close

UNVERBINDLICHES ERSTGESPRÄCH VEREINBAREN

Oder buchen Sie hier direkt einen Termin

userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Seit die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten ist, müssen viele Unternehmen einen Datenschutzbeauftragten ernennen. Dabei ist es ausdrücklich erlaubt, eine einzelne Person als Datenschutzbeauftragten für eine ganze Unternehmensgruppe zu benennen. Ein solcher Konzerndatenschutzbeauftragter bietet zahlreiche Vorteile – es sind jedoch auch einige rechtliche und organisatorische Fragen zu beachten. 


In diesem Artikel geben wir Ihnen einen detaillierten Überblick über Konzerndatenschutzbeauftragte
. Von A wie Aufgaben über Q wie Qualifikationen bis Z wie zentraler Ansprechpartner – hier finden Sie die Antworten auf die wichtigsten Fragen. 

Das Wichtigste in Kürze

  • Mit einem Konzerndatenschutzbeauftragten lassen sich in Konzernen leichter einheitliche Datenschutzstandards einführen und einhalten.
  • Datenschutzbeauftragte müssen leicht erreichbar sein und die Sprache ihres Einsatzlandes beherrschen. 
  • Als Best Practice hat sich das Koordinationsmodell bewährt: Ein Konzerndatenschutzbeauftragter überwacht den Datenschutz für den Gesamtkonzern mithilfe von Koordinatoren in den einzelnen Ländern/Niederlassungen. 
  • Der Konzerndatenschutzbeauftragte sollte einen zentralen Ansprechpartner haben, der sich im Konzern durchsetzen kann. Idealerweise ist das der Chief Compliance Officer oder der General Counsel. 
  • Neben Datenschutz- und IT-Know-how benötigt ein Konzerndatenschutzbeauftragter auch Fremdsprachenkenntnisse, Verhandlungsgeschick sowie Führungs- und Konzernerfahrung. 
  • Konzerndatenschutzbeauftragte koordinieren die Datenschutzabläufe des Konzerns und geben bei allen Themen, die den Gesamtkonzern betreffen, die Richtung vor. 

In diesem Beitrag

Welche Vorteile hat ein Konzerndatenschutzbeauftragter? 

Einen Konzerndatenschutzbeauftragten zu benennen, hat mehrere Vorteile: 

  • Eine Person hat den Überblick über alle datenschutzrechtlichen Fragen, die den Konzern als Ganzes betreffen. 
  • Es gibt einen zentralen Ansprechpartner für Betroffene und Aufsichtsbehörden. 
  • Mit einem Konzerndatenschutzbeauftragten ist es leichter, im Konzern einheitliche Datenschutzstandards einzuführen und einzuhalten. 
  • Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sind leichter einzuhalten, wenn eine Person für den gesamten Konzern verantwortlich ist. 
  • Einheitliche Standards reduzieren das Risiko von Verstößen gegen die DS-GVO – und damit auch das Risiko von Bußgeldzahlungen. 

Wer kann laut DS-GVO einen Konzerndatenschutzbeauftragten ernennen? 

Laut Art. 37 (2) der DS-GVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten benennen. Dieser wird üblicherweise als Konzerndatenschutzbeauftragter bezeichnetAls Unternehmensgruppe gilt dabei laut Art. 4 Nr. 19 der DSGVO „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“. 

Welche Voraussetzungen müssen aus rechtlicher Sicht erfüllt sein, um einen Konzerndatenschutzbeauftragten zu benennen? 

Im Vergleich zu anderen Datenschutzbeauftragten ist bei Konzernen rechtlich eine weitere Voraussetzung zu erfüllenLaut DS-GVO muss jede Niederlassung des Konzerns den Konzerndatenschutzbeauftragten leicht erreichen können. Diese Anforderung ist in Art. 37 (2) der DS-GVO festgeschrieben. 

Was bedeutet es, dass der Konzerndatenschutzbeauftragte leicht erreichbar sein muss? 

Der Konzerndatenschutzbeauftragte muss für folgende Personen und Institutionen gut und zeitnah zu erreichen sein: 

  • Betroffene, um deren Daten es geht 
  • Konzern-Niederlassungen und 
  • Aufsichtsbehörden 

Um diese Erreichbarkeit praktisch sicherzustellen, ist es sinnvoll, ein Datenschutzteam aufzubauen. Andernfalls wird es schnell problematisch, wenn z. B. zehn Aufsichtsbehörden gleichzeitig anrufen, nachdem Datenschutzverstöße bekannt geworden sind. 

