Führen Firmen in einem gemeinsamen Unternehmensverbund eine gemeinsame Kundendatenbank, führt dies zu einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, so der Hamburgische Datenschutzbeauftragte.

Der Hamburgische Datenschutzbeauftragte hatte - so sein Tätigkeitsbericht für 2020 (S. 119) folgenden Sachverhalt zu beurteilen:

"Ein Unternehmen, das Kurse für Erwachsenenbildung anbietet, gehört mit verschiedenen anderen Unternehmen mit ähnlichen Angeboten zum selben Mutterkonzern.

Der spätere Beschwerdeführer hatte einen Kurs bei einem der Unternehmen gebucht und auch teilgenommen, aber die entstandenen Kursgebühren nicht bezahlt. Einige Zeit später meldete er sich bei einem anderen Unternehmen des Konzerns zu einem Kurs an und wurde dort abgelehnt. Als Begründung teilte man ihm mit, dass er noch Zahlungsrückstände hätte bei dem Unternehmen, dessen Kurse er bereits besucht hatte."

Der Hamburgische Datenschutzbeauftragte bewertete das Führen einer solchen gemeinsamen Kundendatenbank bereits außerordentlich kritisch, ließ im Ergebnis die Frage aber offen.

Denn es fehlte bereits an einer schriftlichen Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, sodass aus diesem Grunde die Behörde ein Bußgeld iHv. 13.000,- EUR verhängte:

"Es ist fraglich, ob ein solches Vorgehen zulässig ist, immerhin kennt die DSGVO kein Konzernprivileg, nach dem die Daten zwischen Unternehmen eines Konzerns frei(er) ausgetauscht werden.

Allerdings ist es unbestritten, dass das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbstständige Unternehmen, zu einer gemeinsamen Verantwortung gem. Art. 26 DSGVO führt. 120 29. Tätigkeitsbericht Datenschutz 2020 – HmbBfDI Dies erfordert gem. Art. 26 Abs. 2 DSGVO eine Vereinbarung, welche die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Eine solche existierte jedoch nicht, weshalb der HmbBfDI ein Bußgeld in Höhe von 13. 000 Euro verhängte."