Zurück zur Übersicht
24.03.2021

Fehlende Vereinbarung nach Art. 26 DSGVO

Führen mehrere demselben Unternehmensverbund angehörende Gesellschaften eine Kundendatenbank, sind sie gemeinsam für die Verarbeitung Verantwortliche. Dies erfordert eine Vereinbarung gem. Art. 26 DSGVO. Das Fehlen einer solchen Vereinbarung wurde mit einer Geldbuße sanktioniert.

Ein Unternehmen, das Kurse für Erwachsenenbildung anbietet, gehört mit verschiedenen anderen Unternehmen mit ähnlichen Angeboten zum selben Mutterkonzern. Der spätere Beschwerdeführer hatte einen Kurs bei einem der Unternehmen gebucht und auch teilgenommen, aber die entstandenen Kursgebühren nicht bezahlt. Einige Zeit später meldete er sich bei einem anderen Unternehmen des Konzerns zu einem Kurs an und wurde dort abgelehnt. Als Begründung teilte man ihm mit, dass er noch Zahlungsrückstände hätte bei dem Unternehmen, dessen Kurse er bereits besucht hatte. Auf seine Beschwerde hin hat der HmbBfDI die Unternehmen untersucht und dabei festgestellt, dass diese Unternehmen eine gemeinsame Datenbank nutzten. Bucht ein Kunde einen Lehrgang, wird er von diesem Zeitpunkt an unter einer einheitlichen Kundennummer in der Datenbank geführt. Die Verwaltungen der Verbundunternehmen können anhand der Kundennummer erkennen, ob und an welchen anderen Lehrgängen der Verbundunternehmen der Kunde bereits teilgenommen hat und ob Zahlungsrückstände bei Verbundunternehmen bestehen.

Es ist fraglich, ob ein solches Vorgehen zulässig ist, immerhin kennt die DSGVO kein Konzernprivileg, nach dem die Daten zwischen Unternehmen eines Konzerns frei(er) ausgetauscht werden. Allerdings ist es unbestritten, dass das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbstständige Unternehmen, zu einer gemeinsamen Verantwortung gem. Art. 26 DSGVO führt.

Dies erfordert gem. Art. 26 Abs. 2 DSGVO eine Vereinbarung, welche die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Eine solche existierte jedoch nicht, weshalb der HmbBfDI ein Bußgeld in Höhe von 13. 000 Euro verhängte.

Quelle: HmbBfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks