Effiziente Lösung zum Datentransfer in Unternehmensgruppen

Innerhalb einer Unternehmensgruppe werden häufig personenbezogene Daten zwischen verbundenen Unternehmen ausgetauscht. Dies geschieht etwa für zentrale Aufgaben wie Personalwesen oder IT-Betrieb. Diese Datenübermittlungen unterliegen aber strengen datenschutzrechtlichen Vorgaben gemäß der DSGVO, die keine Ausnahme für Konzernstrukturen vorsieht. Daher müssen die geltenden Datenschutzregelungen auch bei internen Datenübermittlungen eingehalten werden.

Es ist erforderlich, für jede Weitergabe personenbezogener Daten innerhalb der Unternehmensgruppe zu prüfen, ob es sich um eine einfache Datenübermittlung handelt (bei alleiniger Verantwortlichkeit beider Unternehmen), um eine Auftragsdatenverarbeitung oder um eine gemeinsame Verantwortlichkeit. Bei Auftragsdatenverarbeitung oder gemeinsamer Verantwortlichkeit müssen entsprechende Datenschutzverträge gemäß Art. 28 DSGVO bzw. Art. 26 DSGVO abgeschlossen werden.

Interner Datenübermittlungsvertrag als einfache Lösung

Um die Vielzahl an Einzelverträgen zu vermeiden, können verbundene Unternehmen einen internen Datenübermittlungsvertrag abschließen. Dieser Vertrag stellt transparent dar, welche Unternehmen Daten exportieren und importieren, zu welchem Zweck dies geschieht, welche Datenarten betroffen sind und welche datenschutzrechtliche Konstellation vorliegt (Auftragsverarbeitung oder gemeinsame Verantwortlichkeit).

Solche internen Datenübermittlungsverträge sind entscheidend, um die komplexen Datenflüsse innerhalb der Unternehmensgruppe transparent zu gestalten und ein Vertragschaos zu vermeiden. Sie erleichtern die Einhaltung der Datenschutzanforderungen erheblich, da sie die notwendigen Datenschutzvereinbarungen (Auftragsdatenverarbeitungsvertrag gem. Art. 28 DSGVO, Vertrag zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO sowie EU-Standarddatenschutzklauseln) umfassen.

Inhalt eines internen Datenübermittlungsvertrags

Ein solcher Vertrag sollte die verschiedenen datenschutzrechtlichen Konstellationen berücksichtigen und die Details der Datenverarbeitungsprozesse innerhalb der Unternehmensgruppe transparent abbilden. Dabei ist wichtig, die Datenübermittlungen außerhalb der EU/EWR gesondert zu behandeln und die Datenflüsse klar den drei Hauptkonstellationen zuzuordnen (Datenübermittlungen außerhalb EU/EWR, gemeinsame Verantwortlichkeit, Auftragsdatenverarbeitung).

Für jede dieser Konstellationen sollten die beteiligten Unternehmen sowie die Details der Datenverarbeitung (wie Datenarten, Betroffenengruppen, Verarbeitungszwecke und -methoden) genau beschrieben werden. Alle beteiligten Unternehmen innerhalb der Gruppe sollten den Internen Datenübermittlungsvertrag unterzeichnen oder diesem beitreten können, wobei entsprechende Beitrittsklauseln vorgesehen sein sollten.

Ein interner Datenübermittlungsvertrag ist somit ein zentrales Instrument, um die Einhaltung der Datenschutzstandards innerhalb einer Unternehmensgruppe sicherzustellen und die Transparenz über die Datenflüsse zu gewährleisten.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger und Datenschutzauditor

————————————————————————————————————————-

Quellen und Links:

tec4net Portfolie zum Thema IT-Sicherheit
https://www.tec4net.com/web/it-security

tec4net Portfolie zum Thema Datenschutz
https://www.tec4net.com/web/datenschutz

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen