Der konzerninterne Austausch personenbezogener Daten im ... · Anmeldung zu und Verwaltung von Schulungen dauerhafte Matrixorganisation (Beurteilung durch Manager anderer Konzerngesellschaften)

Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO

Internationales Rechtsinformatiksymposium23. Februar 2018

www.pwclegal.at

PwC Legal

Zu meiner Person …… und warum dieses Thema?

Sabine Brunner

+43 (0) 664 886 39 015+43 (0) 1 384 055 0

[email protected]

Ausbildung

• Mag.iur. (Universität Salzburg, 2014)

• LLB.oec. (Universität Salzburg, 2015)

Beruflicher Werdegang

• seit 08/2017 PwC Legal - oehner & partnerrechtsanwaelte gmbh, Rechtsanwaltsanwärterin

o Datenschutzrecht

o IT/IP-Recht

o Litigation

o Commercial Contracts

Unterstützung bei der Umsetzung der Vorgaben der Datenschutz-Grundverordnung

• Einzelhandel

• Automobilimport

• Banken

• Versicherungen

• Forschung / Beratung

• Öffentlicher Sektor

• E-Commerce

• Social Business

• …

2

23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO

PwC Legal

Austausch personenbezogener Daten im Konzern

3


Weder im geltenden DSG 2000 noch in der DSGVO findet sich ein „Konzernprivileg“ in Hinblick auf die Datenübermittlung.

Guideline?

PwC Legal

Konzernbegriff in der DSGVOUnternehmensgruppe

• Unternehmensgruppe: Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht (Art. 4 Z. 19 DSGVO)

• Verantwortliche, die Teil einer Unternehmensgruppe sind, können ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln (ErwGr. 48)

• keine ausdrückliche Privilegierung, daher wie Übermittlungen an Dritte zu beurteilen

4


PwC Legal

Konzerninterne Datentransfers in der EUZulässigkeit

• Auftragsverarbeitung gem. Art. 4 Z. 8 i.V.m Art. 28 DSGVO

• Rechtfertigungstatbestände Art. 6 Abs 1 / Art. 9 Abs. 2 DSGVO

• Fokus im Folgenden auf:

o Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

o berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

5


PwC Legal

Einwilligung zur konzerninternen ÜbermittlungArt. 6 Abs. 1 lit. a DSGVO

• Herausforderungen:

o Jederzeitiger Widerruf möglich

o Freiwilligkeit im Dienstverhältnis?

• Mitarbeiterdaten: ggf. Betriebsvereinbarung notwendig

• daher vorrangig für Kunden-/Lieferanten-/Geschäftspartnerdaten geeignet

• Anführung sämtlicher Empfänger notwendig

o Auflistung sämtlicher Konzernunternehmen auf Webseite zu empfehlen (Link)

6


PwC Legal

Berechtigtes Interesse für Übermittlung im Konzern

Art. 6 Abs. 1 lit. f DSGVO

• ErwGr. 48: … berechtigtes Interesse, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, zu übermitteln (?)

• DSK/DSB (DSG 2000):

• Widerspruchsrecht gem. Art. 21 DSGVO (Mail, Dienstvertrag)

7


Personalbereitsstellung Interne Kommunikation

Spesen- und Reisekostenabrechung Leistungsbeurteilung

Mitsprache bei der Zuteilung von Belohnungen Ermittlung der erfolgsabhängigen Vergütung

Verwaltung des Serverzugangs Potentialanalyse und Karriereplanung

Verwaltung von freiwilligen Vergütungs- und Beteiligungsplänen

Entwicklung von Organisationsplänen für Projektplanung und Planung von Auslandseinsätzen

Anmeldung zu und Verwaltung von Schulungen dauerhafte Matrixorganisation (Beurteilung durch Manager anderer Konzerngesellschaften)

PwC Legal

Auftragsverarbeitung im KonzernArt. 4 Z. 8 i.V.m. Art. 28 DSGVO

• wenn Daten ausschließlich im Auftrag der verantwortlichen Konzerngesellschaft verarbeitet werden sollen

• nicht für eigene Zwecke bzw. Konzernzwecke

• schriftliche Vereinbarung gem. Art 28 DSGVO

• Einhaltung der Pflichten des Auftragsverarbeiters

z.B. Auslagerung der IT

8


PwC Legal

Gemeinsame Verantwortlichkeit im KonzernArt. 26 DSGVO

• Mehrere Verantwortliche entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung

• Regelung der damit verbundenen Funktionen und die Aufteilung der Verpflichtungen in einer Vereinbarung

• ähnelt dem derzeit noch geltenden Informationsverbundsystem (§ 4 Z. 13 DSG 2000)

• z.B. Konzerngesellschaften betreiben gemeinsam eine Webseite

9


PwC Legal

Konzerninterne Übermittlung in DrittstaatenEmpfehlungen

10

Vancouver

Atlanta

Toronto

New York

San Paulo

London

Athens

Moscow

Vienna

Dubai

Mumbai

Tokyo

Hong Kong

Sydney

Melbourne

Cape Town

Singapore

Nairobi

Bestimmungen desArt. 44 ff DSGVO

Binding Corporate RulesArt. 47 DSGVO

- bedürfen einer Genehmigung durch die DSB- nachträglich weitere Konzerngesellschaft?

PwC Legal

Konzerninterner DatentransferFazit

• keine wesentlichen Neuerungen durch die DSGVO

• auch künftig an gewisse Voraussetzungen / Auflagen gebunden

• konzerninterne Datenschutz-Compliance gewinnt aufgrund des hohen Strafrahmens der DSGVO und des drohenden Reputationsschadens massiv an Bedeutung

• kein allgemein gültiges Patentrezept, sorgfältige Abwägung im Einzelfall


11

Vielen Dank für Ihre Aufmerksamkeit!

© 2018 PwC Legal. „PwC Legal“ bezeichnet die oehner & partner rechtsanwaelte gmbh mit Sitz in 1030 Wien, Erdbergstraße 300, FN 449646w,

Handelsgericht Wien. Weitere Informationen finden Sie unter www.pwclegal.at.

Kontakt:

Sabine Brunner+43 (0) 664 886 39 015

+43 (0) 1 384 055 [email protected]

Documents

Der konzerninterne Austausch personenbezogener Daten im ... · Anmeldung zu und Verwaltung von Schulungen dauerhafte Matrixorganisation (Beurteilung durch Manager anderer Konzerngesellschaften)