Vertragliche Gestaltung innerhalb der Unternehmensgruppe

Article

Vertragliche Gestaltung innerhalb der Unternehmensgruppe

Zweiter Teil der Artikelreihe: Datenschutz? Aber bitte mit System!

In wenigen Monaten wird die Datenschutz-Grundverordnung (DSGVO) endgültig verbindlich. Für viele Unternehmen ist es noch ein weiter Weg bis zur Compliance. Diese scheitert bisher vor allem an dem Umfang und der Komplexität von internen Veränderungen. Deloitte unterstützt Unternehmen regelmäßig bei der vertraglichen Konzeptionierung und Gestaltung datenschutzrechtlicher Rollen innerhalb von Gruppenstrukturen. Dabei orientieren sich unsere Experten eng an den rechtlichen Notwendigkeiten und kombinieren sie mit bewährter Managementmethodik.

Was sind datenschutzrechtliche relevante Rollen innerhalb der Unternehmensgruppe und warum ist die vertragliche Gestaltung notwendig?

Innerhalb von Unternehmensgruppen übt jede Gesellschaft in aller Regel spezifische Funktionen mit teils eigenem Geschäftszweck aus, um das gemeinsame Geschäft der Unternehmensgruppe zu betreiben. Bei internationalen Unternehmensgruppen agieren hierbei Gesellschaftenn aus verschiedensten Ländern. Im Zuge der Digitalisierung ist die Nutzung und der Austausch von Daten innerhalb der Unternehmensgruppe sowie mit externen Unternehmen unabhängig von der jeweiligen Branche für den Geschäftsbetrieb der Unternehmensgruppe nicht mehr weg zu denken. Insofern ist die Nutzung gemeinsamer Systeme und der Austausch von Daten insbesondere in Form von Shared Services faktisch und unter wirtschaftlichen Gesichtspunkten unausweichlich.

Die Datennutzung und der Datenaustausch innerhalb der Unternehmensgruppe unterliegt jedoch vielfältigen datenschutzrechtlichen Restriktionen. Nach der DSGVO sind die Gesellschaften einer Unternehmensgruppe jeweils als eigenständige Einheiten zu sehen, die Datenflüsse innerhalb einer Unternehmensgruppe sind nicht privilegiert, sie bedürfen einer gesonderten Rechtsgrundlage. Einen freien Datenfluss im Sinne eines Konzernprivilegs gab es bislang und wird es auch unter der DSGVO nicht geben. Auch wenn die DSGVO einige Lockerungen dahingehend mit sich bringt, als dass zukünftig bestimmte Datennutzungen innerhalb von Unternehmensgruppen auf ein „berechtigtes Interesse“ gestützt werden können (Hinweis: die Anwendbarkeit muss im Einzelfall geprüft und begründet werden, auch hier gilt keine generelle Erlaubnis), werden zukünftig weitere formale Voraussetzungen an die Gestaltung der Datenflüsse in Unternehmensgruppen gestellt.

Generell sind verschiedene datenschutzrechtlich relevante Rollen möglich:

Klicken Sie hier für eine größere Ansicht
Was bietet das Center for Data Privacy? Hier geht es zum Service-Offering
Erfahren Sie mehr dazu auf Deloitte Legal

Abhängig von den Aufgaben der jeweiligen Gesellschaften sowie der Art und dem Umfang der Datenverarbeitung gibt es verschiedene Möglichkeiten, die Datenflüsse durch unterschiedliche Modelle und Rollen abzubilden. Die Umsetzung muss teilweise zwingend vertraglich geregelt werden.

Klicken Sie hier für eine größere Ansicht

Sofern mehrere Gesellschaften gemeinsam über die Mittel und Zwecke der Datenverarbeitung entscheiden, kommt ein Joint-Controllership-Modell in Betracht. Sofern eine Gesellschaft nur weisungsgebunden bestimmten Aufgaben wahrnimmt, kann eine Auftragsverarbeitung vorliegen. Sofern keines dieser Modelle in Betracht kommt, muss auf eine andere Rechtsgrundlage (z.B. Einwilligung, berechtigtes Interesse, Erforderlichkeit zur Vertragserfüllung) zurückgegriffen werden.

Insbesondere das Joint-Controllership-Modell bietet eine praktikable Möglichkeit, Datenflüsse innerhalb der Unternehmensgruppe abzubilden. Es bedarf jedoch einer vertraglichen Vereinbarung zwischen den datenverarbeitenden Stellen, die u.a. in transparenter Weise festlegt, wer welche datenschutzrechtlichen Anforderungen erfüllt.

Wie lässt sich das Thema umsetzen?

In einem ersten Schritt sollte ein Organigramm erstellt werden, aus dem sich die Aufgaben der einzelnen Gesellschaften, die Datenflüsse zwischen diesen, die Art der jeweiligen Datenverarbeitung und die bestehenden rechtlichen Vereinbarungen innerhalb der Unternehmensgruppe ergeben. Auf dieser Basis können die datenschutzrechtlichen Rollen erarbeitet werden.

Im nächsten Schritt erfolgt die Einordnung in datenschutzrechtliche Rollen und Modelle. Hierbei spielen neben den datenschutzrechtlichen Aspekten auch die bestehenden Geschäftsprozesse und –organisation eine Rolle, um praktikable Lösungen zu erzielen. Es ist zu überlegen, ob Einzelverträge zwischen Gesellschaften oder Gruppenrahmenverträge geschlossen werden sollten. Zu berücksichtigen ist hierbei auch, welche vertraglichen Beziehungen mit externen Gesellschaften (z. B. Service Providern) bestehen und welche Gesellschaften aus der Unternehmensgruppe hiervon betroffen sind. Zudem ist hier bereits das Thema des grenzüberschreitenden Datentransfers, insb. in Länder außerhalb der EU, zu berücksichtigen.

Schließlich ist die Erstellung eines Zielbildes für die notwendigen vertraglichen Regelungen ratsam. Hierin können die gesetzlichen Anforderungen an die vertraglichen Regelungen skizziert und mit Inhalten gefüllt werden. Für die Modelle Auftragsverarbeitung sowie Joint-Controllership enthält die DSGVO zwingend zu regelnde Inhalte.