Seit die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten ist, müssen viele Unternehmen einen Datenschutzbeauftragten ernennen. Dabei ist es ausdrücklich erlaubt, eine einzelne Person als Datenschutzbeauftragten für eine ganze Unternehmensgruppe zu benennen. Ein solcher Konzerndatenschutzbeauftragter bietet zahlreiche Vorteile – es sind jedoch auch einige rechtliche und organisatorische Fragen zu beachten.
In diesem Artikel geben wir Ihnen einen detaillierten Überblick über Konzerndatenschutzbeauftragte. Von A wie Aufgaben über Q wie Qualifikationen bis Z wie zentraler Ansprechpartner – hier finden Sie die Antworten auf die wichtigsten Fragen.
Das Wichtigste in Kürze
- Mit einem Konzerndatenschutzbeauftragten lassen sich in Konzernen leichter einheitliche Datenschutzstandards einführen und einhalten.
- Datenschutzbeauftragte müssen leicht erreichbar sein und die Sprache ihres Einsatzlandes beherrschen.
- Als Best Practice hat sich das Koordinationsmodell bewährt: Ein Konzerndatenschutzbeauftragter überwacht den Datenschutz für den Gesamtkonzern mithilfe von Koordinatoren in den einzelnen Ländern/Niederlassungen.
- Der Konzerndatenschutzbeauftragte sollte einen zentralen Ansprechpartner haben, der sich im Konzern durchsetzen kann. Idealerweise ist das der Chief Compliance Officer oder der General Counsel.
- Neben Datenschutz- und IT-Know-how benötigt ein Konzerndatenschutzbeauftragter auch Fremdsprachenkenntnisse, Verhandlungsgeschick sowie Führungs- und Konzernerfahrung.
- Konzerndatenschutzbeauftragte koordinieren die Datenschutzabläufe des Konzerns und geben bei allen Themen, die den Gesamtkonzern betreffen, die Richtung vor.
In diesem Beitrag
- Welche Vorteile hat ein Konzerndatenschutzbeauftragter?
- Wer kann laut DS-GVO einen Konzerndatenschutzbeauftragten benennen?
- Welche Voraussetzungen müssen aus rechtlicher Sicht erfüllt sein, um einen Konzerndatenschutzbeauftragten zu benennen?
- Was bedeutet es, dass der Konzerndatenschutzbeauftragte leicht erreichbar sein muss?
- Welche Organisationsformen gibt es für die Arbeit des Konzerndatenschutzbeauftragten?
- Welche organisatorischen Fragen sind außerdem zu beachten?
- Welche Qualifikationen benötigt ein Konzerndatenschutzbeauftragter?
- Welche allgemeinen Aufgaben hat ein Datenschutzbeauftragter?
- Welche zusätzlichen Aufgaben hat ein Konzerndatenschutzbeauftragter?
- Wie sieht die praktische Arbeit eines Konzerndatenschutzbeauftragten aus, wenn ein Datenschutzproblem auftritt?
- Ist ein interner oder ein externer Konzerndatenschutzbeauftragter die bessere Wahl?
- Fazit: Individuelle Lösungen sind gefragt
Das könnte Sie auch interessieren
- Der Datenschutzbeauftragte: ein Überblick
- Aufgaben eines Datenschutzbeauftragten
- Lohnt sich die Ausbildung zum Datenschutzbeauftragten?
- Ein Vergleich: interner vs. externer Datenschutzbeauftragter
- Datenschutzbeauftragter bei externen und Zeitarbeitskräften
- Die Rolle eines Datenschutzbeauftragten
- Pflicht zur Benennung eines Datenschutzbeauftragten
- Bestellung eines Datenschutzbeauftragten: einen kompetenten Partner finden
Welche Vorteile hat ein Konzerndatenschutzbeauftragter?
Einen Konzerndatenschutzbeauftragten zu benennen, hat mehrere Vorteile:
- Eine Person hat den Überblick über alle datenschutzrechtlichen Fragen, die den Konzern als Ganzes betreffen.
- Es gibt einen zentralen Ansprechpartner für Betroffene und Aufsichtsbehörden.
- Mit einem Konzerndatenschutzbeauftragten ist es leichter, im Konzern einheitliche Datenschutzstandards einzuführen und einzuhalten.
- Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sind leichter einzuhalten, wenn eine Person für den gesamten Konzern verantwortlich ist.
- Einheitliche Standards reduzieren das Risiko von Verstößen gegen die DS-GVO – und damit auch das Risiko von Bußgeldzahlungen.
Wer kann laut DS-GVO einen Konzerndatenschutzbeauftragten ernennen?
Laut Art. 37 (2) der DS-GVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten benennen. Dieser wird üblicherweise als Konzerndatenschutzbeauftragter bezeichnet. Als Unternehmensgruppe gilt dabei laut Art. 4 Nr. 19 der DSGVO „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.
Welche Voraussetzungen müssen aus rechtlicher Sicht erfüllt sein, um einen Konzerndatenschutzbeauftragten zu benennen?
