tung von Aus­kunfts­anträgen von Be­trof­fe­nen.
  Oft bie­tet sich im Grund­satz eine Ab­gren­zung der Ver­ant­wort­lich­kei­ten nach Sphären an: Da­ten, die in den „Macht­be­reich“ ei­nes Un­ter­neh­men ge­lan­gen, lie­gen im Ver­ant­wor­tungs­be­reich die­ses Un­ter­neh­mens. Ent­schei­det man sich für eine sol­che Ab­gren­zung, sollte aus Gründen der Ef­fi­zi­enz da­von in Ein­zel­be­rei­chen ab­ge­wi­chen wer­den. Denn sonst müss­ten alle Un­ter­neh­men alle da­ten­schutz­recht­li­chen Pflich­ten der DS­GVO erfüllen - selbst wenn ein an­de­res Un­ter­neh­men diese Pflicht be­reits erfüllt hat.
  Bei­spiel: Un­ter­neh­men A über­nimmt die Be­reit­stel­lung von Da­ten­schutz­erklärun­gen für die ge­samte Gruppe.
  Hin­weis: Un­ter­neh­men können sich nach außen etwa ge­genüber Da­ten­schutz­behörden nicht dar­auf be­ru­fen, dass in­tern ein an­de­res Un­ter­neh­men zuständig ist.
• Mit­wir­kungs­pflich­ten: Um ihre Pflich­ten erfüllen zu können, sind die Un­ter­neh­men auf ge­gen­sei­tige Un­terstützung an­ge­wie­sen.
  Bei­spiel: Ein Kunde be­an­tragt beim Un­ter­neh­men A Löschung sei­ner Da­ten. Die Da­ten sind auf dem Ser­ver des Un­ter­neh­mens B ge­spei­chert. Es muss im Joint Con­trol Agree­ment ge­re­gelt sein, dass A sol­che Anträge an B wei­ter­lei­tet.

Auftragsverarbeitungs-Vereinbarung

Ver­ar­bei­ten Un­ter­neh­men Da­ten nicht zu ei­ge­nen Zwecken, son­dern nur nach Wei­sung an­de­rer Un­ter­neh­men, so liegt kein Joint Con­trol­lership vor. In die­sen Fällen ist eine Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung ab­zu­schließen.

Bei­spiel: Eine Ser­vice-Ge­sell­schaft im Kon­zern stellt für die ge­samte Un­ter­neh­mens­gruppe die IT be­reit.

Rechtsgrundlage und Informationspflichten

Auch für Da­ten­trans­fers in­ner­halb ei­ner Un­ter­neh­mens­gruppe be­darf es ei­ner Rechts­grund­lage. Das Joint Con­trol Agree­ment ist keine Rechts­grund­lage. Al­ler­dings ent­hal­ten die Erwägungsgründe zur DS­GVO Hin­weise auf ein „Kon­zern­pri­vi­leg light“: In der Re­gel dürf­ten da­nach Da­ten zu „in­ter­nen Ver­wal­tungs­zwe­cken“ zwi­schen Un­ter­neh­men ei­ner Un­ter­neh­mens­gruppe aus­ge­tauscht wer­den, so­fern ein Un­ter­neh­men einen be­herr­schen­den Ein­fluss auf an­dere Un­ter­neh­men der Gruppe ausüben kann (Art. 4 Nr. 19 DS­GVO). Hier be­steht al­ler­dings noch keine Rechts­si­cher­heit.

Über die Eck­punkte ei­nes Joint Con­trol Agree­ment sollte in der Da­ten­schutz­erklärung in­for­miert wer­den. Für eine Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­rung be­steht diese In­for­ma­ti­ons­pflicht nicht. Auch Auf­trags­ver­ar­bei­ter sind als „Empfänger“ von Da­ten in der Da­ten­schutz­erklärung an­zu­ge­ben.

Hinweis

Viele Un­ter­neh­mens­grup­pen ha­ben noch kein Joint Con­trol Agree­ment ab­ge­schlos­sen. Dies sollte nach­ge­holt wer­den. Denn der Eu­ropäische Ge­richts­hof hat nun schon mehr­fach ent­schie­den, dass ein Joint Con­trol­lership so­gar bei deut­lich lo­cke­ren Ko­ope­ra­tio­nen vor­lie­gen kann (zu­letzt EuGH, Ur­teil vom 29.7.2019, Rs. C-40/17 zur Nut­zung des „Gefällt mir“-But­tons von Fa­ce­book). Ein Da­ten­aus­tausch in Un­ter­neh­mens­grup­pen ohne eine ver­trag­li­che Re­ge­lung des Da­ten­trans­fers verstößt ge­gen die DS­GVO und kann zu Bußgel­dern führen. Wir un­terstützen Sie bei dem Ent­wurf der not­wen­di­gen Verträgen so­wie bei der Prüfung mögli­cher ge­sell­schafts­recht­li­cher Aus­wir­kun­gen.