Zurück zur Übersicht
01.10.2025 Fachbeitrag

DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?

Update Datenschutz Nr. 218

Datentransfers im Konzern durch zentrale HR-Systeme, gemeinsame IT-Infrastrukturen oder die Bündelung von Fachfunktionen in Shared-Services-Einheiten gehören für viele Unternehmen zum Alltag. Während dies organisatorische Effizienz verspricht, bleibt datenschutzrechtlich jedes Unternehmen ein eigenständiger Verantwortlicher. Damit entstehen komplexe Fragen nach den zulässigen Rechtsgrundlagen, nach der Gestaltung von Verantwortlichkeiten und nach der technischen Absicherung gemeinsamer Systeme. Unternehmen in Konzernstrukturen sind daher gefordert, ihre internen Strukturen an den Vorgaben der DSGVO auszurichten, um rechtliche Risiken zu vermeiden und zugleich die Vorteile konzernweiter Zusammenarbeit nutzen zu können. Im Folgenden werden der rechtliche Rahmen, die möglichen Modelle der Zusammenarbeit sowie praxisnahe Handlungsempfehlungen dargestellt. Hierbei sollen zentrale Herausforderungen beleuchtet und Wege aufgezeigt werden, wie Konzerne ihre Datenverarbeitung rechtssicher gestalten können.

I. Rechtlicher Rahmen

Auch innerhalb eines Konzerns gilt, dass jedes Unternehmen datenschutzrechtlich ein eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist. Ein automatisches „Konzernprivileg“, das konzerninterne Datenflüsse generell erlauben würde, kennt die Verordnung nicht. Jede Weitergabe oder jeder Zugriff auf personenbezogene Daten zwischen verbundenen Gesellschaften stellt daher eine Verarbeitung dar, die einer Rechtsgrundlage nach Art. 6 DSGVO bedarf.

Besonders relevant ist dies im Beschäftigungskontext. § 26 BDSG enthält zwar spezielle Regelungen zur Verarbeitung von Beschäftigtendaten, eröffnet aber keine generelle Erlaubnis für konzerninterne Datenübermittlungen. Damit greifen auch hier die allgemeinen Erlaubnistatbestände der DSGVO. Bereits das bloße Abrufen oder Auslesen von Personaldaten gilt als Verarbeitung und muss legitimiert sein. Dazu muss nicht nur die passende Rechtsgrundlage nach der DSGVO ermittelt und dokumentiert werden, sondern es können weitere Verträge zwischen den Konzernunternehmen zwingend erforderlich werden – etwa Vereinbarungen über die gemeinsame Verantwortlichkeit oder Auftragsverarbeitungsverträge.

II. Zulässige Modelle der Zusammenarbeit

Damit stellt sich zunächst die Frage, auf welcher rechtlichen Grundlage eine gemeinsame Datennutzung zulässig ist. Je nach Organisationsform kommen unterschiedliche Modelle in Betracht, die sich in Reichweite, Rechtssicherheit und praktischer Umsetzbarkeit unterscheiden.

Eine Möglichkeit besteht darin, Mitarbeitende durch mehrere Arbeitsverträge organisatorisch in verschiedene Gesellschaften einzubinden. Wer rechtlich bei beiden Unternehmen angestellt ist, darf auch jeweils für beide tätig werden. In diesem Fall ist der Datenaustausch über Art. 6 Abs. 1 S. 1 lit. b DSGVO gerechtfertigt, da die Verarbeitung für die Erfüllung der jeweiligen Arbeitsverträge erforderlich ist. Allerdings bringt dieses Modell erheblichen administrativen Aufwand mit sich, da jeder zusätzliche Vertrag mit allen Rechten und Pflichten einhergeht.

Ein flexibleres Modell ist die vertragliche Übertragung von Aufgaben auf eine andere Gesellschaft innerhalb des Konzerns. Beauftragt beispielsweise eine Gesellschaft die andere mit der Erbringung bestimmter Dienstleistungen, dürfen in diesem Rahmen die erforderlichen personenbezogenen Daten verarbeitet und weitergegeben werden. Wichtig ist hier, den Zweck der Datenweitergabe klar zu bestimmen. Denn nicht alle vorhandenen Beschäftigtendaten sind relevant und dürfen übermittelt werden, sondern nur jene, die für die konkrete Aufgabenerfüllung benötigt werden. Dieses Modell kann in einer Dienstleistungsvereinbarung, einem Auslagerungsvertrag oder einem sogenannten Shared-Services-Agreement ausgestaltet werden.

Allerdings ist die Ermittlung der richtigen Rechtsgrundlage in diesen Fällen deutlich komplexer, denn während eine Auslagerung zu Gehaltsabrechnung oder für den Bezug bestimmter IT-Programme unter Umständen noch über die Vertragserforderlichkeit nach Art. 6 Abs. 1 S. 1 lit. b DSGVO gerechtfertigt werden kann, gilt dies bei weitem nicht für jeden Datentransfer.

Stattdessen wäre theoretisch die Einholung von Einwilligungen denkbar. In der Praxis scheitert dieser Weg jedoch regelmäßig an den strengen Anforderungen an die Freiwilligkeit im Beschäftigtenverhältnis. Arbeitnehmer können ihre Einwilligung jederzeit widerrufen, und die tatsächliche Entscheidungsfreiheit gilt aufgrund des Abhängigkeitsverhältnisses als eingeschränkt. Daher stellt die Einwilligung im Konzernkontext oftmals keine verlässliche Grundlage dar.

Schließlich gibt es die Möglichkeit, konzerninterne Datenflüsse über arbeitsvertragliche Bezugnahmen abzusichern. Sogenannte Konzerndimensionalitäts- oder Matrixklauseln können dafür sorgen, dass eine Tätigkeit ausdrücklich konzernweit angelegt ist und Datenübermittlungen Bestandteil des Arbeitsverhältnisses sind. Damit ließe sich eine Übermittlung ebenfalls auf Art. 6 Abs. 1 S. 1 lit. b DSGVO stützen. In der Praxis sind solche Klauseln jedoch meist nur für neu abgeschlossene Verträge realistisch. Für bestehende Verträge bleibt oft nur die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, die jedoch besonders sorgfältig dokumentiert werden muss.

Zudem stellt sich die Frage, ob neben dem Auslagerungsvertrag weitere Verträge geschlossen werden müssen – insbesondere im Konzern fällt die Abgrenzung zwischen gemeinsamer Verantwortlichkeit, bei denen mehrere Unternehmen gemeinsam Zwecke und Mittel bestimmen, und der streng weisungsgebundenen Auftragsverarbeitung nicht leicht.

In Fällen, in denen Aufgaben tatsächlich vollständig verlagert und von einer zentralen Einheit übernommen werden, liegt regelmäßig eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO vor. Dies erfordert eine ausdrückliche Vereinbarung zwischen den beteiligten Gesellschaften, die die jeweiligen Rollen, Zuständigkeiten und Pflichten im Detail festlegt. Gerade bei zentralisierten HR- oder IT-Funktionen ist dieses Modell oft die rechtlich sicherste Variante, weil es die tatsächlichen Abläufe am besten abbildet und Transparenz gegenüber den betroffenen Beschäftigten schafft.

Daneben gibt es Konstellationen, in denen ein Unternehmen für ein anderes lediglich weisungsgebunden tätig wird. Hier handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Das auftragnehmende Unternehmen verarbeitet die Daten ausschließlich im Namen und nach Weisung des Auftraggebers, darf also keine eigenen Zwecke verfolgen. Diese Lösung ist dann sinnvoll, wenn der Servicecharakter eindeutig im Vordergrund steht und keine eigenständigen Entscheidungsbefugnisse bestehen. Allerdings birgt die Auftragsverarbeitung im Konzern auch Risiken, denn häufig wird an die Konzernmutter ausgelagert – und nicht immer gelingt der Nachweis, dass die Konzernmutter gegenüber dem Tochterunternehmen streng weisungsgebunden ist.

Insgesamt zeigt sich: die rechtliche Absicherung konzerninterner Datenflüsse ist möglich, erfordert aber eine sorgfältige Auswahl des passenden Modells. Entscheidend ist, dass jede Lösung die tatsächlichen Abläufe korrekt abbildet und zugleich den Grundsätzen der Zweckbindung, Datenminimierung und Transparenz entspricht.

III. Handlungsempfehlungen

Unternehmen, die konzernweite HR- oder IT-Strukturen aufbauen oder bestehende Datenflüsse konsolidieren möchten, sollten prüfen, wie sich die Vorgaben der DSGVO rechtssicher umsetzen lassen. Entscheidend ist dabei, dass nicht nur die technische Seite im Blick behalten wird, sondern auch klare organisatorische und rechtliche Regelungen getroffen werden.

Erstens empfiehlt es sich, die konzerninternen Prozesse transparent zu machen und genau zu dokumentieren, welche Daten zu welchem Zweck von welcher Gesellschaft verarbeitet werden. Auf dieser Grundlage lässt sich ermitteln, welche Rechtsgrundlage einschlägig ist und welches Modell – gemeinsame Verantwortlichkeit, Auftragsverarbeitung oder ausnahmsweise getrennte datenschutzrechtliche Verantwortlichkeit – die tatsächlichen Abläufe am besten widerspiegelt.

Zweitens sollten die Rollen und Verantwortlichkeiten in entsprechenden Vereinbarungen eindeutig festgelegt werden. Je klarer geregelt ist, wer welche Funktion übernimmt und welche Daten hierfür tatsächlich benötigt werden, desto leichter lässt sich gegenüber Aufsichtsbehörden und betroffenen Beschäftigten die Rechtmäßigkeit nachweisen.

Drittens ist eine technische Absicherung unabdingbar. Dazu gehören strikte Berechtigungskonzepte, Mandantentrennung in gemeinsamen Systemen sowie ein lückenloses Protokollieren von Zugriffen. So wird verhindert, dass Mitarbeitende unbefugt auf Daten anderer Gesellschaften zugreifen oder Informationen unkontrolliert vermischt werden.

Viertens sollten Unternehmen ihre Mitarbeitenden, die konzernübergreifend tätig sind, durch interne Richtlinien und Schulungen sensibilisieren. Nur wenn die Beschäftigten genau wissen, in welcher Rolle sie handeln und welche Daten sie nutzen dürfen, lassen sich rechtliche Risiken nachhaltig vermeiden.

IV. Fazit

Konzerninterne Datentransfers sind möglich, erfordern jedoch eine saubere rechtliche und organisatorische Grundlage. Da es kein allgemeines Konzernprivileg gibt, müssen Unternehmen jeden Zugriff und jede Weitergabe personenbezogener Daten auf die einschlägigen Rechtsgrundlagen stützen und ihre Prozesse daran ausrichten. Klare Vereinbarungen zwischen den beteiligten Gesellschaften, transparente Rollenverteilungen und eine technische Absicherung durch Berechtigungskonzepte und Mandantentrennung sind dabei unverzichtbar.

Wer diese Anforderungen berücksichtigt, vermeidet nicht nur Bußgelder und Konflikte mit Aufsichtsbehörden, sondern schafft auch Vertrauen bei den Beschäftigten. So können Konzerne die Effizienzvorteile gemeinsamer Strukturen nutzen und gleichzeitig die rechtssichere Verarbeitung von Beschäftigtendaten gewährleisten.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.