< Seminarprogramm 2015
15.01.2015 11:53 Kategorie: Aktuelles DE

Datenschutz im Umgang mit Kundendaten

Plötzlich im Konzern: Was tun mit Kundendaten, wenn die Geschäftsbereiche zusammengelegt werden?


Zunehmend werden auch mittelständische Unternehmen Teil eines Konzerns oder eines Unternehmensverbunds. Ziel der Zukäufe bzw. der Zusammenschlüsse sind oftmals Synergien, sei es in den sog. „Shared Services“ (wie z. B. Personalabrechnung, IT-Abteilung oder Hotline) oder in den Geschäftsbereichen. Hierbei werden dann zum Teil Produktbereiche zusammengefasst, was zur Folge hat, dass Kundendaten in eine andere Gesellschaft überführt werden müssen. Dr. Jörn Voßbein, vielfach bestellter betrieblicher Datenschutzbeauftragter, weist darauf hin, dass diese Datenübermittlung datenschutzrechtlich zu prüfen ist. Wenn ein anderes Konzernunternehmen einen gesamten Geschäftsbereich übernimmt, liegt eine eigenverantwortliche Übernahme auch der zugrunde liegenden Funktionen mit der Folge einer Datenübermittlung vor. Bekanntermaßen kennt das Datenschutzrecht kein Konzernprivileg. Somit ist eine Datenweitergabe an ein anderes Konzernunternehmen genauso wie an einen beliebigen Dritten zu bewerten. Erforderlich ist – anders als bei den Shared Services, die oftmals als Auftragsdatenverarbeitung gelten – insbesondere das Vorliegen einer entsprechenden Rechtsgrundlage. Teilweise wird versucht, die Einwilligung der Betroffenen im Rahmen des Vertragsabschlusses bzw. der Vertragsabwicklung einzuholen. Dies ist jedoch oftmals weder möglich noch opportun. Gemäß § 28 Absatz 1 Satz 1 Nr. 2 BDSG ist die Übermittlung personenbezogener Daten auch zulässig, soweit sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt. Die zweckgebundene Datenübermittlung muss zur Wahrung der berechtigten Interessen nicht nur dienlich, sondern erforderlich sein. Die Erforderlichkeit ist nicht gegeben, wenn die Interessen auch ohne Kenntnis der Daten gewahrt werden können. Die Übermittlung steht aber unter dem Vorbehalt einer Abwägung mit den Betroffeneninteressen. Die Grenze liegt dort, wo die Betroffenen mit Rücksicht auf die Daten, dem Zweck und der Intensität der Verarbeitung Folgen ausgesetzt sind, die nicht mehr akzeptabel sind. Sofern beispielsweise allein berufliche Kontaktdaten von Ansprechpartnern bei Geschäftskunden berührt werden (B2B), ist eine Risikoerhöhung zum Nachteil des Betroffenen etwa in Form einer Zweckentfremdung nicht gegeben. Eine Information des Betroffenen ist in dem Fall zwar nicht rechtlich verpflichtend, aber durchaus zu empfehlen. Das abgebende Unternehmen muss den Empfänger auf die Zweckbindung hinweisen; empfehlenswert ist auch eine Verpflichtung auf den Datenschutz. Ein Sonderproblem stellt sich im Fall des Newsletterversands dar, wenn dieser auf Grundlage einer Einwilligung der Betroffenen erfolgt. Die erforderliche Einwilligung ist eine einseitige, empfangsbedürftige Willenserklärung und muss daher gerade gegenüber dem Werbenden erklärt werden. Die Einwilligung der Betroffenen impliziert insofern nicht die Einwilligung, auch vom Empfänger der Daten im Wege des Newsletterversands kontaktiert zu werden. Wenn und soweit der Werbende wechselt, sollten demzufolge von den Empfängern neue Einwilligungen eingeholt werden, was das bisherige Unternehmen initiieren sollte, der den Betroffenen ja (noch) kontaktieren darf.