- Alle relevanten internationalen Datenschutzbestimmungen einzuhalten, ist eine große Herausforderung für viele Konzerne.
- Die DSGVO sieht für die Datenübermittlung innerhalb eines Konzerns kein „Konzernprivileg“ vor.
- Das sogenannte Koordinatorenmodell ist gängige Best Practice. Dabei wird im Team gearbeitet: Neben dem zentralen Konzerndatenschutzbeauftragten gibt es individuelle Datenschutzbeauftragte als Koordinatoren für einzelne Unternehmen, Länder etc.
- Beim Konzerndatenschutzbeauftragten haben Sie drei Möglichkeiten: die interne Lösung mit einem Mitarbeiter, die externe Lösung mit einem Dienstleister oder eine Mischform aus beiden Varianten.
- Für die interne Lösung spricht vor allem die permanente Präsenz vor Ort. Externe Konzerndatenschutzbeauftragte bringen dagegen einen objektiveren Blick von außen und bieten ein ganzes Team von Experten.
In diesem Beitrag
- Was sind die Herausforderungen für den Datenschutz im Konzern?
- Gibt es für die Datenübermittlung im Konzern ein „Konzernprivileg“ in der DSGVO?
- Was versteht man unter dem „kleinen Konzernprivileg“ der DSGVO?
- Welche grundsätzlichen Organisationsformen gibt es für den Datenschutz im Konzern?
- Was genau versteht man unter dem Einheitsmodell für Datenschutz im Konzern?
- Wie funktioniert das Koordinatorenmodell beim Datenschutz im Konzern?
- Wie sind die Aufgaben beim Koordinatorenmodell verteilt?
- Welche Aufgaben hat ein Konzerndatenschutzbeauftragter?
- Muss der Konzerndatenschutzbeauftragte ein Angestellter des Konzerns sein?
- Welche Vor- und Nachteile haben die interne, die externe und die Hybrid-Lösung?
- Welche Alternativen und innovativen Lösungen gibt es für den Datenschutz im Konzern?
- Fazit: Datenschutz im Konzern – ein Thema im Wandel
Nicht erst seit Wirksamwerden der DSGVO im Jahr 2018 ist das Thema Datenschutz und Datenübermittlung im Konzern in Bewegung. Unternehmen stellen sich hier viele Fragen: Ist für jede Konzerngesellschaft ein einzelner Datenschutzbeauftragter erforderlich? Ist die Datenübermittlung im Konzern zwischen den Einzelunternehmen zulässig? Und ist ein interner oder externer Datenschutzbeauftragter die bessere Wahl?
Datenschutzlösungen für große Konzerne müssen anders aussehen als bei kleinen und mittleren Unternehmen oder Freelancern. Dieser Artikel soll Ihnen daher helfen, auf die gestellten Fragen die für Ihr Unternehmen passenden Antworten zu finden.
Was sind die Herausforderungen für den Datenschutz im Konzern?
Internationale Konzerne müssen weltweit unterschiedlichste Datenschutzvorschriften einhalten: In Europa gilt z. B. die viel diskutierte Datenschutz-Grundverordnung (DSGVO), in Kalifornien der California Consumer Privacy Act (CCPA), in Japan der Act on the Protection of Personal Information (APPI) und in Brasilien tritt das eigentlich für August 2020 angekündigte Datenschutzgesetz LGPD („Lei Geral de Proteção de Dados”) wohl erst nächstes Jahr in Kraft.
Viele der internationalen Regeln orientieren sich zwar an der DSGVO, manche weichen aber auch stark von dieser ab. Diese Gesetzeskonflikte – oft auch auf Englisch als „conflict of laws“ bezeichnet – zu beseitigen, ist eine wichtige Compliance-Aufgabe und große Herausforderung für jeden Konzern.
Gibt es für die Datenübermittlung im Konzern ein „Konzernprivileg“ in der DSGVO?
Wenn Sie personenbezogene Daten – z. B. von Kunden oder Mitarbeitern – zwischen verschiedenen Gesellschaften eines Konzerns übermitteln wollen, stellt sich die Frage, ob die Übermittlung datenschutzrechtlich zulässig ist. Doch rechtlich sind andere Gesellschaften des Konzerns wie fremde Unternehmen zu behandeln und insoweit „Dritte“ im datenschutzrechtlichen Sinne. Ein generelles Konzernprivileg ist in der DSGVO also nicht vorgesehen und Sie können die Daten nicht einfach qua Status als Konzerngesellschaft übermitteln.
Was versteht man unter dem „kleinen Konzernprivileg“ der DSGVO?
Bei einem überwiegenden berechtigten Interesse kann die Datenübermittlung laut Art. 6 Abs. 1 lit. f der DSGVO aber doch grundsätzlich zulässig sein. Im Zusammenhang mit Erwägungsgrund 48 der DSGVO wird diese Regel häufig auch „kleines Konzernprivileg“ genannt. Als berechtigtes Interesse gelten insoweit auch „interne Verwaltungszwecke“. Dieser Begriff ist relativ weit gefasst – Sie sollten ihn aber nicht zu großzügig interpretieren, um rechtlich auf der sicheren Seite zu sein.
Vor jeder Datenübermittlung innerhalb des Konzerns müssen Sie dabei vereinfacht zusammengefasst drei Dinge erledigen:
- Wägen Sie vor der Übermittlung ab, was schwerer wiegt: die berechtigten Interessen Ihres Unternehmens oder die schutzwürdigen Interessen der Person, deren Daten Sie übermitteln wollen.
- Begründen Sie Ihre Entscheidung.
- Dokumentieren Sie Ihre Entscheidung.
Welche grundsätzlichen Organisationsformen gibt es für den Datenschutz im Konzern?
Grundsätzlich gibt es zwei verschiedene Möglichkeiten, den Datenschutz im Konzern zu organisieren:
- Einheitsmodell: Ein einziger Datenschutzbeauftragter ist für mehrere oder sogar alle Konzernunternehmen verantwortlich.
- Koordinatorenmodell: Jedes Konzernunternehmen hat einen eigenen Datenschutzbeauftragten bzw. Datenschutzansprechpartner. Zusätzlich gibt es einen Konzerndatenschutzbeauftragten.
Im Folgenden gehen wir auf die Unterschiede zwischen diesen beiden Organisationsformen ein.
Was genau versteht man unter dem Einheitsmodell für Datenschutz im Konzern?
Beim Einheitsmodell benennen mehrere oder sogar alle Unternehmen eines Konzerns einheitlich eine einzige Person als Datenschutzbeauftragten. Diese Person ist dann also für den Datenschutz in allen Einzelunternehmen des Konzerns verantwortlich.
Dieses System stößt jedoch an Grenzen, sobald die Unternehmensgruppe eine bestimmte Größe übersteigt. DAX-Konzerne können beispielsweise aus hunderten Einzelunternehmen bestehen. Wird für alle nur eine Person als einheitlicher Datenschutzbeauftragter benannt, ergeben sich vor allem vier Herausforderungen:
- Es ist schwierig bis unmöglich als Einzelperson, bei dutzenden Firmen den Überblick über alle datenschutzrechtlichen Fragen zu behalten.
- Mit der Anzahl der Firmen, für die der Datenschutzbeauftragte verantwortlich ist, steigt deshalb auch sein persönliches Haftungsrisiko.
- Datenschutzbeauftragte müssen leicht erreichbar sein, was laut Aufsichtsbehörden auch das Beherrschen der Landessprache beinhaltet. Der Datenschutzbeauftragte müsste also die Sprachen aller Konzernstandorte sprechen.
- Es ist mittlerweile kaum qualifiziertes Personal zu finden, das bereit ist, bei vielen verschiedenen Unternehmen als Datenschutzbeauftragter zu fungieren.
Wie funktioniert das Koordinatorenmodell beim Datenschutz im Konzern?
Das Koordinatorenmodell hat in den letzten Jahren das Einheitsmodell als Standard abgelöst, da es ohne dessen Nachteile auskommt und statt auf einen alleinigen Verantwortlichen auf ein Datenschutz-Team setzt:
Zum einen überwacht darin ein zentraler Konzerndatenschutzbeauftragter den Datenschutz für den Gesamtkonzern.
Zum anderen gibt es sogenannte Koordinatoren, die für den Datenschutz in den einzelnen Konzerngesellschaften, Ländern oder Unternehmenssparten zuständig sind. Diese Koordinatoren sind quasi die Spezialisten vor Ort und für die Details in ihrem jeweiligen Bereich verantwortlich. Das können entweder lokal benannte Datenschutzbeauftragte sein oder Mitarbeiter vor Ort, die die Aufgabe des Koordinators zusätzlich zur eigentlichen Tätigkeit übernehmen.
Wie sind die Aufgaben beim Koordinatorenmodell verteilt?
Die Koordinatoren in den einzelnen Ländern stellen die Erreichbarkeit vor Ort sicher und sind Ansprechpartner für die dortigen Betroffenen und Aufsichtsbehörden. Der Konzerndatenschutzbeauftragte muss deshalb beim Koordinatorenmodell nicht die Sprachen aller Konzernstandorte beherrschen und auch nicht die unterschiedlichen gesetzlichen Regelungen en détail kennen.
