Datenschutz und Datenübermittlung im Konzern – was ist zu beachten?

  • Alle relevanten internationalen Datenschutzbestimmungen einzuhalten, ist eine große Herausforderung für viele Konzerne.
  • Die DSGVO sieht für die Datenübermittlung innerhalb eines Konzerns kein „Konzernprivileg“ vor.
  • Das sogenannte Koordinatorenmodell ist gängige Best Practice. Dabei wird im Team gearbeitet: Neben dem zentralen Konzerndatenschutzbeauftragten gibt es individuelle Datenschutzbeauftragte als Koordinatoren für einzelne Unternehmen, Länder etc.
  • Beim Konzerndatenschutzbeauftragten haben Sie drei Möglichkeiten: die interne Lösung mit einem Mitarbeiter, die externe Lösung mit einem Dienstleister oder eine Mischform aus beiden Varianten.
  • Für die interne Lösung spricht vor allem die permanente Präsenz vor Ort. Externe Konzerndatenschutzbeauftragte bringen dagegen einen objektiveren Blick von außen und bieten ein ganzes Team von Experten.

In diesem Beitrag

Nicht erst seit Wirksamwerden der DSGVO im Jahr 2018 ist das Thema Datenschutz und Datenübermittlung im Konzern in Bewegung. Unternehmen stellen sich hier viele Fragen: Ist für jede Konzerngesellschaft ein einzelner Datenschutzbeauftragter erforderlich? Ist die Datenübermittlung im Konzern zwischen den Einzelunternehmen zulässig? Und ist ein interner oder externer Datenschutzbeauftragter die bessere Wahl?

Datenschutzlösungen für große Konzerne müssen anders aussehen als bei kleinen und mittleren Unternehmen oder Freelancern. Dieser Artikel soll Ihnen daher helfen, auf die gestellten Fragen die für Ihr Unternehmen passenden Antworten zu finden.

 

Was sind die Herausforderungen für den Datenschutz im Konzern?

Internationale Konzerne müssen weltweit unterschiedlichste Datenschutzvorschriften einhalten: In Europa gilt z. B. die viel diskutierte Datenschutz-Grundverordnung (DSGVO), in Kalifornien der California Consumer Privacy Act (CCPA), in Japan der Act on the Protection of Personal Information (APPI) und in Brasilien tritt das eigentlich für August 2020 angekündigte Datenschutzgesetz LGPD („Lei Geral de Proteção de Dados”) wohl erst nächstes Jahr in Kraft.

Viele der internationalen Regeln orientieren sich zwar an der DSGVO, manche weichen aber auch stark von dieser ab. Diese Gesetzeskonflikte – oft auch auf Englisch als „conflict of laws“ bezeichnet – zu beseitigen, ist eine wichtige Compliance-Aufgabe und große Herausforderung für jeden Konzern.

 

Gibt es für die Datenübermittlung im Konzern ein „Konzernprivileg“ in der DSGVO?

Wenn Sie personenbezogene Daten – z. B. von Kunden oder Mitarbeitern – zwischen verschiedenen Gesellschaften eines Konzerns übermitteln wollen, stellt sich die Frage, ob die Übermittlung datenschutzrechtlich zulässig ist. Doch rechtlich sind andere Gesellschaften des Konzerns wie fremde Unternehmen zu behandeln und insoweit „Dritte“ im datenschutzrechtlichen Sinne. Ein generelles Konzernprivileg ist in der DSGVO also nicht vorgesehen und Sie können die Daten nicht einfach qua Status als Konzerngesellschaft übermitteln.

 

Was versteht man unter dem „kleinen Konzernprivileg“ der DSGVO?

Bei einem überwiegenden berechtigten Interesse kann die Datenübermittlung laut Art. 6  Abs. 1 lit. f der DSGVO aber doch grundsätzlich zulässig sein. Im Zusammenhang mit Erwägungsgrund 48 der DSGVO wird diese Regel häufig auch „kleines Konzernprivileg“ genannt. Als berechtigtes Interesse gelten insoweit auch „interne Verwaltungszwecke“. Dieser Begriff ist relativ weit gefasst – Sie sollten ihn aber nicht zu großzügig interpretieren, um rechtlich auf der sicheren Seite zu sein.

