Fehlende Vereinbarung nach Art. 26 DSGVO
Führen mehrere demselben Unternehmensverbund angehörende Gesellschaften eine Kundendatenbank, sind sie gemeinsam für die Verarbeitung Verantwortliche. Dies erfordert eine Vereinbarung gem. Art. 26 DSGVO. Das Fehlen einer solchen Vereinbarung wurde mit einer Geldbuße sanktioniert.
Ein Unternehmen, das Kurse für Erwachsenenbildung anbietet, gehört mit verschiedenen anderen Unternehmen mit ähnlichen Angeboten zum selben Mutterkonzern. Der spätere Beschwerdeführer hatte einen Kurs bei einem der Unternehmen gebucht und auch teilgenommen, aber die entstandenen Kursgebühren nicht bezahlt. Einige Zeit später meldete er sich bei einem anderen Unternehmen des Konzerns zu einem Kurs an und wurde dort abgelehnt. Als Begründung teilte man ihm mit, dass er noch Zahlungsrückstände hätte bei dem Unternehmen, dessen Kurse er bereits besucht hatte. Auf seine Beschwerde hin hat der HmbBfDI die Unternehmen untersucht und dabei festgestellt, dass diese Unternehmen eine gemeinsame Datenbank nutzten. Bucht ein Kunde einen Lehrgang, wird er von diesem Zeitpunkt an unter einer einheitlichen Kundennummer in der Datenbank geführt. Die Verwaltungen der Verbundunternehmen können anhand der Kundennummer erkennen, ob und an welchen anderen Lehrgängen der Verbundunternehmen der Kunde bereits teilgenommen hat und ob Zahlungsrückstände bei Verbundunternehmen bestehen.
Es ist fraglich, ob ein solches Vorgehen zulässig ist, immerhin kennt die DSGVO kein Konzernprivileg, nach dem die Daten zwischen Unternehmen eines Konzerns frei(er) ausgetauscht werden. Allerdings ist es unbestritten, dass das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbstständige Unternehmen, zu einer gemeinsamen Verantwortung gem. Art. 26 DSGVO führt.
Dies erfordert gem. Art. 26 Abs. 2 DSGVO eine Vereinbarung, welche die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Eine solche existierte jedoch nicht, weshalb der HmbBfDI ein Bußgeld in Höhe von 13. 000 Euro verhängte.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks