Dürfen personenbezogene Daten 'konzernintern' weitergegeben werden?

Dürfen personenbezogene Daten 'konzernintern' weitergegeben werden?
DSGVO Art 28, 82-83
Grundsätzlich sind datenschutzrechtlich verbundene Gesellschaften (Konzernmüttern, -töchtern, ...) wie fremde Gesellschaften zu behandeln - DSGVO sieht, bei genauerem Stiudium, trotzdem zahlreiche Erleichterungen vor - auch ein gemeinsamer Datenschutzbeauftragter ist möglich

Im Sinne des Familienbildes wird bei der konzernweiten Nutzung von Kunden-, Lieferanten- oder Mitarbeiterdaten oft mit den Formulierungen 'wir sind alle eine Familie' und arbeiten 'alle in einen Topf', 'ziehen alle am gleichen Strang' und 'nutzen dieselben Daten' argumentiert.

Dies ist ein Irrtum. Analog zur strengen Trennung in der wirtschaftlichen Gebarung, sind auch die Daten der Mitarbeiter, Kunden und Lieferanten zwischen den Konzernunternehmen streng zu trennen. Jedes Konzernunternehmen ist so zu behandeln, als ob es ein völlig beliebiges Unternehmen wäre. Konzernunternehmen sind datenschutzrechtlich nicht besser, aber auch nicht schlechter gestellt, als Fremdunternehmen untereinander.

Möglichkeiten der konzernweiten Datenverwendung

(a) Auftragsverarbeiterverhältnis
Selbstverständlich darf irgendein Konzernunternehmen für andere oder auch für alle Konzernunternehmen Daten als Auftragsverarbeiter verarbeiten (Art 28 DSGVO). Trotz eines Auftragsverarbeiterverhältnis bleibt jedoch das ursprüngliche Unternehmen verantwortlich für die Daten. Die Daten dürfen auch nur im Umfang der schriftlichen Vereinbarung zur Auftragsverarbeitung zwischen Verantwortlichen und Auftragsverarbeiter verwendet werden.

(b) legitimer Zweck
Datenweitergabe ist dort zulässig, wo sie rechtsgültig (dem Zweck entsprechend) gestattet bzw. vereinbart ist.

Konzerninterne legitime Zwecke

Datenweitergabe konzernweit organisieren

Besteht ein legitimer Zweck zum konzerninternen Datenaustausch, stellt sich die Frage, wie dieser zu organisieren ist.

Gemeinsame Verantwortung

Bei Datenschutzverstößen des Art 28 DSGVO können Geldstrafen von bis zu 10 Mio. oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweiten Jahresumsatzes verhängt werden (Art 83 Abs 4 DSGVO). Die Datenschutzbehörde ist für die Verhängung der Geldstrafe zuständig. Weiters können Betroffene gemäß Art 82 DSGVO den materiellen und/oder immateriellen Schaden im Zuge einer Schadenersatzklage beim Zivilgericht geltend machen.

mehr --> Dürfen Telekomanbieter Verkehrsdaten zu Werbezwecken verwenden?
mehr --> Datenübermittlung zwischen und innerhalb von Organisationen
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Gemeinsame Datennutzung von Versandhaus, Bank und Adressenverlag
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> Auftragsverarbeitung gemäß DSGVO
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

webmaster