Vor jeder Datenübermittlung innerhalb des Konzerns müssen Sie dabei vereinfacht zusammengefasst drei Dinge erledigen:

  1. Wägen Sie vor der Übermittlung ab, was schwerer wiegt: die berechtigten Interessen Ihres Unternehmens oder die schutzwürdigen Interessen der Person, deren Daten Sie übermitteln wollen.
  2. Begründen Sie Ihre Entscheidung.
  3. Dokumentieren Sie Ihre Entscheidung.

 

Welche grundsätzlichen Organisationsformen gibt es für den Datenschutz im Konzern?

Grundsätzlich gibt es zwei verschiedene Möglichkeiten, den Datenschutz im Konzern zu organisieren:

  • Einheitsmodell: Ein einziger Datenschutzbeauftragter ist für mehrere oder sogar alle Konzernunternehmen verantwortlich.
  • Koordinatorenmodell: Jedes Konzernunternehmen hat einen eigenen Datenschutzbeauftragten bzw. Datenschutzansprechpartner. Zusätzlich gibt es einen Konzerndatenschutzbeauftragten.

Im Folgenden gehen wir auf die Unterschiede zwischen diesen beiden Organisationsformen ein.

 

Was genau versteht man unter dem Einheitsmodell für Datenschutz im Konzern?

Beim Einheitsmodell benennen mehrere oder sogar alle Unternehmen eines Konzerns einheitlich eine einzige Person als Datenschutzbeauftragten. Diese Person ist dann also für den Datenschutz in allen Einzelunternehmen des Konzerns verantwortlich.

Dieses System stößt jedoch an Grenzen, sobald die Unternehmensgruppe eine bestimmte Größe übersteigt. DAX-Konzerne können beispielsweise aus hunderten Einzelunternehmen bestehen. Wird für alle nur eine Person als einheitlicher Datenschutzbeauftragter benannt, ergeben sich vor allem vier Herausforderungen:

  1. Es ist schwierig bis unmöglich als Einzelperson, bei dutzenden Firmen den Überblick über alle datenschutzrechtlichen Fragen zu behalten.
  2. Mit der Anzahl der Firmen, für die der Datenschutzbeauftragte verantwortlich ist, steigt deshalb auch sein persönliches Haftungsrisiko.
  3. Datenschutzbeauftragte müssen leicht erreichbar sein, was laut Aufsichtsbehörden auch das Beherrschen der Landessprache beinhaltet. Der Datenschutzbeauftragte müsste also die Sprachen aller Konzernstandorte sprechen.
  4. Es ist mittlerweile kaum qualifiziertes Personal zu finden, das bereit ist, bei vielen verschiedenen Unternehmen als Datenschutzbeauftragter zu fungieren.

 

Wie funktioniert das Koordinatorenmodell beim Datenschutz im Konzern?

Das Koordinatorenmodell hat in den letzten Jahren das Einheitsmodell als Standard abgelöst, da es ohne dessen Nachteile auskommt und statt auf einen alleinigen Verantwortlichen auf ein Datenschutz-Team setzt:

Zum einen überwacht darin ein zentraler Konzerndatenschutzbeauftragter den Datenschutz für den Gesamtkonzern.

Zum anderen gibt es sogenannte Koordinatoren, die für den Datenschutz in den einzelnen Konzerngesellschaften, Ländern oder Unternehmenssparten zuständig sind. Diese Koordinatoren sind quasi die Spezialisten vor Ort und für die Details in ihrem jeweiligen Bereich verantwortlich. Das können entweder lokal benannte Datenschutzbeauftragte sein oder Mitarbeiter vor Ort, die die Aufgabe des Koordinators zusätzlich zur eigentlichen Tätigkeit übernehmen.

 

Wie sind die Aufgaben beim Koordinatorenmodell verteilt?

Die Koordinatoren in den einzelnen Ländern stellen die Erreichbarkeit vor Ort sicher und sind Ansprechpartner für die dortigen Betroffenen und Aufsichtsbehörden. Der Konzerndatenschutzbeauftragte muss deshalb beim Koordinatorenmodell nicht die Sprachen aller Konzernstandorte beherrschen und auch nicht die unterschiedlichen gesetzlichen Regelungen en détail kennen.

Er koordiniert vielmehr die Abläufe und gibt bei Angelegenheiten, die den gesamten Konzern betreffen, die Marschrichtung vor. Beispielsweise wäre er beim Start einer neuen, länderübergreifenden App dafür verantwortlich, dass diese nicht nur datenschutzkonform ist, sondern auch die Unternehmensrichtlinien einhält.

 

Welche Aufgaben hat ein Konzerndatenschutzbeauftragter?

