Rechtskonformer Austausch in Unternehmensgruppen: Datenübermittlungen für zentrale Aufgaben wie Personalwesen oder IT unterliegen strengen DSGVO-Vorgaben. Innerhalb einer Unternehmensgruppe werden häufig personenbezogene Daten zwischen verbundenen Unternehmen ausgetauscht. Dies geschieht etwa für zentrale Aufgaben wie Personalwesen oder IT-Betrieb. Diese Datenübermittlungen unterliegen aber strengen datenschutzrechtlichen Vorgaben gemäß der DSGVO, die keine Ausnahme für Konzernstrukturen vorsieht. Daher müssen die geltenden Datenschutzregelungen auch bei internen Datenübermittlungen eingehalten werden.

Es ist erforderlich, für jede Weitergabe personenbezogener Daten innerhalb der Unternehmensgruppe zu prüfen, ob es sich um eine einfache Datenübermittlung handelt (bei alleiniger Verantwortlichkeit beider Unternehmen), um eine Auftragsdatenverarbeitung oder um eine gemeinsame Verantwortlichkeit. Bei Auftragsdatenverarbeitung oder gemeinsamer Verantwortlichkeit müssen entsprechende Datenschutzverträge gemäß Art. 28 DSGVO bzw. Art. 26 DSGVO abgeschlossen werden.

Interner Datenübermittlungsvertrag als einfache Lösung Um die Vielzahl an Einzelverträgen zu vermeiden, können verbundene Unternehmen einen internen Datenübermittlungsvertrag abschließen. Dieser Vertrag stellt transparent dar, welche Unternehmen Daten exportieren und importieren, zu welchem Zweck dies geschieht, welche Datenarten betroffen sind und welche datenschutzrechtliche Konstellation vorliegt (Auftragsverarbeitung oder gemeinsame Verantwortlichkeit).

Solche internen Datenübermittlungsverträge sind entscheidend, um die komplexen Datenflüsse innerhalb der Unternehmensgruppe transparent zu gestalten und ein Vertragschaos zu vermeiden. Sie erleichtern die Einhaltung der Datenschutzanforderungen erheblich, da sie die notwendigen Datenschutzvereinbarungen (Auftragsdatenverarbeitungsvertrag gem. Art. 28 DSGVO, Vertrag zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO sowie EU-Standarddatenschutzklauseln) umfassen.

Inhalt eines internen Datenübermittlungsvertrags Ein solcher Vertrag sollte die verschiedenen datenschutzrechtlichen Konstellationen berücksichtigen und die Details der Datenverarbeitungsprozesse innerhalb der Unternehmensgruppe transparent abbilden. Dabei ist wichtig, die Datenübermittlungen außerhalb der EU/EWR gesondert zu behandeln und die Datenflüsse klar den drei Hauptkonstellationen zuzuordnen (Datenübermittlungen außerhalb EU/EWR, gemeinsame Verantwortlichkeit, Auftragsdatenverarbeitung).

Für jede dieser Konstellationen sollten die beteiligten Unternehmen sowie die Details der Datenverarbeitung (wie Datenarten, Betroffenengruppen, Verarbeitungszwecke und -methoden) genau beschrieben werden. Alle beteiligten Unternehmen innerhalb der Gruppe sollten den Internen Datenübermittlungsvertrag unterzeichnen oder diesem beitreten können, wobei entsprechende Beitrittsklauseln vorgesehen sein sollten.

Ein interner Datenübermittlungsvertrag ist somit ein zentrales Instrument, um die Einhaltung der Datenschutzstandards innerhalb einer Unternehmensgruppe sicherzustellen und die Transparenz über die Datenflüsse zu gewährleisten. Gerne unterstützen wir Sie bei der rechtskonformen Regelung Ihrer internationalen Datenströme. https://www.tec4net.com/web/datenschutz/

Kontakt

tec4net GmbH

Matthias Walter

Lohenstraße 13

82166 Gräfelfing bei München

+49 (89) 54043630