Er koordiniert vielmehr die Abläufe und gibt bei Angelegenheiten, die den gesamten Konzern betreffen, die Marschrichtung vor. Beispielsweise wäre er beim Start einer neuen, länderübergreifenden App dafür verantwortlich, dass diese nicht nur datenschutzkonform ist, sondern auch die Unternehmensrichtlinien einhält.
Welche Aufgaben hat ein Konzerndatenschutzbeauftragter?
Die Aufgaben, die ein Konzerndatenschutzbeauftragter mindestens zu erfüllen hat, ergeben sich wie bei anderen Datenschutzbeauftragten auch aus Artikel 39 der Datenschutz-Grundverordnung (DSGVO). Kurz gesagt: Der Konzerndatenschutzbeauftragte überwacht den Datenschutz im Konzern und achtet darauf, dass die Unternehmensgruppe die jeweiligen Datenschutzgesetze einhält. Außerdem hat er die Mitarbeiter und gegebenenfalls auch externe Dienstleister über ihre Pflichten bei der Datenverarbeitung aufzuklären.
Eine weitere Aufgabe des Konzerndatenschutzbeauftragten ist die Kommunikation mit der Aufsichtsbehörde, die für den Konzern zuständig ist. Wollen Sie mehr über Aufgaben und Qualifikationen oder die Benennung von Konzerndatenschutzbeauftragten erfahren? Dann sollten Sie einen Blick in diesen Artikel werfen: Der Konzerndatenschutzbeauftragte nach DSGVO – Aufgaben und Anforderungen im Wandel.
Muss der Konzerndatenschutzbeauftragte ein Angestellter des Konzerns sein?
Der Konzerndatenschutzbeauftragte hat seinen Sitz meist in der Konzernholding bzw. Muttergesellschaft, die die operativen und strategischen Entscheidungen fällt. Er muss auch nicht zwingend Angestellter des Konzerns sein, es bestehen verschiedene Möglichkeiten:
- Interne Lösung: Sie benennen einen eigenen Mitarbeiter als Konzerndatenschutzbeauftragten.
- Externe Lösung: Ein Dienstleister übernimmt diese Rolle.
- Hybrid-Lösung: Mischform der beiden Varianten, bei der z. B. ein externer Dienstleister als Stellvertreter des angestellten Konzerndatenschutzbeauftragten fungiert.
Welche Vor- und Nachteile haben interne, externe und Hybrid-Lösung?
Alle drei Lösungen haben ihre Berechtigung und unterschiedliche Stärken und Schwächen. Für die interne Lösung sprechen vor allem die permanente Präsenz vor Ort und die gute Einbindung in den Konzern.
Bei einer externen oder Hybrid-Lösung erhält man dagegen einen etwas unbefangeneren Blick von außen, da externe Dienstleister nicht „betriebsblind“ sind. Außerdem bieten externe Datenschutzbeauftragte üblicherweise ein ganzes Team von Experten, die ihre Erfahrungen und Kompetenzen aus unterschiedlichsten Themen und Branchen einbringen können.
Welche Alternativen und innovativen Lösungen gibt es für den Datenschutz im Konzern?
Seit einigen Jahren wird immer stärker darüber diskutiert, den Konzerndatenschutzbeauftragten wegen der großen Bedeutung des Datenschutzes in das Compliance-Management zu integrieren und direkt beim Chief Compliance Officer (CCO) anzusiedeln. Bislang wird diese Variante nicht überall praktiziert – sie erscheint aber äußerst sinnvoll, da die DSGVO ein wichtiger Treiber der Compliance ist.
Neben den hier skizzierten Varianten gibt es noch weitere Möglichkeiten, die bisweilen diskutiert werden, aber deutliche Nachteile aufweisen:
- Kein Konzerndatenschutzbeauftragter, sondern nur Datenschutzbeauftragte in einzelnen Konzerngesellschaften – Problem: kein Gesamtverantwortlicher
- Reine Software-Lösung – Problem: fehlende menschliche Komponente, vor allem bei der Kommunikation mit Aufsichtsbehörden und Betroffenen
Fazit: Datenschutz im Konzern – ein Thema im Wandel
Sowohl Konzerne als auch Datenschutzbeauftragte gibt es schon seit geraumer Zeit – es lässt sich aber feststellen, dass in den vergangenen Jahren Bewegung in dieses Thema gekommen ist und es sich kontinuierlich wandelt. So hat das Koordinatorenmodell in den letzten Jahren das Einheitsmodell als Best Practice abgelöst.
Bei der Frage, ob eine Hybrid-Lösung für den einen oder anderen Konzern die bessere Alternative zum externen Datenschutzbeauftragten sein könnte, ist das letzte Wort noch nicht gesprochen. Hier wird die Zukunft zeigen, welches Modell sich durchsetzt.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: