Article

Vertragliche Gestaltung innerhalb der Unternehmensgruppe

Zweiter Teil der Artikelreihe: Datenschutz? Aber bitte mit System!

DSGVO: Für viele Unternehmen ist es noch ein weiter Weg bis zur Compliance. Diese scheitert bisher vor allem an dem Umfang und der Komplexität von internen Veränderungen. Deloitte Legal unterstützt hierbei bei allen datenschutzrechtlichen Fragen und Deloitte Risk Advisory begleitet Unternehmen bei der Umsetzung von datenschutzrechtlichen Anforderungen in technischer, organisatorischer und prozessualer Hinsicht. Dabei orientieren sich unsere Experten eng an den rechtlichen Notwendigkeiten und kombinieren sie mit bewährter Managementmethodik.

Was sind datenschutzrechtliche relevante Rollen innerhalb der Unternehmensgruppe und warum ist die vertragliche Gestaltung notwendig?

Innerhalb von Unternehmensgruppen übt jede Gesellschaft in aller Regel spezifische Funktionen mit teils eigenem Geschäftszweck aus, um das gemeinsame Geschäft der Unternehmensgruppe zu betreiben. Bei internationalen Unternehmensgruppen agieren hierbei Gesellschaftenn aus verschiedensten Ländern. Im Zuge der Digitalisierung ist die Nutzung und der Austausch von Daten innerhalb der Unternehmensgruppe sowie mit externen Unternehmen unabhängig von der jeweiligen Branche für den Geschäftsbetrieb der Unternehmensgruppe nicht mehr weg zu denken. Insofern ist die Nutzung gemeinsamer Systeme und der Austausch von Daten insbesondere in Form von Shared Services faktisch und unter wirtschaftlichen Gesichtspunkten unausweichlich.

Die Datennutzung und der Datenaustausch innerhalb der Unternehmensgruppe unterliegt jedoch vielfältigen datenschutzrechtlichen Restriktionen. Nach der DSGVO sind die Gesellschaften einer Unternehmensgruppe jeweils als eigenständige Einheiten zu sehen, die Datenflüsse innerhalb einer Unternehmensgruppe sind nicht privilegiert, sie bedürfen einer gesonderten Rechtsgrundlage. Einen freien Datenfluss im Sinne eines Konzernprivilegs gab es bislang und wird es auch unter der DSGVO nicht geben. Auch wenn die DSGVO einige Lockerungen dahingehend mit sich bringt, als dass zukünftig bestimmte Datennutzungen innerhalb von Unternehmensgruppen auf ein „berechtigtes Interesse“ gestützt werden können (Hinweis: die Anwendbarkeit muss im Einzelfall geprüft und begründet werden, auch hier gilt keine generelle Erlaubnis), werden zukünftig weitere formale Voraussetzungen an die Gestaltung der Datenflüsse in Unternehmensgruppen gestellt.

Generell sind verschiedene datenschutzrechtlich relevante Rollen möglich:

Klicken Sie hier für eine größere Ansicht

Was bietet das Center for Data Privacy? Hier geht es zum Service-Offering

Erfahren Sie mehr dazu auf Deloitte Legal

Abhängig von den Aufgaben der jeweiligen Gesellschaften sowie der Art und dem Umfang der Datenverarbeitung gibt es verschiedene Möglichkeiten, die Datenflüsse durch unterschiedliche Modelle und Rollen abzubilden. Die Umsetzung muss teilweise zwingend vertraglich geregelt werden.

Klicken Sie hier für eine größere Ansicht

Sofern mehrere Gesellschaften gemeinsam über die Mittel und Zwecke der Datenverarbeitung entscheiden, kommt ein Joint-Controllership-Modell in Betracht. Sofern eine Gesellschaft nur weisungsgebunden bestimmten Aufgaben wahrnimmt, kann eine Auftragsverarbeitung vorliegen. Sofern keines dieser Modelle in Betracht kommt, muss auf eine andere Rechtsgrundlage (z.B. Einwilligung, berechtigtes Interesse, Erforderlichkeit zur Vertragserfüllung) zurückgegriffen werden.

Insbesondere das Joint-Controllership-Modell bietet eine praktikable Möglichkeit, Datenflüsse innerhalb der Unternehmensgruppe abzubilden. Es bedarf jedoch einer vertraglichen Vereinbarung zwischen den datenverarbeitenden Stellen, die u.a. in transparenter Weise festlegt, wer welche datenschutzrechtlichen Anforderungen erfüllt.

Wie lässt sich das Thema umsetzen?

In einem ersten Schritt sollte ein Organigramm erstellt werden, aus dem sich die Aufgaben der einzelnen Gesellschaften, die Datenflüsse zwischen diesen, die Art der jeweiligen Datenverarbeitung und die bestehenden rechtlichen Vereinbarungen innerhalb der Unternehmensgruppe ergeben. Auf dieser Basis können die datenschutzrechtlichen Rollen erarbeitet werden.

Im nächsten Schritt erfolgt die Einordnung in datenschutzrechtliche Rollen und Modelle. Hierbei spielen neben den datenschutzrechtlichen Aspekten auch die bestehenden Geschäftsprozesse und –organisation eine Rolle, um praktikable Lösungen zu erzielen. Es ist zu überlegen, ob Einzelverträge zwischen Gesellschaften oder Gruppenrahmenverträge geschlossen werden sollten. Zu berücksichtigen ist hierbei auch, welche vertraglichen Beziehungen mit externen Gesellschaften (z. B. Service Providern) bestehen und welche Gesellschaften aus der Unternehmensgruppe hiervon betroffen sind. Zudem ist hier bereits das Thema des grenzüberschreitenden Datentransfers, insb. in Länder außerhalb der EU, zu berücksichtigen.

Schließlich ist die Erstellung eines Zielbildes für die notwendigen vertraglichen Regelungen ratsam. Hierin können die gesetzlichen Anforderungen an die vertraglichen Regelungen skizziert und mit Inhalten gefüllt werden. Für die Modelle Auftragsverarbeitung sowie Joint-Controllership enthält die DSGVO zwingend zu regelnde Inhalte.

Zur Übersichtsseite

Ihre Ansprechpartner

Stefan Buchholz

Partner | Cyber

stbuchholz@deloitte.de

+49 30 254684252

Stefan Buchholz verantwortet den Bereich Data & Privacy im Geschäftsbereich Risk Advisory und hat mehr als 12 Jahre Erfahrung in der Beratung nationaler und internationaler Kunden im Bereich Cybersich... Mehr

Audit & Assurance

Risk Advisory

Tax

Legal

Financial Advisory

Consulting

Deloitte Private (Mittelstand)

Spotlight

Sustainability & Climate

Consumer

Energy, Resources & Industrials

Financial Services

Government & Public Services

Life Sciences & Health Care

Technology, Media & Telecommunications

Jobsuche

Berufserfahrene

Studierende

Karriere bei Deloitte

Schüler:innen

Absolvent:innen