Die datenschutzrechtliche Rolle von Konzerngesellschaften

Seit dem 1. September 2023 gelten in der Schweiz das revidierte Datenschutzgesetz (DSG) sowie die dazugehörige Datenschutzverordnung (DSV). In diesem Beitrag wird insbesondere der Frage nachge- gangen, wie bei Datenbearbeitungen von Personendaten im Konzern korrekt umzugehen ist. In Bezug auf die konzerninternen Datenbearbeitungen bzw. Datenübermittlungen zwischen einzelnen Tochter- gesellschaften innerhalb eines Konzerns ist die korrekte Qualifizierung dieser Zusammenarbeit von entscheidender Bedeutung, um die Compliance mit dem DSG zu gewährleisten. Denn es gilt im DSG (und auch in der DSGVO) kein sogenanntes datenschutzrechtliches Konzernprivileg. Das heisst, dass jeder Datenaustausch zwischen Gruppengesellschaften eines Konzerns gesondert betrachtet und auch entsprechend qualifiziert werden muss. Zentral ist dabei die Frage, in welcher Rolle die beteiligten Unternehmen beim jeweiligen Datenaustausch auftreten. Einerseits ist ein Auftragsbearbeitungsver- hältnis zwischen einem Auftragsbearbeiter und einem Verantwortlichen und andererseits eine Bear- beitung von gemeinsamen Verantwortlichen als sogenannte Joint-Controller möglich.

Hier weiterlesen: Link