Als Konzern (lateinisch concernere, „(ver-)mischen“) bezeichnet man den Zusammenschluss eines herrschenden und eines oder mehrerer abhängiger Unternehmen zu einer wirtschaftlichen Einheit unter der Leitung des herrschenden Unternehmens, wobei jedes Unternehmen weiterhin einen eigenen Jahresabschluss erstellt. Dafür geben die einzelnen Unternehmen ihre wirtschaftliche und finanzielle Unabhängigkeit auf, rechtlich bleiben die Unternehmen selbständig. Die dabei verbundenen Unternehmen nennt man Konzernunternehmen. Der Konzern wird von der Kooperation abgegrenzt, der es regelmäßig an einer einheitlichen Leitung fehlt.

Das Konzerngebilde wirft zum einen Fragen auf nach der rechtlichen Zuständigkeit und Verantwortung für Finanzrisiken im Konzern, der Thematik von verdeckten Sacheinlagen und Nachgründungen im Konzern oder der Haftung aufgrund von Konzernbesicherungsverhältnissen. Doch in Sachen Datenschutz stehen Konzernstrukturen vor großen Problemen und Herausforderungen, vor allem was die Interessensabwägung zwischen der Struktur und den Mitarbeitern angeht.

ESSENTIELL WICHTIG SIND DIE KONZERNSTRUKTUR UND DER KONZERNAUFBAU

Die Unternehmensstruktur, also die Organisationsstruktur im betriebswirtschaftlichen Sinne, bildet das System der in einem Unternehmen vorhandenen Kompetenzen ab. Dabei umfasst sie sowohl die Aspekte der vertikalen Organisationsgestaltung, die als Aufbauorganisation bezeichnet werden, als auch jene der horizontalen Koordination, die sogenannte Ablauforganisation. Ausschlaggebend für die Gestaltung der Unternehmensstruktur ist die Realisierung von Arbeitsteilung und Spezialisierungsvorteilen. Eine geeignete Form der Organisationsstruktur dient der Erreichung der Unternehmensziele und unterstützt in diesem Sinne die Generierung von Wettbewerbsvorteilen – also der Realisierung von Differenzierungs-und / oder Kostenvorteilen.

Ein bekanntes Model der Unternehmensstruktur ist die klassische Pyramide, die die Entscheidungsträger bis in die einzelnen Abteilungen differenziert und staffelt. Bei einem Konzernzusammenschluss ändert sich diese Hierarchie in komplexe Strukturen, die für den Arbeitnehmer immer undurchsichtiger werden. Je größer der Zusammenschluss wird. Wo vorher ein Unternehmen verantwortlich war, finden auf einmal mehrere Unternehmen ihren Platz und die Organisation wird komplexer. Aufgaben werden verteilt und gesplittet. Verantwortlichkeit wird übertragen oder sogar auf mehrere Unternehmen aufgeteilt. Ebenso geschieht dies mit personenbezogenen Daten. Bsp.: ist die Buchhaltung, die vielleicht von einem Konzern durch ein Unternehmen durchgeführt wird, jedoch für alle Unternehmen in der Konzernstruktur. Dies ist nur ein Beispiel von vielen Möglichkeiten.

PROBLEMFALL DATENSCHUTZ

Um personenbezogene Daten zu verarbeiten bedarf es laut Art. 6 Abs. 1 EU-DSGVO eine gültige Rechtsgrundlage. Um einen konformen Austausch von Daten zwischen Unternehmen und Konzernstrukturen problemlos auszutauschen wird diese benötigt. Hierfür kommen mehrere Arten der Rechtsgrundlage in Frage:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Bevor eine Datenübermittlung also stattfinden kann und darf, muss also eine Interessensabwägung zwischen den Rechten der Mitarbeiter und des Konzerns abgewogen werden. Wie kann ein Austausch gerechtfertigt werden und vor allem wie wird der Schutz der Daten sichergestellt?

ERWÄGUNGSGRUND 48 REGELT DAS INTERESSE

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. „

Die Verwaltungszwecke innerhalb eines Konzerns kann natürlich sehr breit und umfassend ausgelegt werden, da relativ viele Prozesse als Verwaltungsprozess definiert werden könnten. In Bezug auf Art. 5 EU-DSGVO ist hier jedoch um Vorsicht geboten: Die Argumentation, dass es sich um Verwaltungszwecke handelt muss in sich schlüssig sein und darf keine alternative Auslegung zulassen.

REGELUNG VON SCHUTZMAßNAHMEN

Um eine problemlose Übertragung von personenbezogenen Daten innerhalb von Konzernen zu rechtfertigen und sicherzustellen, sind natürlich dementsprechende Maßnahmen zum Schutz dieser Daten zu ergreifen. Ein Datenschutzmanagementsystem (DMS, wie PRIVACYSOFT), sowie ein Informationsicherheits-Managementsystem (ISMS) sind ebenso wie geeignete technische und organisatorische Maßnahmen nach aktuellem Stand der Technik, notwendig und essentiell. Alle Grundsätze nach Art.5/6 EU-DSGVO sind relevant und umzusetzen. Die Sicherheit der Verarbeitung nach Art. 32 EU-DSGVO ist zusätzlich zu den TOM´s einzuhalten und anzustreben. Die Bereitstellung der Informationspflichten nach Art.13/14/15 EU-DSGVO und die transparenten Rechte der Betroffenen sind immer aufzuführen. Auch sind eigene Richtlinien konzernintern anzudenken, genauso wie Schutzverträge zwischen den einzelnen Unternehmen: Intra-Group Data Transfer Agreements oder Binding Corporate Rules. Auch könnten dementsprechende Konzernstrukturen und dessen Datenaustausch in den einzelnen Arbeitsverträgen abgebildet werden, um die betroffenen direkt zu informieren und somit die Datenströme der Konzerne transparent gestalten.