Im Vergleich zu anderen Datenschutzbeauftragten ist bei Konzernen rechtlich eine weitere Voraussetzung zu erfüllen: Laut DS-GVO muss jede Niederlassung des Konzerns den Konzerndatenschutzbeauftragten leicht erreichen können. Diese Anforderung ist in Art. 37 (2) der DS-GVO festgeschrieben.
Was bedeutet es, dass der Konzerndatenschutzbeauftragte leicht erreichbar sein muss?
Der Konzerndatenschutzbeauftragte muss für folgende Personen und Institutionen gut und zeitnah zu erreichen sein:
- Betroffene, um deren Daten es geht
- Konzern-Niederlassungen und
- Aufsichtsbehörden
Um diese Erreichbarkeit praktisch sicherzustellen, ist es sinnvoll, ein Datenschutzteam aufzubauen. Andernfalls wird es schnell problematisch, wenn z. B. zehn Aufsichtsbehörden gleichzeitig anrufen, nachdem Datenschutzverstöße bekannt geworden sind.
Ein wesentlicher Faktor ist außerdem die Sprache. Denn für die meisten Aufsichtsbehörden ist man nur dann wirklich erreichbar, wenn man auch die jeweilige Landessprache beherrscht. Englisch allein reicht also nicht. Daher ist es sinnvoll, zusätzlich zum zentralen Konzerndatenschutzbeauftragten auch in jedem Land einen lokalen Ansprechpartner, entweder als Datenschutzbeauftragten, oder lediglich als Koordinator zu haben.
Welche Organisationsformen gibt es für die Arbeit des Konzerndatenschutzbeauftragten?
Grundsätzlich gibt es zwei verschiedene Möglichkeiten, den Datenschutz im Konzern zu organisieren:
- Einheitsmodell: Ein einziger Datenschutzbeauftragter ist für mehrere oder sogar alle Konzernunternehmen verantwortlich.
- Koordinationsmodell: Ein Konzerndatenschutzbeauftragter überwacht den Datenschutz für den Gesamtkonzern. Für den Datenschutz in den einzelnen Konzerngesellschaften, Ländern oder Unternehmenssparten sind sogenannte Koordinatoren zuständig.
Das Koordinationsmodell hat in den letzten Jahren das Einheitsmodell als Best Practice abgelöst. Denn es bietet unter anderem diese Vorteile:
- Der Konzerndatenschutzbeauftragte kann sich auf den Konzern konzentrieren und muss nicht den Überblick über alle Detailfragen bei den Tochterunternehmen behalten.
- Lokale Expertise der Koordinatoren deckt die unterschiedlichen Anforderungen an unterschiedlichen Standorten ab.
- Die Erreichbarkeit ist leichter zu gewährleisten, da der Konzerndatenschutzbeauftragte nicht die Sprachen aller Länder beherrschen muss, in denen der Konzern präsent ist.
Alle Details zum Einheits- und zum Koordinationsmodell finden Sie im Artikel Datenschutz im Konzern.
Eine Übersicht über die allgemeinen Aufgaben eines Datenschutzbeauftragten finden Sie hier.
Welche organisatorischen Fragen sind außerdem zu beachten?
Es ist äußerst wichtig klar zu definieren, wer im Team welche Aufgaben hat und wer wofür verantwortlich ist. Dies ist insbesondere dann der Fall, wenn Koordinatoren selbst als lokaler Datenschutzbeauftragter benannt sind. Denn aufgrund der Unabhängigkeit der Rolle des Datenschutzbeauftragten kann einem solchen lokalen Datenschutzbeauftragten keine Weisung hinsichtlich der Behandlung von Einzelfallthemen erteilt werden. Nichtsdestotrotz kann der Konzerndatenschutzbeauftragte den allgemeinen Rahmen vorgeben, in dessen Grenzen lokale Koordinatoren Entscheidungen in ihrem Ermessen treffen.
Damit der Konzerndatenschutzbeauftragte effizient arbeiten kann, sollte er außerdem einen Hauptansprechpartner haben, der im Konzern auch etwas zu sagen hat. Idealerweise ist es der General Counsel oder der Chief Compliance Officer (CCO), da es in deren Wirkungsbereichen die größten Berührungspunkte mit dem Thema Datenschutz gibt.
Welche Qualifikationen benötigt ein Konzerndatenschutzbeauftragter?
Für die effektive Arbeit in einem deutschen Konzern sollte ein Konzerndatenschutzbeauftragter mindestens diese Qualifikationen mitbringen:
- Sehr gute Kenntnisse der DS-GVO und sonstiger geltender Datenschutzvorschriften wie BDSG, TMG oder TKG
- Verständnis für die IT-Aspekte des Datenschutzes
- Beherrschen von Deutsch, Englisch sowie idealerweise auch einer dritten Sprache. Grundkenntnisse einer weiteren für den Konzern relevanten Sprache können die Arbeit erleichtern.
