Datenschutzrechtliches Konzernprivileg oder Auftragsverarbeitungskette?

Der folgende Beitrag befasst sich mit der Frage, welche Auswirkungen das sog. kleine datenschutzrechtliche Konzernprivileg für Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO hat. Im Wesentlichen wird es dabei um die Frage gehen, ob Auftragsverarbeiter sich auf das kleine Konzernprivileg berufen können sollten und welche Konsequenzen das für die Ausgestaltung des Vertrages über die Auftragsverarbeitung hat.

„kleines Konzernprivileg“ – das Wichtigste in Kürze

Mit Einführung der Datenschutzgrundverordnung ist ein ausdrückliches Konzernprivileg bei der Datenübermittlung nicht mehr anerkannt. Der Verordnungsgeber weist in Erwägungsgrund 48 DSGVO jedoch darauf hin, dass „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, [..] ein berechtigtes Interesse haben [können], personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“. Konzerninterne Datenübermittlung rechtfertigt sich daher regelmäßig über Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Hintergrund ist, dass innerhalb eines Konzerns regelmäßig dieselben datenschutzrechtlichen Standards und gesetzlichen Rahmenbedingungen vorliegen. Die Vorschriften zur Übermittlung in ein Drittland bleiben hiervon aber ausdrücklich unberührt.

Folgen für die Auftragsverarbeitung

Innerhalb einer bestehenden Konzernstruktur kommt es aufgrund des kleinen Privilegs daher oft vor, dass der Mutterkonzern einheitlich personenbezogene Daten übermittelt bekommt und zu Verwaltungszwecken verarbeitet, wobei er nicht selten auf Auftragsverarbeiter zurückgreifen wird. Diese Organisationsstruktur ist jedoch lediglich für Unternehmen innerhalb des Konzerns transparent. Tochtergesellschaften, die nach außen als Auftragsdatenverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO auftreten, würden in solchen Fällen nicht selbst auf Unterauftragsnehmer nach Art. 28 Abs. 2 DSGVO zurückgreifen, sondern die Daten an den Mutterkonzern übermitteln, der seinerseits weitere Unterauftragnehmer einsetzt. Für den außenstehenden Verantwortlichen ist diese Organisationsstruktur jedoch undurchsichtig. Fraglich ist daher, ob sich Auftragsverarbeiter überhaupt auf das kleine Konzernprivileg berufen können oder ob es sich dabei um eine eigenmächtige Verarbeitung durch den Auftragsverarbeiter handelt. Dass und unter welchen Bedingungen Auftragsverarbeiter dies erlaubt sein sollte, wird nun anhand einer analogen Anwendung von Art. 28 Abs. 2 DSGVO deutlich gemacht.

Lösung: Art. 28 Abs. 2 DSGVO analog

Der Fall, dass Auftragsverarbeiter in eine Konzernstruktur eingebunden sind und folglich Daten gemäß Erwägungsgrund 48 DSGVO an den Mutterkonzern weiterleiten, findet im Wortlaut der DSGVO keine Berücksichtigung. Nach Art. 28 Abs. 2 DSGVO sind nur die unmittelbar beauftragten Subunternehmer zu nennen. Um diese Lücke zu schließen, muss Art. 28 Abs. 2 DSGVO analog auch auf die beschriebenen Fälle angewandt werden. Voraussetzung für die analoge Anwendung ist das Vorliegen einer planwidrigen Gesetzeslücke.

Eine Gesetzeslücke liegt in dieser Konstellation insbesondere deshalb vor, weil personenbezogene Daten nach Art. 5 Abs. 1 lit. a) DSGVO in transparenter Weise verarbeitet werden müssen. Für den Verantwortlichen und infolgedessen auch für die betroffene Person wird die Konzernstruktur aber nur dann transparent, wenn der Auftragsverarbeiter über den Wortlaut von Art. 28 Abs. 2 DSGVO hinaus auch die Unterauftragnehmer benennen muss, die durch den Mutterkonzern beauftragt werden. Dasselbe gilt für die Zustimmung bei einer Abänderung der Unterauftragsverhältnisse. Aus dem Gebot einer transparenten Verarbeitung folgt, dass die Erwähnung auch mittelbarer Unterauftragnehmer in dem geschilderten Fall erforderlich ist.

Diese Gesetzeslücke ist auch nicht gesetzlich beabsichtigt und somit planwidrig. Ein Konzernprivileg sollte gerade nicht ausdrücklich anerkannt werden, ist durch Erwägungsgrund 48 DSGVO nun aber in kleiner Form wieder zurückgekehrt. Es ließe sich zwar einwenden, dass für den Fall, dass es sich bei dem Konzern um einen Auftragsverarbeiter handelt, kein berechtigtes Interesse für die konzerninterne Übermittlung von personenbezogenen Daten vorliegt. In der Sache angemessener scheint aber die analoge Anwendung von Art. 28 Abs. 2 DSGVO dahingehend, dass in einem solchen Fall die zugrunde liegende Organisationsstruktur im Auftragsverarbeitungsvertrag transparent gemacht wird. Indem so dem Gebot der Transparenz Rechnung getragen wird, überwiegt das Interesse des Auftragsverarbeiters an einer effizienten Strukturierung des Datenschutzes gegenüber den Grundrechten und -freiheiten der betroffenen Personen. Andernfalls müsste der Mutterkonzern mit jeder einzelnen Tochtergesellschaft einen Vertrag über die Auftragsverarbeitung schließen, was dem Gebot der Transparenz ebenfalls nicht gerecht würde, da dann im Hauptauftragsverarbeitungsvertrag ausschließlich der Mutterkonzern als Unterauftragnehmer auftauchen würde. Zwar könnte der Verantwortliche sich dann seinerseits an den Mutterkonzern wenden, um weitere Unterauftragnehmer transparent zu machen. Durch eine analoge Anwendung könnte dieser organisatorische Mehraufwand aber vermieden werden.

Fazit

Im Ergebnis ist es angemessen, das kleine Konzernprivileg auch auf Auftragsverarbeiter zu erstrecken, da ein Auftragsverarbeitungsvertrag zwischen Mutter- und Tochterunternehmen bei gleichgelagertem Datenschutzstandard eine bloße Formalie wäre und dabei wenig zu einer transparenten Verarbeitung beiträgt. Transparent wird die Verarbeitung der personenbezogenen Daten nur, wenn das Tochterunternehmen in seinem Hauptauftragsverarbeitungsvertrag auch diejenigen Unterauftragnehmer benennt, die vom Mutterkonzern beauftragt werden. So liegt nicht nur eine effizientere Gestaltung des Datenschutzes in der Unternehmensgruppe vor, sondern auch eine transparentere Verarbeitung für den Verantwortlichen und die betroffenen Personen. Eine analoge Anwendung von Art. 28 Abs. 2 DSGVO scheint hiernach eine angemessene Lösung, um dem Problem des kleinen Konzernprivilegs im Rahmen einer Auftragsverarbeitungskette zu begegnen.

Sollten Sie weitere Fragen zum Thema Konzernprivilegien und Auftragsverarbeitung haben, stehen wir Ihnen gerne zur Verfügung. Gerne prüfen und erstellen wir auch Auftragsverarbeitungsverträge für Sie.