Auslagerung von Funktionen auf Tochtergesellschaften

Fragen & Antworten

Aus der Reihe Fragen & Antworten mal wieder eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Nehmen wir an die Mustermann GmbH möchte verschiedene Bereiche auslagern.

Dazu gründet sie diverse GmbHs wie z.B. die IT Service GmbH sowie die Lohnbuch GmbH

Die Arbeit aller Mitarbeiter und Abteilungen sowie deren Aufgaben bleibt gleich, nur sind es eigene GmbHs.

Gilt hier die Auftragsdatenverarbeitung?

Meine Antwort: Derzeit ja
Wenn Funktionen wie z.B. der Betrieb bzw. die Bereitstellung von IT-Systemen oder IT-Services oder die Lohnbuchhaltung auf Schwester- oder Tochterunternehmen ausgelagert wird, dann wird das im Rahmen des aktuell noch geltenden BDSG juristisch als Auftragsdatenverarbeitung abgebildet. Das führt in Unternehmensgruppen manchmal zu einem ganz schön komplizierten und verworrenen Geflecht von Auftragsdatenverarbeitungsverträgen. Und das mit verschiedenen Rollen. So wechseln die Funktionen von Auftraggeber und Auftragnehmer abhängig davon, ob nun eine Gesellschaft diese oder jene Services der Tochtergesellschaft in Anspruch nimmt und die Tochtergesellschaft wiederum andere Leistungen der jeweils anderen Firma.

Und es zeigt dann auch häufig, wie „abstrus“ das Thema Auftragsdatenverarbeitung in diesem Bereich der Datenflüsse in Konzernstrukturen ist.

Mit der DSGVO gibt es dann ab 25.05.2018 für derartige Konzerndatenflüsse ein sog. „Konzernprivileg light“. Denn nach Erwägungsgrund 48 kann Art. 6 Abs. 1 lit. f) DSGVO künftig auch als Rechtsgrundlage eine Übermittlung von Daten im Konzern dienen. So zumindest die Ausführungen in Erwägungsgrund 48:

Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die bisherigen Besprechungen mit Mandanten haben bis dato allerdings ergeben, dass viele Mandanten aufgrund der noch nicht vorhandenen Erfahrungen mit dem „kleinen Konzernprivileg“ auch ab Geltung der DSGVO lieber auf „Nummer sicher“ gehen wollen. Das heißt, sie bleiben vorerst bei den wohl risikoärmeren Konstrukten der Auftragsdatenverarbeitung.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.