Die Aufgaben, die ein Konzerndatenschutzbeauftragter mindestens zu erfüllen hat, ergeben sich wie bei anderen Datenschutzbeauftragten auch aus Artikel 39 der Datenschutz-Grundverordnung (DSGVO). Kurz gesagt: Der Konzerndatenschutzbeauftragte überwacht den Datenschutz im Konzern und achtet darauf, dass die Unternehmensgruppe die jeweiligen Datenschutzgesetze einhält. Außerdem hat er die Mitarbeiter und gegebenenfalls auch externe Dienstleister über ihre Pflichten bei der Datenverarbeitung aufzuklären.

Eine weitere Aufgabe des Konzerndatenschutzbeauftragten ist die Kommunikation mit der Aufsichtsbehörde, die für den Konzern zuständig ist. Wollen Sie mehr über Aufgaben und Qualifikationen oder die Benennung von Konzerndatenschutzbeauftragten erfahren? Dann sollten Sie einen Blick in diesen Artikel werfen: Der Konzerndatenschutzbeauftragte nach DSGVO – Aufgaben und Anforderungen im Wandel.

 

Muss der Konzerndatenschutzbeauftragte ein Angestellter des Konzerns sein?

Der Konzerndatenschutzbeauftragte hat seinen Sitz meist in der Konzernholding bzw. Muttergesellschaft, die die operativen und strategischen Entscheidungen fällt. Er muss auch nicht zwingend Angestellter des Konzerns sein, es bestehen verschiedene Möglichkeiten:

  1. Interne Lösung: Sie benennen einen eigenen Mitarbeiter als Konzerndatenschutzbeauftragten.
  2. Externe Lösung: Ein Dienstleister übernimmt diese Rolle.
  3. Hybrid-Lösung: Mischform der beiden Varianten, bei der z. B. ein externer Dienstleister als Stellvertreter des angestellten Konzerndatenschutzbeauftragten fungiert.

 

Welche Vor- und Nachteile haben interne, externe und Hybrid-Lösung?

Alle drei Lösungen haben ihre Berechtigung und unterschiedliche Stärken und Schwächen. Für die interne Lösung sprechen vor allem die permanente Präsenz vor Ort und die gute Einbindung in den Konzern.

Bei einer externen oder Hybrid-Lösung erhält man dagegen einen etwas unbefangeneren Blick von außen, da externe Dienstleister nicht „betriebsblind“ sind. Außerdem bieten externe Datenschutzbeauftragte üblicherweise ein ganzes Team von Experten, die ihre Erfahrungen und Kompetenzen aus unterschiedlichsten Themen und Branchen einbringen können.

Datenschutz konzern

Welche Alternativen und innovativen Lösungen gibt es für den Datenschutz im Konzern?

Seit einigen Jahren wird immer stärker darüber diskutiert, den Konzerndatenschutzbeauftragten wegen der großen Bedeutung des Datenschutzes in das Compliance-Management zu integrieren und direkt beim Chief Compliance Officer (CCO) anzusiedeln. Bislang wird diese Variante nicht überall praktiziert – sie erscheint aber äußerst sinnvoll, da die DSGVO ein wichtiger Treiber der Compliance ist.

Neben den hier skizzierten Varianten gibt es noch weitere Möglichkeiten, die bisweilen diskutiert werden, aber deutliche Nachteile aufweisen:

  • Kein Konzerndatenschutzbeauftragter, sondern nur Datenschutzbeauftragte in einzelnen Konzerngesellschaften – Problem: kein Gesamtverantwortlicher
  • Reine Software-Lösung – Problem: fehlende menschliche Komponente, vor allem bei der Kommunikation mit Aufsichtsbehörden und Betroffenen

 

Fazit: Datenschutz im Konzern – ein Thema im Wandel

Sowohl Konzerne als auch Datenschutzbeauftragte gibt es schon seit geraumer Zeit – es lässt sich aber feststellen, dass in den vergangenen Jahren Bewegung in dieses Thema gekommen ist und es sich kontinuierlich wandelt. So hat das Koordinatorenmodell in den letzten Jahren das Einheitsmodell als Best Practice abgelöst.

Bei der Frage, ob eine Hybrid-Lösung für den einen oder anderen Konzern die bessere Alternative zum externen Datenschutzbeauftragten sein könnte, ist das letzte Wort noch nicht gesprochen. Hier wird die Zukunft zeigen, welches Modell sich durchsetzt.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Sprechen Sie uns an

 


Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren