446
Der Begriff des Unternehmens soll in diesem Fall kartellrechtlich im Sinne des Art. 101 und Art. 102 AEUV verstanden werden. Insofern steht nicht ein formales, sondern vielmehr ein wettbewerbsrechtlich funktionales Begriffsverständnis im Vordergrund.809 Anknüpfungspunkt für die Bezeichnung als Unternehmen ist insoweit nicht das Rechtssubjekt (wie in Art. 4 Nr. 18 DSGVO); vielmehr ist jede Einheit ungeachtet ihrer Rechtsform umfasst, die eine wirtschaftliche Tätigkeit ausübt.810 Demgemäß können auch Unternehmensgruppen i.S.v. Art. 4 Nr. 19 DSGVO oder ganze Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, unter den in Art. 83 DSGVO niedergelegten Unternehmensbegriff fallen.
447
Dieses differenzierte Begriffsverständnis findet insoweit deutlicheren Niederschlag in der englischsprachigen Fassung der DSGVO: Dort ist „Unternehmen“ im Rahmen von Art. 4 Nr. 18 DSGVO mit „enterprise“ und im Rahmen von Art. 83 Abs. 4–6 DSGVO hingegen mit „undertaking“ übersetzt.811 Neben gesetzessystematischen Bedenken stößt sich dieses erweiterte Begriffsverständnis jedenfalls in der deutschen Sprachfassung ferner an dem eher eindeutigen Wortlaut der Norm.812 In Konsequenz können sich dadurch auch Ungewissheiten sowie Unverhältnismäßigkeiten bei der Bestimmung des Bezugspunkts der Bußgeldbemessung bei individuellen Verstößen eines einzelnen Rechtssubjekts ergeben, welches jedoch Teil einer Unternehmensgruppe ist.813
XX. Unternehmensgruppe (Nr. 19)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
448
Die DSGVO greift auf den Begriff der „Unternehmensgruppe“ in verschiedenen Zusammenhängen zurück. Der Begriff ist insoweit von dem nicht in der DSGVO definierten, jedoch vereinzelt Erwähnung findenden Begriff der „Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“ abzugrenzen, wobei die DSGVO beide Begriffe teilweise gleichberechtigt behandelt. Zur vorgelagerten Bestimmung des Vorliegens eines „Unternehmens“ ist die Definition in Art. 4 Nr. 18 DSGVO zu beachten.
449
Die wohl prominenteste Erwähnung erfolgt im Rahmen von Art. 47 DSGVO. Insofern besteht sowohl für Unternehmensgruppen als auch Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, die Möglichkeit, verbindliche interne Datenschutzvorschriften zur Absicherung von gruppeninternen Datentransfers in Drittländer (sog. Binding Corporate Rules) zu erarbeiten und mit der zuständigen Aufsichtsbehörde abzustimmen.
450
Demgegenüber darf lediglich eine Unternehmensgruppe unter den Voraussetzungen des Art. 37 Abs. 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen.
451
Die DSGVO berücksichtigt ferner den Umstand, dass die Realität der arbeitsteiligen Organisation von Unternehmensgruppen bzw. die Zusammenarbeit einzelner Gruppenteile einen gruppenweiten Transfer von personenbezogenen Daten erforderlich macht. Insofern nennt ErwG 48 die Übermittlung von personenbezogenen Daten zu internen Verwaltungszwecken als ein mögliches berechtigtes Interesse i.S.v. Art. 6 Abs. 1 lit. f DSGVO und somit als möglichen Erlaubnistatbestand für die Verarbeitung von personenbezogenen Daten.814 Ausdrücklich bezieht sich der Wortlaut von ErwG 48 dabei jedoch nur auf Unternehmensgruppen i.S.v. Art. 4 Nr. 19 DSGVO (sowie „Gruppen von Einrichtungen“).
