Dürfen personenbezogene Daten 'konzernintern' weitergegeben werden?

Dürfen personenbezogene Daten 'konzernintern' weitergegeben werden?
DSGVO Art 28, 82-83
bestehen zwischen verbundenen Gesellschaften (Konzernmüttern, -töchtern, ...) andere Datenschutzbestimmungen, als zwischen gesellschaftsrechtlich völlig getrennten Unternehmen

Im Sinne des Familienbildes wird oft mit den Phrasen 'wir sind alle eine Familie' und arbeiten 'alle in einen Topf', 'ziehen alle am gleichen Strang' und 'nutzen dieselben Daten' argumentiert. Dies ist ein Irrtum.

Analog zur strengen Trennung in der wirtschaftlichen Gebarung, dies ist vielfach ein Grund für Unternehmenstrennungen, sind auch die Daten der Mitarbeiter, Kunden und Lieferanten zwischen den Konzernunternehmen streng zu trennen. Jedes Konzernunternehmen ist so zu behandeln, als ob es ein völlig beliebiges Unternehmen wäre.

Es existieren zwei Möglichkeiten eines geordneten Datenaustausches.

(a) Das Auftragsverarbeiterverhältnis. Selbstverständlich darf irgendein Konzernunternehmen für andere oder auch für alle Konzernunternehmen Daten als Auftragsverarbeiter verarbeiten (Art 28 DSGVO). Trotz eines Auftragsverarbeiterverhältnis bleibt jedoch das ursprüngliche Unternehmen verantwortlich für die Daten. Die Daten dürfen auch nur im Umfang der schriftlichen Vereinbarung zur Auftragsverarbeitung zwischen Verantwortlichen und Auftragsverarbeiter verwendet werden.

(b) Datenweitergabe ist dort zulässig, wo sie rechtsgültig (dem Zweck entsprechend) gestattet bzw. vereinbart ist.

Konzernunternehmen sind datenschutzrechtlich nicht besser, aber auch nicht schlechter gestellt, als Fremdunternehmen untereinander.

Bei Datenschutzverstößen des Art 28 DSGVO können Geldstrafen von bis zu 10 Mio. oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweiten Jahresumsatzes verhängt werden (Art 83 Abs 4 DSGVO). Die Datenschutzbehörde ist für die Verhängung der Geldstrafe zuständig. Weiters können Betroffene gemäß Art 82 DSGVO den materiellen und/oder immateriellen Schaden im Zuge einer Schadenersatzklage beim Zivilgericht geltend machen.

mehr --> Daten
mehr --> Wann ist eine Datenverarbeitung gem
mehr --> Gemeinsame Datennutzung von Versandhaus, Bank und Adressenverlag
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> Auftragsverarbeitung gem
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

webmaster