• Datenschutz
    • Datenschutz
    • Für Bürgerinnen und Bürger
    • Für Unternehmen
    • Für Vereine
    • Themen A-Z
    • Gastbeiträge Medien
    • Datenschutztag
      • Datenschutztag
      • Datenschutztag 2025
      • Datenschutztag 2024
      • Datenschutztag 2023
      • Datenschutztag 2022
      • Datenschutztag 2020
      • Datenschutztag 2019
  • Services
    • Services
    • Muster und Checklisten
    • Formulare
      • Formulare
      • Beschwerdeformular
      • Meldung Datenschutzverletzung
      • Meldung Videoüberwachung
      • Mitteilung Datenschutzbeauftragter
      • Sichere Übermittlung von Dateien
    • Archiv
  • Über uns
    • Über uns
    • Tätigkeitsberichte
    • Team
  • Rechtsgrundlagen
    • Rechtsgrundlagen
    • Nationale Gesetze
    • Europäische Rechtsgrundlagen
    • Glossar zur DSGVO
    • FAQs zur DSGVO
    • Internationale Abkommen
    • Rechtsprechung
  • Internationales
    • Internationales
    • Europäischer Datenschutzausschuss
      • Europäischer Datenschutzausschuss
      • Publikationen
    • Artikel-29-Datenschutzgruppe
    • Schengen/Dublin
    • Europarat
    • Global Privacy Assembly (GPA)
    • privatim
    • Datenschutzkonferenz (DSK)
    • Andere Datenschutzaufsichtsbehörden
Datenschutzstelle Fürstentums Liechtenstein
  • Datenschutz
    • Für Bürgerinnen und Bürger
    • Für Unternehmen
    • Für Vereine
    • Themen A-Z
    • Gastbeiträge Medien
    • Datenschutztag
      • Datenschutztag 2025
      • Datenschutztag 2024
      • Datenschutztag 2023
      • Datenschutztag 2022
      • Datenschutztag 2020
      • Datenschutztag 2019
  • Services
    • Muster und Checklisten
    • Formulare
      • Beschwerdeformular
      • Meldung Datenschutzverletzung
      • Meldung Videoüberwachung
      • Mitteilung Datenschutzbeauftragter
      • Sichere Übermittlung von Dateien
    • Archiv
  • Über uns
    • Tätigkeitsberichte
    • Team
  • Rechtsgrundlagen
    • Nationale Gesetze
    • Europäische Rechtsgrundlagen
    • Glossar zur DSGVO
    • FAQs zur DSGVO
    • Internationale Abkommen
    • Rechtsprechung
  • Internationales
    • Europäischer Datenschutzausschuss
      • Publikationen
    • Artikel-29-Datenschutzgruppe
    • Schengen/Dublin
    • Europarat
    • Global Privacy Assembly (GPA)
    • privatim
    • Datenschutzkonferenz (DSK)
    • Andere Datenschutzaufsichtsbehörden
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
  • Datenschutz
    • Für Bürgerinnen und Bürger
    • Für Unternehmen
    • Für Vereine
    • Themen A-Z
    • Gastbeiträge Medien
    • Datenschutztag
      • Datenschutztag 2025
      • Datenschutztag 2024
      • Datenschutztag 2023
      • Datenschutztag 2022
      • Datenschutztag 2020
      • Datenschutztag 2019
  • Services
    • Muster und Checklisten
    • Formulare
      • Beschwerdeformular
      • Meldung Datenschutzverletzung
      • Meldung Videoüberwachung
      • Mitteilung Datenschutzbeauftragter
      • Sichere Übermittlung von Dateien
    • Archiv
  • Über uns
    • Tätigkeitsberichte
    • Team
  • Rechtsgrundlagen
    • Nationale Gesetze
    • Europäische Rechtsgrundlagen
    • Glossar zur DSGVO
    • FAQs zur DSGVO
    • Internationale Abkommen
    • Rechtsprechung
  • Internationales
    • Europäischer Datenschutzausschuss
      • Publikationen
    • Artikel-29-Datenschutzgruppe
    • Schengen/Dublin
    • Europarat
    • Global Privacy Assembly (GPA)
    • privatim
    • Datenschutzkonferenz (DSK)
    • Andere Datenschutzaufsichtsbehörden

Kleines Konzernprivileg

Datenschutzstelle /Datenschutz /Themen A-Z /

Innerhalb von Konzernen und Unternehmensgruppen stellt sich oftmals die Frage, ob es bezüglich des Datenschutzes und des Datentransfers zwischen den einzelnen Unternehmenseinheiten gewisse Erleichterungen gibt. Auch beim Verfassen der DSGVO wurde dieses Thema stark diskutiert. Im Ergebnis gibt es in der DSGVO heute zwar kein eigentliches Konzernprivileg, doch es existieren einige rechtliche Besonderheiten für so genannte Unternehmensgruppen.

