Werden personenbezogene Daten in Konzernen ausgetauscht, so liegt auch hier eine Datenübermittlung vor (kein sogenanntes Konzernprivileg).
Im Datenschutzgilt das Verbot mit Erlaubnisvorbehalt, wodurch jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten eine Einwilligung der Betroffenen oder eine Rechtsgrundlage erfordert. Werden personenbezogene Daten innerhalb eines Konzerns ausgetauscht, sollte ebenfalls geprüft werden, ob eine Rechtsgrundlage oder informierte Einwilligungen vorliegen.
Zudem ist, bei der Übermittlung an die Konzernmutter bzw. –tochter mit dem Sitz außerhalb der europäischen Union (EU) bzw. des europäischen Wirtschaftsraums (EWR), ein angemessenes Datenschutzniveau sicherzustellen. Dies kann durch Abschluss der Binding Corporate Rules (BCR), EU-Standardvertragsklauseln oder anderer Verträge sichergestellt werden.
Anders als bei den EU-Standardvertragsklauseln handelt es sich bei den BCR um Individualverträge, die eine aufsichtsbehördliche Genehmigung erfordern.