Intercompany Agreement Datenschutz

Datenschutz Verstehen – Intercompany Agreement im Datenschutz richtig nutzen.

Einleitung

Entgegen der wiederkehrenden Forderungen im Rahmen des Gesetzgebungsverfahrens wurden in der DSGVO keine spezifischen Regelungen zur Datenverarbeitung im Konzernverbund, also ein sogenanntes Konzernprivileg, aufgenommen. Verbundene Unternehmen, die zu einem Konzern gehören, müssen ihre Datentransfers untereinander also gesondert absichern. In diesem Beitrag soll klargestellt werden, wie Intercompany Agreements  (ICA) verwendet werden können, um die datenschutzrechtlichen Beziehungen zwischen den Unternehmen zu regeln.

Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

 

Was ist ein Intercompany Agreement?

Ein Intercompany Agreement ist ein Vertrag zwischen zwei oder mehr Unternehmen, die zu einem Konzern gehören. Der Vertrag regelt die datenschutzrechtlichen Beziehungen zwischen diesen Unternehmen und stellt sicher, dass sie gemäß den geltenden rechtlichen Vorschriften handeln. Sobald personenbezogene Daten zwischen Verantwortlichen ausgetauscht werden, bedarf es einer gesetzlichen oder vertraglichen Grundlage für diesen Datentransfer. Ein Intercompany Agreement wird normalerweise zwischen einer Muttergesellschaft und ihren Tochtergesellschaften geschlossen. Es kann auch zwischen Schwesterunternehmen innerhalb derselben Gruppe geschlossen werden. 

Innerhalb des Intercompany Agreements können verschiedene Arten von Datenschutzvereinbarungen abgebildet werden. So können beispielsweise Auftragsverarbeitungsverträge, Verträge zur gemeinsamen Verantwortlichkeit, Standarddatenschutzklauseln und/oder Binding Corporate Rules integriert werden.

Jeder Datenaustausch untereinander ist ein Verarbeitungsvorgang, der einer Rechtsgrundlage nach Art. 6 DSGVO bedarf oder als Auftragsverarbeitung ausgestaltet sein muss, sofern Elemente einer Auftragsverarbeitung enthalten sind. Wenn Auftragsverarbeitungsverträge in das ICA integriert werden, muss die Vereinbarung die Anforderungen des Art. 28 DSGVO erfüllen. Auch die gemeinsame Verantwortlichkeit mehrerer Unternehmen für eine Verarbeitung i.S.d. Art. 26 DSGVO kann unter den Bedingungen dieses Artikels in einem ICA geregelt werden. Hierbei sind zwei oder mehr Unternehmen Verantwortlicher i.S.d. Art. 4 Abs. 7 DSGVO; anders als bei der Auftragsverarbeitung, bei der der Auftraggeber der Verantwortliche für die Datenverarbeitung ist. Ein ICA kann also verschiedene Verantwortlichkeits-Konstellationen abbilden.

 

Welche Inhalte hat ein Intercompany Agreement?

Grundsätzlich gilt bei der Ausgestaltung eines ICAs die Vertragsfreiheit der Parteien. Es können beliebige Inhalte zur Abbildung der verschiedenen Transfers innerhalb der Unternehmensgruppe aufgenommen werden. Sofern Auftragsverarbeitungsverträge in das ICA integriert werden, ein Unternehmen also weisungsgebunden Daten für das andere Unternehmen verarbeitet, muss die Vereinbarung den Anforderungen des Art. 28 DSGVO genügen. Bei einer gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO verfolgen die Unternehmen einen gemeinsamen Zweck unter der Verwendung gemeinsamer Mittel. Man spricht insofern von einem Joint Controller Agreement. Dieses muss gemäß Art. 26 DSGVO die gemeinsamen Zwecke und Mittel dokumentieren, die Funktionen der einzelnen Unternehmen beschreiben, ihre datenschutzrechtlichen Zuständigkeiten abgrenzen und ihre Mitwirkungspflichten festlegen.

Der Datenaustausch innerhalb eines Konzerns ohne eine vertragliche Grundlage verstößt regelmäßig gegen die DSGVO und kann zu hohen Bußgeldern führen. Das berechtigte Interesse der Unternehmen gemäß Art. 6 Abs. 1 lit. f) DSGVO könnte zwar eine Rechtsgrundlage für die Datenübermittlung darstellen. Konzerne sollten hierbei allerdings beachten, dass das berechtigte Interesse immer begründet werden muss und diese Begründung auch in den Datenschutzinformationen i.S.d. Art. 13 DSGVO  zugänglich sein sollte. Zudem darf das berechtigte Interesse der betroffenen Personen nicht überwiegen. Nur durch den Abschluss von vertraglichen Regelungen wie dem ICA sind Unternehmen datenschutzrechtlich auf der sicheren Seite. Wir unterstützen Sie gerne beim Entwurf und der Ausgestaltung der notwendigen Verträge.