- Verhandlungsgeschick und Erfahrungen im Konfliktmanagement um zwischen allen relevanten Stake- und Shareholdern vermitteln zu können
- Führungserfahrung, um sein Team und die Koordinatoren erfolgreich leiten zu können
- Konzernerfahrung – denn Konzerne funktionieren anders als andere Unternehmen.
Welche allgemeinen Aufgaben hat ein Datenschutzbeauftragter?
Die DSGVO unterscheidet in Art. 39 bei den Aufgaben eines Datenschutzbeauftragten nicht zwischen Konzernen und anderen Unternehmen. Konzerndatenschutzbeauftragte haben also aus rechtlicher Sicht die gleichen Aufgaben wie ihre Kollegen, die nicht in einer Unternehmensgruppe arbeiten.
Die wesentlichen Aufgaben von Datenschutzbeauftragten sind:
- Datenschutz organisieren und überwachen
- Sicherstellen, dass die Unternehmensgruppe die Datenschutzgesetze einhält
- Mitarbeiter und gegebenenfalls externe Dienstleister über ihre Pflichten bei der Datenverarbeitung aufklären
- Als Ansprechpartner für Aufsichtsbehörden und Betroffene fungieren
- Unternehmensführung bei Verstößen gegen die Datenschutzvorschriften beraten und Gegenmaßnahmen vorschlagen
- Regelmäßig Fortbildungen besuchen, um diese Aufgaben erfüllen zu können und stets auf dem aktuellsten Stand zu sein
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:
Welche zusätzlichen Aufgaben hat ein Konzerndatenschutzbeauftragter?
Konzerndatenschutzbeauftragte haben zusätzlich unter anderem die folgenden Aufgaben und Herausforderungen zu bewältigen:
- Konzernweite Abläufe koordinieren
- Konflikte zwischen Datenschutzvorschriften unterschiedlicher Länder lösen, wenn sich diese widersprechen
- Richtung bei allen Datenschutzthemen vorgeben, die den gesamten Konzern betreffen, wie z. B. beim Start einer neuen, länderübergreifenden App
Wie sieht die praktische Arbeit eines Konzerndatenschutzbeauftragten aus, wenn ein Datenschutzproblem auftritt?
Hält sich beispielsweise eine Konzerngesellschaft in einem anderen Land nicht an interne oder externe Datenschutzregeln, wird der Konzerndatenschutzbeauftragte aktiv. Er kann dabei allerdings nicht dem dortigen CEO vorschreiben, was er zu tun hat. Stattdessen lautet seine Hauptaufgabe: Kommunikation.
Er kann jetzt bei der Konzerntochter neben dem CEO auch den ggf. benannten lokalen Datenschutzbeauftragten bzw. Koordinator und die Rechtsabteilung kontaktieren. Außerdem kann er seinen Hauptansprechpartner im Konzern ansprechen, wie den General Counsel oder den Chief Compliance Officer. Mit gutem Verhandlungsgeschick sorgt der Konzerndatenschutzbeauftragte nun dafür, dass die Missstände behoben werden.
Ist ein interner oder ein externer Konzerndatenschutzbeauftragter die bessere Wahl?
Auf diese Frage gibt es keine pauschale Antwort – hier muss vielmehr die jeweilige Situation analysiert werden, um die beste individuelle Lösung zu finden. Grundsätzlich haben Sie diese drei Optionen:
Bedeutung |
Wichtigste Vorteile |
|
Interne Lösung |
Eigener Mitarbeiter als Konzerndatenschutzbeauftragter | Permanente Präsenz vor Ort und gute Einbindung im Konzern |
Externe Lösung |
Dienstleister als Konzerndatenschutzbeauftragter | Objektiver Blick von außen sowie große Expertise und Überblick über Gesamtmarkt |
Hybrid-Lösung |
Mischform, z.B. mit internem Konzerndatenschutzbeauftragten und Dienstleister als Stellvertreter | Kombination der Vorteile von interner und externer Lösung |
Zu beachten ist allerdings, dass noch nicht abschließend (gerichtlich) geklärt ist, ob eine Hybrid-Lösung datenschutzrechtlich zulässig ist. Manche Stimmen zweifeln hier an der Unabhängigkeit des Datenschutzbeauftragten bzw. warnen vor Interessenskonflikten.
Fazit: Individuelle Lösungen sind gefragt
Die Arbeit als Konzerndatenschutzbeauftragter ist anspruchsvoll und erfordert neben Datenschutz- und IT-Kenntnissen zahlreiche weitere Qualifikationen wie Verhandlungsgeschick und umfassende Sprachkenntnisse. Wie ein Konzern seinen Datenschutz organisieren sollte, hängt dabei von den individuellen Anforderungen ab.
Hier stellt sich vor allem die Frage, ob externe Konzerndatenschutzbeauftragte oder Hybrid-Lösungen sich als Ergänzung zur klassischen internen Lösung etablieren werden. Auf jeden Fall bieten sie einige Vorteile, die sie künftig für viele Konzerne zu einer interessanten Alternative machen könnten.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: