Hintergrund des Falls: Im Mittelpunkt steht ein Mutterkonzern, der eine Tochtergesellschaft mit dem ausschließlichen Zweck gründete, ein Kundenbindungsprogramm zu betreiben. Die Tochtergesellschaft führte dieses Programm in der Folge operativ eigenständig durch. Dabei wurden bei der Registrierung der Kunden personenbezogene Daten wie Stammdaten und Einkaufsverhalten erfasst, um personalisierte Werbung zu ermöglichen. Die betroffenen Personen wurden in der Datenschutzerklärung über die Verwendung ihrer Daten informiert. Allerdings stellte sich später heraus, dass die Einwilligungen nicht den Anforderungen der DSGVO entsprachen.
Datenschutzrechtliche Ausgangslage
Nach der DSGVO sind personenbezogene Daten nur dann rechtskonform zu verarbeiten, wenn eine gültige Rechtsgrundlage (in diesem Fall die Einwilligung) vorliegt. Art. 4 Nr. 11 DSGVO verlangt, dass Einwilligungen freiwillig, informiert, spezifisch und unmissverständlich sind. Art. 7 DSGVO ergänzt diese Vorgaben durch Anforderungen an Nachweisbarkeit und Widerrufbarkeit. Die Frage, ob eine gemeinsame Verantwortlichkeit oder eine klare Trennung vorliegt, ist im Konzernkontext essenziell.
Behördliche Stellungnahme: Die Datenschutzbehörde stellte in ihrer Prüfung fest, dass die Einholung der Einwilligungen fehlerhaft erfolgte. Daraufhin erhielt die Tochtergesellschaft eine Strafe von 2 Millionen Euro, die Muttergesellschaft sogar 8 Millionen Euro, da sie es unterlassen hatte, konzernweit Datenschutzstandards sowie Kontrollen sicherzustellen. Die DSB sah die Konzernmutter aufgrund ihrer Mitwirkung bei Konzeption und Finanzierung des Programms als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO an, obwohl die konkrete Umsetzung bei der Tochtergesellschaft lag.
Argumentation der Muttergesellschaft: Diese bestritt ihre Verantwortlichkeit mit dem Hinweis, sie habe nur in der Konzeptionsphase strategisch mitgewirkt und keine Kontrolle über die Datenverarbeitungen ausgeübt. Die Durchführung sei allein Sache der Tochtergesellschaft gewesen. Eine Beschwerde gegen das Straferkenntnis wurde beim Bundesverwaltungsgericht erhoben.
Dieses entschied letztlich zugunsten der Muttergesellschaft und verneinte eine gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 26 DSGVO. Zwar hatte die Muttergesellschaft die Tochtergesellschaft zum Betrieb eines Kundenbindungsprogramms gegründet und an Entwicklungsprozessen mitgewirkt, doch die tatsächliche Umsetzung und Durchführung wurde vollständig der Tochtergesellschaft überlassen.
Das ÖBVwG stellte klar, dass eine bloße strategische Beteiligung oder Mitwirkung bei der Konzeptionierung nicht ausreicht, um eine gemeinsame Verantwortlichkeit zu begründen. Entscheidend sei, dass keine koordinierte Zusammenarbeit und keine fortdauernde Einflussnahme der Muttergesellschaft auf die Datenverarbeitung vorlag. Damit folgt das Gericht einem restriktiveren Verständnis von gemeinsamer Verantwortlichkeit im Konzernkontext.
DSGVO-Analyse: Eine gemeinsame Verantwortlichkeit setzt gemeinsame Entscheidungen über Mittel und Zwecke voraus und das war hier nicht der Fall.
