Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund

I. Der Sachverhalt

Ein Unternehmen bot Kurse für Erwachsenenbildung an. Es gehörte mit diversen anderen Unternehmen mit ähnlichen Angeboten zu demselben Mutterkonzern.

Der Beschwerdeführer hatte einen Kurs bei einem der Unternehmen gebucht und an diesem auch teilgenommen. Die angefallenen Kursgebühren zahlte er nicht.

Nach einiger Zeit meldete er sich bei einem der anderen Unternehmen des Mutterkonzerns an, wo er abgelehnt wurde. Begründet wurde diese Entscheidung damit, dass noch offene Zahlungsrückstände bestünden bei dem Unternehmen, bei dem er den Kurs besucht hatte.

Aufgrund der Beschwerde des Betroffenen Kursbesuchers über einen unrechtmäßigen Datenaustausch zwischen den Unternehmern wurde der Hamburger Datenschutzbeauftragte tätig.
Dabei stellte er fest, dass die Unternehmen des Konzerns eine gemeinsame Datenbank nutzten.

Bei Buchung eines Lehrgangs wurde der Kunde von diesem Zeitpunkt an unter einer einheitlichen Kundennummer in einem gemeinschaftlich genutzten Datenpool geführt.

Anhand dieser Kundennummer können die Verwaltungen der Verbundunternehmen sehen, ob und an welchen weiteren Lehrgängen der Verbundunternehmen der Kunde bereits teilgenommen hatte und ob Zahlungsrückstände bei Verbundunternehmen bestanden.

II. Die Bewertung des Datenschutzbeauftragten

Der Hamburgische Datenschutzbeauftragte stellte in seinem Tätigkeitsbericht für 2020 (S. 119) fest, dass das Führen einer gemeinsamen Kundendatenbank im Unternehmensverbund zu einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO führe.

Es sei schon fraglich, ob ein solches Führen einer gemeinsamen Kundendatenbank zulässig sei, da die DSGVO kein Konzernprivileg kenne, nach dem die Daten zwischen Unternehmen eines Konzerns frei oder leichter ausgetauscht werden könnten.

Unbestritten sei jedoch, dass das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbstständige Unternehmen, eine gemeinsame Verantwortung gem. Art. 26 DSGVO zur Folge habe.

Nach Art. 26 Abs. 2 DSGVO erfordere dies eine Vereinbarung mit der gebührenden Widerspiegelung der jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber der betroffenen Person.

Da eine solche Vereinbarung vorliegend zwischen den Verbundunternehmen aber nicht beweisbar geschlossen worden war, kam es zur Verhängung eines Bußgeldes in Höhe von 13.000€.

III. Fazit

Führen mehrere juristische Personen, die demselben Unternehmensverbund angehören, eine gemeinschaftliche Kundendatenbank, so sind sie gemeinsam verantwortlich gemäß Art. 26 DSGVO.

Dadurch sind diese Personen immerhin dazu verpflichtet, in einer hinreichenden Vereinbarung Zwecke, Mittel, Funktionen und Beziehungen der Datenverarbeitungen zu definieren. Eine nicht hinreichende oder gänzlich unterlassene Vereinbarung kann mit einer Geldbuße sanktioniert werden.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .