Entscheidungen zum Datenschutzrecht  ·  12. Oktober 2023

Sie verarbeiten Kundendaten gemeinsam mit anderen Konzerngesellschaften in einer gemeinsamen Datenbank - ohne eine Vereinbarung iSd Art 26 droht eine Geldstrafe

Aus dem Tätigkeitsbericht einer deutschen Aufsichtsbehörde:

 

Führen mehrere demselben Unternehmensverbund angehörende Gesellschaften eine Kundendatenbank, sind sie gemeinsam für die Verarbeitung Verantwortliche. Dies erfordert eine Vereinbarung gem. Art. 26 DSGVO. Das Fehlen einer solchen Vereinbarung wurde mit einer Geldbuße sanktioniert.

 

Wie kam es zum Verfahren:

Jemand wollte sich für einen Kurs bei einem Seminar-Anbieter anmelden und wurde abgelehnt. Man teilte ihm mit, dass Zahlungsrückstände bei einem anderen Unternehmen bestünden, bei dem er davor Kurse belegt hatte. 

 

Daraufhin hat sich die betroffene Person bei der Aufsichtsbehörde beschwert. Diese hat den Vorgang untersucht, und festgestellt, dass die Unternehmen eine gemeinsame Datenbank nutzen. Die unterschiedlichen Unternehmen, die die Datenbank nutzen, können anhand der Kundennummer ganz einfach die Zugehörigkeit zur "Gruppe" feststellen, da eine einheitliche Kundennummer Verwendung findet. Die Unternehmen können anhand der Kundennummer erkennen, ob und an welchen anderen Lehrgängen der Verbundunternehmen der Kunde bereits teilgenommen hat und ob Zahlungsrückstände bei Verbundunternehmen bestehen.

 

Die Behörde stellte fest, dass es kein "Konzernprivileg" in der DSGVO gibt. Die gemeinsame Führung einer derartigen Datenbank durch mehrere, rechtlich selbständige Unternehmen führt zu einer gemeinsamen Verantwortung iSd Art 26 DSGVO.

 

Die gemeinsame Verantwortung, die sohin faktisch entsteht, muss DSGVO-konform auf eine zulässige rechtliche Basis, nämlich eine Vereinbarung iSd Art 26 DSGVO gestellt werden. 

 

Im konkreten Fall existierte die konkrete Vereinbarung nicht, und dies führte zu einer Geldstrafe von immerhin EUR 13.000,--.

 

Wir unterstützen sie gerne bei der Analyse von unternehmensübergreifenden Verarbeitungen, und stellen mit Ihnen gemeinsam fest, ob entsprechende "Datenschutzverträge" abzuschließen sind, entwerfen diese für Sie (gemeinsam mit SCHWEIGER | LEGAL) und unterstützen Sie bei der Verhandlung und beim Abschluss derselben. 

 

Auch dies ist ein weiterer Baustein, Compliance herzustellen, und Geldstrafen zu vermeiden. 

 

Tags: Marketing, Konzern, Datenbank, gemeinsame Verantwortung

Kommentar schreiben

Kommentare: 0