  • Die Unternehmensgruppe

    Die DSGVO kennt den Begriff der Unternehmensgruppe. Sie definiert die Unternehmensgruppe noch etwas weiter als den gesellschaftsrechtlichen Konzern. So sind auch Unternehmensgruppen aufgrund rein faktischer Kontrollmöglichkeiten durch ein einzelnes Unternehmen, insbesondere in Bezug auf die Datenverarbeitung, denkbar.

    Gemäss Definition nach Art. 4 Ziff. 19 DSGVO bezeichnet eine Unternehmensgruppe „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.“

    ErwG. 37 DSGVO ergänzt: „Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden.“

    Davon unbeschadet bleiben die jeweiligen juristischen Einheiten einer Unternehmensgruppe (die Gruppenunternehmen) immer selbst rechtlich verantwortlich für den Schutz der von ihnen verarbeiteten personenbezogenen Daten. Eine Datenweiterleitung unter den Gruppenunternehmen erfolgt daher stets von einem Verantwortlichen an einen Auftragsverarbeiter oder einen Dritten.

  • Rechtliche Folgen

    Die datenschutzrechtlichen Folgen des Bestands einer Unternehmensgruppe sind insbesondere zweierlei. Zunächst kann gemäss Art. 37 Abs. 2 DSGVO für die gesamte Gruppe ein gemeinsamer Datenschutzbeauftragter bestimmt werden und es muss sich nicht jedes Gruppenunternehmen um einen eigenen Datenschutzbeauftragten bemühen. Dies unter der Voraussetzung, dass der Datenschutzbeauftragte von jedem Gruppenunternehmen aus leicht erreicht werden kann.

    Sodann existiert gemäss ErwG. 48 DSGVO ein so genanntes kleines Konzernprivileg, mit welchem personenbezogene Daten unter den einzelnen Gruppenunternehmen relativ unkompliziert ausgetauscht werden dürfen, wenn dies internen Verwaltungszwecken dient. Rechtsgrundlage dafür sind die berechtigten Interessen des Verantwortlichen gemäss Art. 6 Abs. 1 Bst. f DSGVO. Zentral ist jedoch, dass es sich wirklich nur um interne, verwaltungsbezogene Zwecke handelt, wie z.B. ein zentrales Sekretariat, eine zentralisierte Personalverwaltung oder ein konzernübergreifendes Kommunikationsverzeichnis (CRM). Für alle darüber hinausgehenden Zwecke einer Datenweiterleitung unter den Gruppenunternehmen gilt das kleine Konzernprivileg nicht mehr und es werden andere Rechtsgrundlagen benötigt. Dies kann zum Beispiel die explizite Einwilligung der betroffenen Personen oder ein Vertrag mit diesen sein, der die Weiterleitung der Daten an ein anderes Gruppenunternehmen als Auftragsverarbeiter oder Dritten vorsieht.

    Unabhängig davon, ob es sich um eine Datenweiterleitung im Rahmen des kleinen Konzernprivilegs oder an einen Auftragsverarbeiter oder Dritten handelt, hat der Verantwortliche die betroffenen Personen gemäss Art. 13 DSGVO darüber zu informieren. Befindet sich das datenempfangende Gruppenunternehmen in einem Drittland, sind gemäss ErwG. 48 DSGVO ausserdem in jedem Fall die Bestimmungen gemäss Art. 44 ff. DSGVO zu beachten, wonach für den Datentransfer angemessene oder geeignete Garantien erbracht werden müssen (z.B. Angemessenheitsbeschluss der EU-Kommission, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln, Verhaltensregeln, Zertifikate etc.).

Büro

Kirchstrasse 8
Postfach 684
FL-9490 Vaduz

T +423 236 60 90
info.dss(at)llv.li

Öffnungszeiten

Montag bis Freitag
08.30 - 11.30
13.30 - 16.30

Rechtliches

Impressum
Datenschutz
Barrierefreiheit
 

AKTUELLES

Newsletter abonnieren
Feed abonnieren