 

Wie wird ein Intercompany Agreement gestaltet?

Ein ICA wird, wie auch ein Auftragsverarbeitungsvertrag, zwischen den betroffenen Unternehmen i.S.d. Grundsatzes der Vertragsfreiheit vereinbart. Wie bereits erwähnt, müssen bei einigen Ausgestaltungen gewisse Informationen enthalten sein, um den Vorgaben in Art. 26 bzw. Art. 28 DSGVO zu entsprechen. Im Gegensatz zum Auftragsverarbeitungsvertrag sind die Rechte und Pflichten beim ICA allerdings wechselseitig und es gibt nicht die klare Rollenverteilung zwischen Auftraggeber und Auftragnehmer, da die Unternehmen kooperieren und gemeinsam ausgestalten, welches Unternehmen welche datenschutzrechtlichen Verantwortlichkeiten übernimmt.

In Konzernen wird häufig einer der Konzerngesellschaften als zentrale Dienstleistungsgesellschaft durch Organisationsregelungen oder interne Weisungen die Verarbeitung von Kunden- oder Beschäftigtendaten übertragen. Sofern eine solche Dienstleistungsgesellschaft in die Entscheidung über die Mittel und Zwecke der Verarbeitung miteinbezogen wird, ist von einer gemeinsamen Verantwortlichkeit auszugehen. Von einem konzerninternen Auftragsverarbeitungsverhältnis wird man jedoch ausgehen müssen, wenn eine konzerninterne Gesellschaft nur die technischen Mittel der Verarbeitungen bestimmt, jedoch auf die wesentlichen Mittel und auf den Zweck der fraglichen Verarbeitungstätigkeiten keinen Einfluss hat (weisungsgebunden).

Wie vereinbaren Unternehmen ein Intercompany Agreement?

Wichtig ist, dass jedes Intercompany Agreement individuell auf die Bedürfnisse und Gegebenheiten der beteiligten Unternehmen zugeschnitten sein muss. Der erste Schritt zur Vereinbarung eines Intercompany Agreements für den Datenschutz ist eine Analyse der aktuellen Situation. Zuerst identifizieren die beteiligten Unternehmen die vorhandenen Verarbeitungstätigkeiten. Dies kann beispielsweise die Bereitstellung von Dienstleistungen oder die Nutzung gemeinsamer Ressourcen betreffen.

Anschließend entwerfen Juristen oder spezialisierte Teams für Datenschutz den Intercompany Vertrag. Sie achten darauf, dass es den gesetzlichen Anforderungen entspricht und die Interessen aller beteiligten Parteien berücksichtigt. Die beteiligten Unternehmen aus dem Konzern verhandeln über die Bedingungen. Dies umfasst oft Diskussionen über Verantwortlichkeiten und Haftungsfragen. Auch unterschiedliche lokale Datenschutzgesetze verschiedener Länder können hierbei Einfluss auf die Diskussionen haben.

Unterzeichnung eines Intercompany Agreements in Konzernen

Größere Unternehmen verfügen in der Regel über ein Datenschutz-Management-System. Sofern ein digitales Datenschutz-Management eingeführt worden ist, erleichtert das die Steuerung und Verwaltung von Intercompany Verträgen erheblich. Im DSMS von Keyed stehen zum Beispiel für den Abschluss solcher Verträge der zentralen Dienstleistungsgesellschaft besondere Funktionen zur Verfügung. So gewährleisten Konzerne, dass jeweils die aktuelle Fassung vorhanden ist und alle beteiligten Unternehmen diesen Vertrag akzeptiert haben.

 

Unterschied zwischen Intercompany Agreement und Binding Corporate Rules?

Die Binding Corporate Rules (BCR) werden in Art. 47 DSGVO geregelt. Dort werden die Anforderungen und die erforderlichen Inhalte an die BCR definiert. Der Art. 47 Abs. 1 DSGVO schreibt vor, dass die Genehmigung der Binding Corporate Rules durch die zuständige Aufsichtsbehörde im sog. Kohärenzverfahren nach Art. 63 ff. DSGVO erfolgen soll. Zur Wirksamkeit bedarf es also einer Genehmigung durch die Aufsichtsbehörden, die nur erteilt wird, wenn die Anforderungen aus Art. 47 DSGVO erfüllt sind. 

Vom Charakter her ähneln sich ICA und BCR. Allerdings haben BCR strengere Wirksamkeitsvoraussetzungen und sind eher verbindliche Richtlinien als vertragliche Vereinbarungen. Wenn Sie mehr über BCR erfahren wollen, lesen Sie gerne unseren Blogbeitrag zu diesem Thema.

Menü