Скачать книгу

gegenüber Unternehmen auch deren weltweiter Jahresumsatz als Bemessungsgrundlage (neben der gedeckelten Maximalhöhe von 10 bzw. 20 Mio. EUR) herangezogen werden kann.

      446

      447

       XX. Unternehmensgruppe (Nr. 19)

       1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

      448

      Die DSGVO greift auf den Begriff der „Unternehmensgruppe“ in verschiedenen Zusammenhängen zurück. Der Begriff ist insoweit von dem nicht in der DSGVO definierten, jedoch vereinzelt Erwähnung findenden Begriff der „Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“ abzugrenzen, wobei die DSGVO beide Begriffe teilweise gleichberechtigt behandelt. Zur vorgelagerten Bestimmung des Vorliegens eines „Unternehmens“ ist die Definition in Art. 4 Nr. 18 DSGVO zu beachten.

      449

      Die wohl prominenteste Erwähnung erfolgt im Rahmen von Art. 47 DSGVO. Insofern besteht sowohl für Unternehmensgruppen als auch Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, die Möglichkeit, verbindliche interne Datenschutzvorschriften zur Absicherung von gruppeninternen Datentransfers in Drittländer (sog. Binding Corporate Rules) zu erarbeiten und mit der zuständigen Aufsichtsbehörde abzustimmen.

      450

      Demgegenüber darf lediglich eine Unternehmensgruppe unter den Voraussetzungen des Art. 37 Abs. 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen.

      451

      452

      453

      Bei der Umsetzung von nationalen Sonderregelungen zur Verarbeitung von Beschäftigtendaten durch die Mitgliedstaaten statuiert Art. 88 Abs. 2 DSGVO, dass diese nationalen Sonderregelungen über „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf [...] die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben [...]“ aufweisen müssen.

      454

      455

      456

       XXI. Verbindliche interne Datenschutzvorschriften (Nr. 20)

       1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

      457

      „Verbindliche interne Datenschutzvorschriften“ – besser bekannt unter ihrer englischen Bezeichnung „binding corporate rules“ – sind gem. Art. 4 Nr. 20 DSGVO Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben

Скачать книгу