Verantwortliche Stelle(n) in einer Unternehmensgruppe

Ich hätte gerne ihre/eure Einschätzung, wie man am besten mit „globalen“ Verfahren innerhalb einer Firmengruppe umgeht. Im Kern geht es um Verarbeitungen, welche für alle Firmen in der Gruppe gleich ablaufen sollen, also zum Beispiel eine globale Umfrage „Mitarbeiterzufriedenheit“, die Umsetzung der Anforderungen für eine (zentrale) Whistleblowing Hotline, um Kontrolle der Mitarbeitergeschäfte (nach europ. Marktmissbrauchsverordnung), etc. … Also um Verarbeitungen, welche die Mutterfirma allen (100%) Tochterfirmen verpflichtend vorgibt.

Naiv könnte man sich vorstellen, dass die Mutterfirma eine entsprechende Entscheidung erlässt, einen Prozess aufsetzt, vielleicht noch ein externes Tool aussucht, entsprechende Auftragsverarbeitungsverträge schließt, und dann alle Firmen in der Gruppe anweist als Verantwortliche die entsprechenden Verarbeitungen durchzuführen. Die Mutterfirma selbst tritt als Auftragsverarbeiter für die gesamte Firmengruppe auf.

Für mich fühlt sich das falsch an, insbesondere wenn die Mutterfirma alle Vorgaben macht, alle Entscheidungen trifft, und (primäre) Empfängerin und Nutzerin der „Ergebnisse“ ist. Wenn die Mutterfirma „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ müsste sie nach meinem Verständnis „Verantwortlicher“ sein. Darüber hinaus setzt sich die Mutterfirma in die Rolle dessen, der Weisungen gibt, und kann deshalb auch kein Auftragsverarbeiter (welcher „personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen […] verarbeitet“) sein.

Ich würde deshalb eher davon ausgehen, dass die Mutterfirma die Verantwortliche Stelle sein müsste, und die entsprechenden Mitarbeiter nach Artikel 6 Unterabsatz 1 Buchstabe c (im Falle der Whistleblowing Hotline oder Marktmissbrauchsverordnung) aufgefordert, bzw. nach Buchastabe f (im Fall der Zufriedenheitsumfrage) gebeten werden die entsprechenden Daten einzugeben. Die einzelnen Tochterfirmen sind weder Verantwortliche, noch Auftragsverarbeiter.

Was meint ihr? Welche Sicht ist besser oder korrekter?

Danke!

Hallo Andreas,
ich würde auch davon ausgehen das die Mutter verantwortlich ist. Falls die Töchter auch Mitspracherecht haben wäre es gemeinsame Verantwortung.

Die Mitarbeiter in den Töchtern bzw. die Töchter wären auch keine Auftragsverarbeiter - ich würde es eher als Mitarbeiter unter der Verantwortung des Verantwortlichen sehen. Da sie die ausführenden Stellen sind (auch wenn es etwas komisch ist da noch eine Firma (Tochter) dazwischen geschaltet sind.

1 Like

Schau Dir zum berechtigten Interesse das “kleine Konzernprivileg” an, Erwägungsgrund 37 und 38. Der andere Inhalt ist die Frage nach der Konzern-Datenverarbeitung unter DS-Anforderungen.

NB: “Gruppe” ist zu vage. Und die Frage stellt sich erst 3 Jahre nach DSGVO, im “Finanzumfeld”?

Danke, haderner, aber ich sehe nicht, wie die genannten Erwägungsgründe (ich nehme mal an, es sind 36 und 37 gemeint) in diesem Fall helfen. Außer, es ging in die Richtung die gesamte Gruppe (okay, der Begriff ist vage; ich konkretisiere das für dieses Beispiel auf die in 37 Satz 1 genannten Verhältnisse) als eine “Verantwortliche” zu sehen. Eine solche Ansicht ist mir jedoch sehr neu…

Und ja, witzig, dass solche Fragen erst sehr spät aufkommen. Kommt halt ab und an vor, dass jemand sich mit frischen Augen eine Sache ansieht und versucht lange etablierte Methoden in Frage zu stellen. Vielleicht bin ich mit meiner Idee auch auf dem Holzweg und es ist einfach so, dass Tochterunternehmen zu Verantwortlichen gemacht werden können, auch wenn sie selbst kein Mitspracherecht haben (bzw. nur die Verantwortung dafür übernehmen, dass das alles DSGVo-Rechtens ist).

Insofern… nochmals danke für den Hinweis auf die Erwägungsgründe, die mir allerdings leider nicht wirklich helfen. Welche der im Eingangsposting dargestellten Sichten ist “richtiger” bzw. welche Informationen würden noch benötigt um das zu “entscheiden”?

Danke euch für die Rückmeldungen und eure Sichten. Ich denke, ich kann da noch viel lernen…

andreas.