Vergleich mit bisherigen EuGH-Urteilen
Im Gegensatz zu Fällen mit einheitlicher Datenverarbeitung oder enger Abstimmung fehlte hier die Kooperation. Das ÖBVwG grenzt sich damit bewusst von früheren EuGH-Urteilen ab und betont die Notwendigkeit einer sorgfältigen Abwägung des Einzelfalls. Unternehmen wird damit signalisiert, dass eine gemeinsame Verantwortlichkeit nicht schon durch abstrakte Einflussnahme entsteht, sondern eine koordinierte und bewusste Zusammenarbeit voraussetzt.
FAZIT: Muttergesellschaften sollten immer auf gruppenweite Datenschutzkontrollen achten. Zuständigkeiten müssen klar definiert, dokumentiert und konzernweit organisiert sein, ohne die ausführende Verantwortung zu vermischen. Ein funktionierendes Compliance-System ist dabei unerlässlich.
https://rdb.manz.at/document/ris.bvwg.BVWGT_20240528_W176_2249328_1_00
FAQ
Was bedeutet "gemeinsame Verantwortlichkeit" nach DSGVO?
Wenn zwei oder mehr Parteien gemeinsam über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Das hat Auswirkungen auf Haftung, Pflichten und Transparenz.
Wann haftet eine Muttergesellschaft für Datenschutzverstöße?
Wenn sie direkt in die Datenverarbeitung involviert ist oder keine ausreichende Kontrolle innerhalb des Konzerns sicherstellt.
Welche Rolle spielt die Eigenständigkeit einer Tochtergesellschaft?
Sie kann ausschlaggebend dafür sein, ob eine gemeinsame Verantwortlichkeit ausgeschlossen werden kann.
Wie unterscheiden sich Auftragsverarbeitung und gemeinsame Verantwortung?
Bei der Auftragsverarbeitung handelt der Dienstleister weisungsgebunden, bei gemeinsamer Verantwortung agieren die Parteien gleichberechtigt.
Was sollten Unternehmen bei konzernweiter DSGVO-Compliance beachten?
Klare Zuständigkeiten, Dokumentation, Schulung und interne Audits sind entscheidend.
_________________________________________________________________________________________
Beispiel für eine gemeinsame Verarbeitung:
Zentrale IT- oder Datenschutzabteilung mit Entscheidungskompetenz
Die Konzernmutter stellt nicht nur Infrastruktur zur Verfügung, sondern entscheidet aktiv mit, wie Daten in den Tochtergesellschaften verarbeitet werden – zB durch verbindliche Richtlinien und Prozesse.
Somit besteht eine gemeinsame Verantwortlichkeit, wenn die Tochterunternehmen nicht mehr allein über die Zwecke und Mittel entscheiden.
Mögliche Formulierung in einem Art. 26 Vertrag:
Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO – Datenschutzsteuerung
Die Parteien (A-GmbH, B-GmbH, C-GmbH) sind gemeinsam Verantwortliche für die Verarbeitung personenbezogener Daten im Rahmen der konzernweiten Datenschutzsteuerung.
Die A-GmbH übernimmt die zentrale Koordination und Verantwortung für:
die Erstellung und Pflege konzernweiter Datenschutzrichtlinien,
die Durchführung von Datenschutz-Folgenabschätzungen,
die Kommunikation mit den Datenschutzaufsichtsbehörden,
die Umsetzung und Beantwortung von Betroffenenrechten gemäß Art. 15 – 22 DSGVO,
das Datenschutz-Reporting sowie interne Audits.
Die B-GmbH und C-GmbH sind verpflichtet, diese Vorgaben umzusetzen und gewährleisten deren Einhaltung in ihren jeweiligen Einheiten.
Die Parteien stellen den betroffenen Personen die wesentlichen Inhalte dieser Vereinbarung zur Verfügung und benennen die A-GmbH als zentrale Anlaufstelle für Datenschutzanfragen.
Die Rechte der betroffenen Personen können unabhängig von dieser Vereinbarung gegenüber jeder der beteiligten Parteien geltend gemacht werden.
Sie haben Fragen? Melden Sie sich gerne.