Das eingeschränkte Konzernprivileg kommt. Ein bisschen.
Bekanntlich enthält das geltende Datenschutzrecht kein Konzernprivileg. Mutter und Töchtergesellschaften eines Konzerns werden daher jeweils als eigene Stellen angesehen und müssen entweder ein Vertrag zur Auftragsdatenverarbeitung abschließen oder für einen Datentransfer untereinander eine rechtliche Grundlage vorweisen.
Zwar wird sich an dieser datenschutzrechtlichen Lage in Zukunft dem Grunde nach nichts ändern, jedoch könnte ein Erwägungsgrund in der DS-GVO in Zukunft dafür sorgen, dass die Übermittlung zwischen zwei für die Verarbeitung Verantwortlichen Stellen innerhalb eines Konzerns etwas leichter fällt bzw. die Rechtfertigung erleichtert. Nach Erwägungsgrund 38a kann (!) ein berechtigtes Interesse für eine Datenübermittlung zwischen konzernverbundenen Unternehmen für Zwecke der internen Verwaltung (wozu ausdrücklich sowohl Mitarbeiter- als auch Kundendaten gehören) bestehen. Die DS-GVO legt damit zwar nicht verbindlich fest, dass für diese Zwecke stets ein berechtigtes Interesse existiert. Jedoch zeigt Erwägungsgrund 38a, dass gerade wenn es um eine Übermittlung für die benannten Zwecke innerhalb eines Konzerns geht, ein berechtigtes Interesse bestehen kann.
Zumindest dürfte es für Unternehmen mit diesem gesetzgeberischen Zugeständnis und der Anerkennung eines legitimen Interesses zur Datenübermittlung innerhalb eines Konzerns in Zukunft leichter sein zu argumentieren, dass entsprechende Transfers rechtmäßig sind, auch ohne Einwilligung des Kunden oder des Mitarbeiters. Die Praxis wird dann jedoch zeigen müssen, was unter dem Begriff „interne Verwaltung“ genau zu verstehen ist. Beispiele könnten Abrechnungen, die Vertragsverwaltung aber eventuell auch der Betrieb von CRM-Systemen sein.