Diese Regelung bezieht sich auf Interessenabwägungen bei Beurteilung der Rechtmäßigkeit von Datenverarbeitungen, wie sie insbesondere nach Art. 6 Abs. 1 lit. f) DSGVO durchzuführen ist. Durch die jetzt ausdrückliche Normierung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung werden Datenflüsse innerhalb einer Konzerngruppe zukünftig leichter zu rechtfertigen sein. Was bleibt gleich? Verantwortlicher In der Datenschutz-Grundverordnung wird für die Bewertung als verantwortliche Stelle bzw. Verantwortlicher weiterhin auf die juristische Betrachtungsweise abgestellt. Als Verantwortlicher gilt nach Art. 7 DSGVO die juristische Person, sodass die jeweiligen Konzernunternehmen für die Datenverarbeitung verantwortlich bleiben und demnach im Verhältnis zueinander grundsätzlich als Dritter anzusehen sind. Datenschutz konzern dsgvo pdf. Für die Datenweitergabe ist auch unter Regie der DSGVO ein Erlaubnistatbestand (vor allem Art. 6 DSGVO) vonnöten, wobei einige Erleichterungen gelten, wie das kleine Konzernprivileg.
Innerhalb Europas ist eine derartige Übermittlung personenbezogenen Daten regelmäßig zulässig, wenn die Übermittlung für die Vertragsdurchführung mit dem Betroffenen erforderlich ist, der Betroffene in die Datenübermittlung einwilligt oder die berechtigten Interessen des Unternehmens schwerer wiegen als die schutzwürdigen Interessen der Betroffenen. Die DSGVO enthält eine Definition des Begriffs Konzern (Unternehmensgruppe) in Art. 4 Nr. 19 DSGVO. Gegenüber der bisherigen Rechtslage bringt die DSGVO eine Erleichterung für die konzerninterne Datenübermittlung mit sich, denn "interne Verwaltungszwecke" werden für den Konzern als berechtigtes Interesse einer Übermittlung nach Art. Datenschutz in Konzernen | LexDidacta.de. 6 Abs. 1 lit. f DSGVO anerkannt (Erwägungsgrund 48 DSGVO), teils auch als "kleines Konzernprivileg" bezeichnet. Datenübermittlungen in Nicht-EU-Länder (sog. Drittstaaten) folgen weiterhin den bisherigen Prinzipen, d. h., es wird entweder eine Angemessenheitsentscheidung der EU-Kommission benötigt (diese ist bisher für folgende Länder ergangen: Andorra, Argentinien - nur für private Stellen -, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Men, Jersey, Neuseeland und Uruguay) bzw. bei Übermittlungen in die USA eine Registrierung des Datenempfängers nach dem EU-US Privacy Shield, oder es müssten EU-Standardvertragsklauseln oder verbindliche Unternehmensrichtlinien ("Binding Corporate Rules") geschlossen werden.
Zudem muss auch der Übermittlungsprozess entsprechend abgesichert sein, sodass die Daten nicht an Unbefugte geraten können. Die Einhaltung der Vorschriften der DSGVO muss natürlich auch entsprechend der Rechenschaftspflicht nachweisbar sein. Es empfiehlt sich demnach, alle Datenverarbeitungen lückenlos zu dokumentieren. DSGVO: Was gilt für den Datenaustausch innerhalb eines Konzerns? – CR-online.de Blog. Bevor ein Vorgang durchgeführt wird, sollte in der Planung immer auch der jeweilige Datenschutzbeauftragte zu Rate gezogen werden.
Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das ab 25. Mai 2018 anzuwenden ist. In diesem Blog werden vorab einige Fragen veröffentlicht ( Härting, Datenschutz – Grundverordnung, 2016). Der konzerninterne Datenaustausch ist notwendig, aber datenschutzrechtlich nicht trivial. Geltendes Recht Nach dem BDSG gelten für die Übermittlung von personenbezogenen Daten innerhalb eines Konzerns keine besonderen Regelungen. Es gibt kein "Konzernprivileg"; der Begriff des Konzerns ist dem BDSG fremd. Wer ist Verantwortlicher nach DSGVO?. Wenn innerhalb eines Konzerns die Datenübermittlung rechtlich abgesichert werden soll, gibt es im Wesentlichen drei gangbare Wege: Einwilligung: Alle Betroffenen müssen der Übermittlung von Daten innerhalb des Konzerns (d. h. von einem konzernangehörigen Unternehmen an ein anderes Unternehmen desselben Konzerns) gemäß § 4 a Abs. 1 BDSG zustimmen ( Plath, in Plath (Hrsg. ), BDSG, § 4a Rz. 7 ff. ). Dies ist sehr aufwändig und vielfach nicht praktikabel.
Das Landesarbeitsgericht (LAG) Hamm hat eine Datenweitergabe innerhalb eines Unternehmensverbundes als unzulässig erachtet, da die Rechte einer Beschäftigten nicht hinreichend beachtet wurden (LAG Hamm, Urteil vom 14. 12. 2021 – 17 Sa 1185/20). Darüber hinaus gestand das LAG der Beschäftigten ein Schmerzensgeld in Höhe von 2. 000 Euro zu. Konkret ging es um folgenden Fall: Die Arbeitgeberin der Klägerin betreibt ein Krankenhaus und eine Klinik. Mehrheitsgesellschafterin dieses Verbundes ist die Deutsche Rentenversicherung Knappschaft-Bahn-See (DRV KBS). Außerdem ist die DRV KBS Alleingesellschafterin der A Kliniken GmbH (im Urteil mit "AKG" abgekürzt), die u. Datenschutz konzern dsgvo grundkurs zieht 4. a. die Aufgabe des Personalcontrollings im Klinikverbund hat. Allerdings ist die AKG keine personalverwaltende Stelle der Beklagten – diese verfügt selbst über eine Personalabteilung. Die Beklagte hatte mit der AKG einen Managementvertrag geschlossen, der die Sicherstellung der Geschäftsführung der Gesellschaft zum Gegenstand hatte.
Artikel 83 Absatz 2 lege als Kriterien für die Bemessung von Bußgeldern Art, Schwere und Folgen des Verstoßes fest. Die Differenzierung nach der Art des Verstoßes erfolgt vor allem durch Artikel 83 Absatz 4 und 5, je nachdem gegen welche Vorschrift der DSGVO verstoßen wurde. Liegen Verstöße gegen mehrere Vorschriften vor, so legt die Artikel-29-Datenschutzgruppe nahe, die Geldbuße nach dem schwersten Verstoß (also etwa die Verletzung der Vorgaben zum Umgang mit Gesundheitsdaten) zu bemessen. Bezüglich der Schwere und der Folgen des Verstoßes seien zudem die Anzahl der betroffenen Personen und der Zweck der Datenverarbeitung zu berücksichtigen. Datenschutz konzern dsgvo artikel. Zudem seien die Dauer des Verstoßes (die zudem Aufschluss über Vorsatz oder Fahrlässigkeit geben könne) und mögliche erlittene materielle oder immaterielle Schäden auf Seiten der Betroffenen zu berücksichtigen. Ebenfalls zu differenzieren sei nach der Art der betroffenen Daten – ist eine Identifizierung des Betroffenen möglich und handelt es sich um besonders sensible Daten?