Eine der Neuerungen der DSGVO für Konzerne und Unternehmensgruppen ist die Einführung eines sogenannten Konzerndatenschutzbeauftragten. Dieser ist in Art. 37 II DSGVO geregelt und es heißt es dort:

 „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“

Da die
Übermittlung personenbezogener Daten innerhalb einer Gruppe von Unternehmen zum
operativen Alltag gehört, kann ein gemeinsamer Konzerndatenschutzbeauftragter
hier für Erleichterung sorgen. Er erstellt einheitliche datenschutzrechtliche
Regeln und Konzepte und fungiert als zentraler Ansprechpartner für die gesamte
Unternehmensgruppe. Der Begriff der Unternehmensgruppe ist definiert in Art. 4
Nr. 19 DSGVO als eine Gruppe von Unternehmen, in welcher es ein herrschendes
Unternehmen und davon abhängige Unternehmen gibt.

Für alle leicht erreichbar

Als weitere
Anforderung nennt die Norm eine leichte Erreichbarkeit des
Konzerndatenschutzbeauftragten. Hierunter ist zu verstehen, dass alle
Mitarbeiterinnen und Mitarbeiter, aber auch die lokalen Aufsichtsbehörden und
die Betroffenen leicht mit ihm kommunizieren können. Gerade bei weltweit
tätigen Konzernen, die Tochtergesellschaften oder Niederlassungen in vielen
verschiedenen Ländern haben, können die verschiedenen Sprachen eine erhebliche
Kommunikationsbarriere darstellen. Gleichwohl kann niemandem zugemutet werden,
dass jemand neben der erforderlichen datenschutzrechtlichen Qualifikation jede
Sprache jeder Niederlassung in jedem Land spricht. Hier ist der Rückgriff auf
eine gängige Sprache, insbesondere Englisch, eine mögliche Lösung. Zudem kann
der Konzern in einzelnen, besonders wichtigen oder datenschutzrechtlich
kritischen Tochtergesellschaften einen Datenschutzkoordinator ernennen. Der übernimmt
die Rolle als Bindeglied zwischen den lokalen Aufsichtsbehörden und dem
Konzerndatenschutzbeauftragten.

Oft ist es
jedoch schwer, eine geeignete und qualifizierte Person zu finden, die sowohl
die notwendige (internationale) Qualifikation besitzt und gleichzeitig vertraut
ist mit der Arbeitsweise in Konzernen. Hier kann gerade auch ein externer
Konzerndatenschutzbeauftragter eine adäquate Lösung darstellen.

Was sind die Aufgaben eines Konzerndatenschutzbeauftragten?

Grundsätzlich
orientieren sich die Aufgaben, die ein Konzerndatenschutzbeauftragter zu
erfüllen hat, an den gleichen Anforderungen wie an jeden anderen
Datenschutzbeauftragten, die in Art. 39 DSGVO normiert sind. Nämlich:

  • den
    Verantwortlichen hinsichtlich der Umsetzung der DSGVO im Konzern zu beraten und
    zu unterrichten
  • die Überwachung
    der Vorgaben der DSGVO innerhalb des Konzerns. Hierzu gehört ebenfalls die
    Sensibilisierung der Mitarbeiterinnen und Mitarbeiter hinsichtlich der
    datenschutzrechtlichen Grundbegriffe und Erfordernisse, sowie deren Schulung
  • der
    Konzerndatenschutzbeauftragte berät hinsichtlich der
    Datenschutz-Folgenabschätzung
  • er oder sie
    arbeitet mit den Aufsichtsbehörden zusammen und ist deren erster
    Ansprechpartner

Ein externer
Konzerndatenschutzbeauftragter hat üblicherweise Erfahrung mit verschiedenen
Konzernen und war mit einer bestimmten datenschutzrechtlichen Fragestellung
befasst, so dass er zügig eine Lösung auch für einen anderen Konzern adaptieren
kann.

Zwei Herausforderungen beim Konzerndatenschutz

Der Unterschied
zu einem Datenschutzbeauftragten, der lediglich für ein einzelnes Unternehmen
zuständig ist, besteht in der Komplexität der (internationalen) Datenflüsse
personenbezogener Daten und der organisationalen Aufstellung des Konzerns. So
kommt es oft vor, dass es in einem Konzern keinen Ansprechpartner gibt, der
einen Gesamtüberblick über einen bestimmten Prozess hat. Dies kann gerade bei
der Erstellung des Verzeichnisses des Verarbeitungstätigkeiten relevant sein.

Eine weitere
Herausforderung besteht darin, dass die DSGVO zwar EU-weit einheitlich gilt, es
aber nationalstaatliche Spezifikationen und Unterschiede in den einzelnen
Mitgliedsstaaten der EU gibt, die berücksichtigt werden müssen. Hierfür kann
das Hinzuziehen von Fachleuten mit lokaler juristischer Expertise für
Einzelfragen eine mögliche Lösung sein.

Zusammenfassung

Die Benennung
eines Konzerndatenschutzbeauftragten kann eine erhebliche Erleichterung für den
Konzern darstellen. Wichtig ist hierfür der Aufbau einer passenden Datenschutzorganisation
innerhalb des Konzerns, die Unterstützung seitens der Unternehmensführung und ausreichende
finanzielle und personelle Ressourcen. Gerade ein externer
Konzerndatenschutzbeauftragter kann hier eine pragmatische, professionelle und
zeitnahe Lösung sein, die oftmals günstiger ist, als eine eigene
Datenschutzabteilung im Konzern aufzubauen.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München