Konzernrelevante Zusammenhänge der DSGVO sollten nicht unterschätzt werden

PrintMailRate-it
  • Einleitend​

Im Zusammenhang mit dem immer näher rückenden Datum des Inkrafttretens der Datenschutz-Grundverordnung (General Data Protection Regulation, DSGVO) und der laufenden Umsetzung ihrer Anforderungen bei Unternehmen werden oft konzernrelevante Zusammenhänge diskutiert, die bei der Umsetzung zu berücksichtigen sind. Diese Aufgabe ist dabei in der Praxis oft schwer zu erfüllen, da die jeweiligen konzernrelevanten Lösungen oft entweder viel zu uniform und starr oder anderseits sehr unbestimmt bis vage sind und die einzelnen Konzerngesellschaften bei der Umsetzung der neuen Anforderungen ihrem Schicksal überlassen bleiben.      

​Die DSGVO und Konzerne

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), wie die DSGVO vollständig bezeichnet wird, tritt am 25. Mai 2018 in Kraft und gilt für alle Mitgliedsstaaten der Europäischen Union bzw. des EWR. 
 
Von dem Gesichtspunkt eines Konzerns aus betrachtet sollte im Bereich Verarbeitung personenbezogener Daten für übernationale Unternehmensgruppierungen eine sehr komfortable Lage eintreten, die ermöglicht, dass die Umsetzung der Anforderungen der DSGVO und die Festlegung der Systeme für die Steuerung und Überwachung der Datenverarbeitung im Rahmen des gesamten Konzerns einheitlich geregelt werden. Diese Tatsache berücksichtigen in Bezug auf Unternehmensgruppen auch ausgewählte Bestimmungen der DSGVO, die in dieser Hinsicht einige Institute einführen, die eine aktive Nutzung konzernweiter Instrumente und Verfahren bei der Verarbeitung personenbezogener Daten ermöglichen. Als typische Beispiele können hier angeführt werden: die rechtliche Regelung einer „Hauptbetriebsstätte“ des Verwalters personenbezogener Daten, einer grenzüberschreitenden Verarbeitung innerhalb der EU, der Bestellung (eines) Datenschutzbeauftragten für die gesamte „Unternehmensgruppe“ oder des Instituts des „Leiters einer Aufsichtsbehörde“ in Fällen einer grenzüberschreitenden Verarbeitung personenbezogener Daten.      
    

Vorteile und Risiken einer Konzernlösung 

Wie bereits oben angeführt, gestaltet sich die Herangehensweise der Entscheidungsträger in Konzernunternehmen bzw. in herrschenden Unternehmen im Rahmen eines Konzerns an die Problematik der DSGVO sehr unterschiedlich, sie umfasst unterschiedliche Lösungen – von einem starren „einheitlichen Modell“ einer Implementierung bis hin zu Situationen, in welchen die Anforderungen der DSGVO praktisch völlig außer Acht gelassen werden. Allerdings sind beide erwähnten Extremfälle mit relevanten Risiken verbunden, die in dem zuletzt genannten Fall – d.h. wenn die Konzernführung die Auffassung vertritt, dass die Anforderungen der DSGVO gar nicht beachtet werden müssen und „dieses Problem gar nicht existiert“ – logischerweise deutlich höher sind.     
 
Falls jedoch in Bezug auf die Umsetzung der Anforderungen der DSGVO eine verantwortungsbewusst konzipierte „Konzernpolitik“ umgesetzt wird, bedeutet dies an sich ohne Zweifel eine erhebliche Entlastung für alle Unternehmen der Gruppe. Dies gilt umso mehr, wenn konzernweit eine gemeinsame IT-Plattform verwendet wird, die in verschiedenen Cloud-Lösungen besteht und bei welcher das herrschende Unternehmen oder ein anderes beauftragtes Unternehmen innerhalb der Gruppe die Rolle des Administrators des gesamten Informationssystems übernimmt. Dem Administrator obliegt dann nämlich die Pflicht nachzuweisen bzw. zu bestätigen, dass maschinell verarbeitete Daten sowohl innerhalb des gesamten Informationssystems als auch in Bezug auf die einzelnen Konzernunternehmen gemäß den entsprechenden Vorgaben technisch abgesichert sind.  
 
Dieser wesentliche Vorteil einschließlich der finanziellen und sonstigen Entlastungen betrifft jedoch vorwiegend nur die Umsetzungsphasen der Implementierung der DSGVO, d.h. die Einführung und Umsetzung der konzernweiten Maßnahmen. Was die erste Phase des Projektes zur Implementierung anbelangt, d.h. die Phase der Vornahme einer ersten Analyse der Verarbeitung personenbezogener Daten durch die Gesellschaft und der Identifizierung der sich daraus ergebenden Mängel und Risiken, so kann diese nicht ohne eine individuelle Analyse auf lokaler Ebene dieser Gesellschaft vorgenommen werden. Ähnlich können bei der eigentlichen Umsetzung der Implementierungsmaßnahmen die erlassenen Konzernrichtlinien und weitere Dokumentationsteile der DSGVO nicht ohne Weiteres nur kopiert oder ins Tschechische übersetzt werden. Vielmehr muss diese Dokumentation entsprechend überarbeitet und an die Verhältnisse der jeweiligen lokalen Gesellschaft angepasst werden; dabei muss diese Dokumentation in Form einer verbindlichen internen Vorschrift erlassen werden. 
 
Abschließend ist darauf hinzuweisen, dass im Zuge der Implementierung der Anforderungen der DSGVO im Rahmen eines Konzerns zusätzlich auch einige Pflichten erwachsen können, die sich aus den allgemeinen Konzernabläufen ergeben und welche bis dato oft nicht erfüllt wurden. Es handelt sich typischerweise um das Erfordernis, wonach Handelsgesellschaften in der Tschechischen Republik – Mitglieder eines Konzerns – auf ihren Internetseiten neben der Information über die Bedingungen für die Verarbeitung personenbezogener Daten zusätzlich auch die Information über die Existenz des Konzerns veröffentlichen müssen, dessen Bestandteil sie sind. Anderenfalls können die Vorteile des sog. Konzernprivilegs, welches in § 72 Handelsgesellschaftsgesetz verankert ist, nicht in Anspruch genommen werden; dieses Privileg ermöglicht eine Befreiung von der Pflicht, einen einem Tochterunternehmen verursachten Schaden zu ersetzen, was schwere Folgen nach sich ziehen kann. 

Kontakt

Contact Person Picture

JUDr. Pavel Koukal

Attorney at Law (Tschechische Rep.)

+420 236 1637 60

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu