Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen Konzerngesellschaften als Bestandteil der DSGVO-Compliance
RAin Dr. Vera Jungkind / RA Dr. Thomas Ruthemeyer / RAin Anna Eickmeier
Unternehmen sollten die aktuellen Entwicklungen zum Anlass nehmen, ihre konzerninternen und -externen Datenverarbeitungsvorgänge zu untersuchen, um gemeinsame Verantwortlichkeiten zu identifizieren und die Vereinbarkeit mit Art. 26 DSGVO sicherzustellen. Es wird gezeigt, was aus Unternehmens- und Konzernsicht zu beachten ist.
Inhaltsübersicht
- I. Einleitung
- II. Ermittlung von gemeinsamer Verantwortlichkeit im Konzern
- 1. Art. 26 DSGVO als Ausgangspunkt
- a) Mindestens zwei für die Verarbeitung Verantwortliche
- b) Gemeinsame Festlegung der Zwecke und Mittel der Verarbeitung
- c) Mögliche Anwendungsbeispiele, auch aufgrund regulatorischer Vorgaben
- aa) Konzernweite HR-Datenverwaltung
- bb) Gemeinsame Stammdatenverwaltung
- cc) Joint Control aufgrund regulatorischer Vorgaben
- 2. Abgrenzung zur (eigenständigen) Verantwortlichkeit
- 3. Abgrenzung zur Auftragsverarbeitung
- 4. Sonderfall: Frühere Funktionsübertragung
- 1. Art. 26 DSGVO als Ausgangspunkt
- III. Praktische Folgen gemeinsamer