452
Nach Maßgabe von ErwG 36 Satz 8 entfaltet die Vorlage einer Unternehmensgruppe i.S.v. Art. 4 Nr. 19 DSGVO insoweit auch indizielle Wirkung bei der Bestimmung der Hauptniederlassung i.S.v. Art. 4 Nr. 16 DSGVO.815
453
Bei der Umsetzung von nationalen Sonderregelungen zur Verarbeitung von Beschäftigtendaten durch die Mitgliedstaaten statuiert Art. 88 Abs. 2 DSGVO, dass diese nationalen Sonderregelungen über „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf [...] die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben [...]“ aufweisen müssen.
2. Merkmale einer Unternehmensgruppe
454
Eine Unternehmensgruppe wird definiert als eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Der Begriff des herrschenden Unternehmens ist ausweislich ErwG 37 wohl weit zu verstehen: Entscheidend ist, ob das Unternehmen auf die übrigen Unternehmen einen beherrschenden Einfluss ausüben kann. Die Möglichkeit der Einflussnahme soll zum einen gesellschaftsrechtlich begründet sein können, etwa aufgrund von Eigentumsverhältnissen oder finanzieller Beteiligung. Zum anderen soll sich ein entsprechender Einfluss auch aus vertraglichen oder rein faktischen Umständen ergeben können, etwa sofern einem Unternehmen die Befugnis zum Richtlinienerlass zugestanden wird.816 ErwG 37 Satz 1 nennt zudem ausdrücklich die Befugnis, Datenschutzvorschriften in den beherrschten Unternehmen umzusetzen. Nach deutschem Verständnis sollte eine Unternehmensgruppe typischerweise in den in § 15 AktG aufgeführten Konstellationen vorliegen.817
455
Fraglich ist, ob eine Unternehmensgruppe i.S.d. Norm auch abseits einer gesellschaftsrechtlich bedingten Beherrschung vorliegen kann. Insofern dürfte nicht ausreichend sein, sofern Unternehmen lediglich in Bezug auf vereinzelte Datenverarbeitungsverfahren in der Art zusammenarbeiten, dass eines der teilnehmenden Unternehmen eine „beherrschende“ Stellung einnimmt. Ansonsten würde jede Auftragsverarbeitung nach Art. 28 DSGVO oder Datenverarbeitung in gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO potenziell bereits eine Unternehmensgruppe zwischen den beteiligten Akteuren begründen können.818 Vielmehr wird jedenfalls vorauszusetzen sein, dass die beherrschende Stellung nicht nur auf bestimmte (datenverarbeitende) Teilbereiche beschränkt ist, sondern sich vielmehr über sämtliche betriebs- und geschäftsbezogene Aktivitäten des jeweils beherrschten Unternehmens erstrecken muss.819 Dieses eher enge Verständnis wird insoweit auch durch den Umstand getragen, dass die DSGVO mit der Begriffsbestimmung der „Unternehmensgruppe“ nicht das Ziel verfolgt, bestimmte Verhaltensweisen zu unterbinden.820 Vielmehr sieht die DSGVO in erster Linie Privilegierungen für Unternehmensgruppen vor, was eher eine enge Auslegung vermuten lässt.
3. Abgrenzung zur Gruppe von Unternehmen
456
Abzugrenzen ist der Begriff der Unternehmensgruppe zu einer Gruppe von Unternehmen. Für Letztgenannte ist kennzeichnend, dass die Unternehmen zwar eine gemeinsame Wirtschaftstätigkeit ausüben, dabei jedoch im Gegensatz zu einer Unternehmensgruppe selbstständig fungieren und gerade nicht durch eine entsprechende, hierarchische Struktur gekennzeichnet sind.821
XXI. Verbindliche interne Datenschutzvorschriften (Nr. 20)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
457
„Verbindliche interne Datenschutzvorschriften“ – besser bekannt unter ihrer englischen Bezeichnung „binding corporate rules“ – sind gem. Art. 4 Nr. 20 DSGVO Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben