Datenaustausch im B2B-Bereich und im Konzern

    Was gibt es beim Datenaustausch mit Geschäftspartnern und im eigenen Unternehmen zu beachten? Rechtsanwalt Alexander Egger gibt Auskunft.

    Gerade in der Tourismuswirtschaft, insbesondere in der Hotellerie, spielt der Datenaustausch eine lebenswichtige Rolle. Umso mehr gilt das für Betriebe, die Teil eines Konzerns sind. Zum B2B-Bereich gehören abhängig von der jeweiligen Supply Chain vor allem Beziehungen zu Lieferanten, etwa für Lebensmittel, und Anbietern von Dienstleistungen, wie etwa Reinigungs- oder Transportunternehmen. Von der Übermittlung von Unternehmensdaten zu unterscheiden ist die Übermittlung von Daten Privater an Unternehmen. Auch die Verarbeitung von Daten durch Dritte unterliegt der DSGVO, also etwa bei Verwendung eines Cloud-basierten CRM für Geschäftspartnerdaten.

    Im B2B-Bereich ist zunächst die Dokumentationspflicht zu beachten. Danach ist ein Datenverarbeitungsverzeichnis zu führen, in dem bestimmte Personenkategorien anzulegen sind (zB Lieferant, Kunde), ebenso wie Datenkategorien (zB besondere Daten, bisher sogenannte sensible Daten) sowie Kategorien von Empfängern (insbesondere solche in Nicht-EU-Staaten). Die DSGVO erfordert Anpassungen nicht nur der IT, sondern auch des Marketings. Auch wenn die DSGVO nur die Daten natürlicher Personen schützt, bedeutet das noch nicht, dass für die Datenverarbeitung von B2B-Adressen etwa zu werblichen Zwecken keine Beschränkungen gelten. Denn es ist zu bedenken, dass Werbemittel oft an Manager oder andere Mitarbeiter gesendet werden – und deren Daten sind geschützt.

    Der Datenaustausch im Konzern (Unternehmensgruppe) betrifft in erster Linie Informationen über Mitarbeiter und Kunden. Zwar erleichtert die DSGVO den Datenaustausch im Konzern, doch besteht kein eigenes, allgemeines Konzernprivileg, wonach etwa durch konzernweite verbindliche Regelungen Daten ohne Rücksicht auf die DSGVO verarbeitet werden dürfen. Das kann dennoch sinnvoll sein, weil durch sogenannte verbindliche interne Datenschutzvorschriften unter bestimmten Voraussetzungen der Datentransfer erleichtert wird. Auch ein zentraler Datenhub wie ein Mobile-Device-Management (MDM-System) trägt zur leichteren Kontrolle der Einhaltung der DSGVO bei.

    Bei Datentransfers ist jedoch darauf zu achten, dass die Übermittlung oder der Abruf von bzw der Zugriff auf Daten, etwa einer konzernweiten Kunden- oder Mitarbeiterdatenbank, auf eine Auftragsverarbeitung hinausläuft. Ist das der Fall, wären die nötigen (vertraglichen) Vorkehrungen zu treffen.

    Den bürokratischen Aufwand minimieren könnte die Bestellung eines/einer Datenschutzbeauftragten für den gesamten Konzern – sogar grenzüberschreitend. Das wäre zulässig, wenn diese Person von jeder Niederlassung aus leicht erreichbar ist, wobei Telekommunikationsmittel nicht ausreichen dürften, sondern doch die physische Präsenz erforderlich ist, auch damit der / die DSB für die Erteilung von Rat zur Verfügung steht. Zudem ist der / die DSB mit ausreichenden personellen und technischen Ressourcen auszustatten. 

    Dieser Beitrag ist zuerst am 3.11. in „HGV Praxis“ erschienen.


    Univ.-Doz. DDr. Alexander Egger ist „Head of EU, Regulatory, Public Procurement & State Aids“ bei der internationalen Wirtschaftskanzlei LANSKY, GANZGER + partner (LGP). Der habilitierte Jurist hat sich bereits vor seiner sechsjährigen Tätigkeit als Référendaire am EuGH auf Europarecht, Vergaberecht, Beihilferecht und Kartellrecht sowie Verfassungsrecht spezialisiert. Egger wirkt als Autor beim größten Kommentar zum österreichischen Vergaberecht sowie in einem der führenden Kommentare zum Verfassungsrecht mit. Zudem ist er Herausgeber der einzigen deutschsprachigen Zeitschrift für Beihilfenrecht. Für die EU-Kommission war Egger tätig, um neue Mitgliedstaaten und Beitrittskandidaten im Rahmen der TAIEX- und Twinning-Projekte zu unterstützen. Seit 1997 ist er auch als Universitätslektor an der Wirtschaftsuniversität Wien aktiv. Der Absolvent des Brügger Collège d´Europe ist u.a. Mitglied des European Law Institute, von SIPE Societas Iuris Publici Europaei und beim Europainstitut der Wirtschaftsuniversität Wien (Jean-Monnet Center of Excellence).

    Kommentare

    0 Postings

    Keine Kommentare gefunden!

    Diskutieren Sie mit

    Neuen Kommentar schreiben

    * Pflichtfelder
    Netiquette auf HORIZONT online