Ein wesentlicher Faktor ist außerdem die Sprache. Denn für die meisten Aufsichtsbehörden ist man nur dann wirklich erreichbar, wenn man auch die jeweilige Landessprache beherrscht. Englisch allein reicht also nicht. Daher ist es sinnvoll, zusätzlich zum zentralen Konzerndatenschutzbeauftragten auch in jedem Land einen lokalen Ansprechpartner, entweder als Datenschutzbeauftragten, oder lediglich als Koordinator zu haben. 

Welche Organisationsformen gibt es für die Arbeit des Konzerndatenschutzbeauftragten? 

Grundsätzlich gibt es zwei verschiedene Möglichkeiten, den Datenschutz im Konzern zu organisieren: 

  • Einheitsmodell: Ein einziger Datenschutzbeauftragter ist für mehrere oder sogar alle Konzernunternehmen verantwortlich. 
  • Koordinationsmodell: Ein Konzerndatenschutzbeauftragter überwacht den Datenschutz für den Gesamtkonzern. Für den Datenschutz in den einzelnen Konzerngesellschaften, Ländern oder Unternehmenssparten sind sogenannte Koordinatoren zuständig. 

Das Koordinationsmodell hat in den letzten Jahren das Einheitsmodell als Best Practice abgelöst. Denn es bietet unter anderem diese Vorteile: 

  • Der Konzerndatenschutzbeauftragte kann sich auf den Konzern konzentrieren und muss nicht den Überblick über alle Detailfragen bei den Tochterunternehmen behalten. 
  • Lokale Expertise der Koordinatoren deckt die unterschiedlichen Anforderungen an unterschiedlichen Standorten ab. 
  • Die Erreichbarkeit ist leichter zu gewährleisten, da der Konzerndatenschutzbeauftragte nicht die Sprachen aller Länder beherrschen muss, in denen der Konzern präsent ist. 

Alle Details zum Einheits- und zum Koordinationsmodell finden Sie im Artikel Datenschutz im Konzern. 

Eine Übersicht über die allgemeinen Aufgaben eines Datenschutzbeauftragten finden Sie hier.  

Welche organisatorischen Fragen sind außerdem zu beachten? 

Es ist äußerst wichtig klar zu definieren, wer im Team welche Aufgaben hat und wer wofür verantwortlich ist. Dies ist insbesondere dann der Fall, wenn Koordinatoren selbst als lokaler Datenschutzbeauftragter benannt sind. Denn aufgrund der Unabhängigkeit der Rolle des Datenschutzbeauftragten kann einem solchen lokalen Datenschutzbeauftragten keine Weisung hinsichtlich der Behandlung von Einzelfallthemen erteilt werden. Nichtsdestotrotz kann der Konzerndatenschutzbeauftragte den allgemeinen Rahmen vorgeben, in dessen Grenzen lokale Koordinatoren Entscheidungen in ihrem Ermessen treffen.   

Damit der Konzerndatenschutzbeauftragte effizient arbeiten kann, sollte er außerdem einen Hauptansprechpartner haben, der im Konzern auch etwas zu sagen hat. Idealerweise ist es der General Counsel oder der Chief Compliance Officer (CCO), da es in deren Wirkungsbereichen die größten Berührungspunkte mit dem Thema Datenschutz gibt. 

Welche Qualifikationen benötigt ein Konzerndatenschutzbeauftragter? 

Für die effektive Arbeit in einem deutschen Konzern sollte ein Konzerndatenschutzbeauftragter mindestens diese Qualifikationen mitbringen: 

  • Sehr gute Kenntnisse der DS-GVO und sonstigegeltender Datenschutzvorschriften wie BDSG, TMG oder TKG 
  • Verständnis für die IT-Aspekte des Datenschutzes 
  • Beherrschen von Deutsch, Englisch sowie idealerweise auch einer dritten Sprache. Grundkenntnisse einer weiteren für den Konzern relevanten Sprache können die Arbeit erleichtern. 
  • Verhandlungsgeschick und Erfahrungen im Konfliktmanagement um zwischen allen relevanten Stake- und Shareholdern vermitteln zu können 
  • Führungserfahrung, um sein Team und die Koordinatoren erfolgreich leiten zu können
  • Konzernerfahrung – denn Konzerne funktionieren anders als andere Unternehmen. 

Welche allgemeinen Aufgaben hat ein Datenschutzbeauftragter? 

Die DSGVO unterscheidet in Art. 39 bei den Aufgaben eines Datenschutzbeauftragten nicht zwischen Konzernen und anderen Unternehmen. Konzerndatenschutzbeauftragte haben also aus rechtlicher Sicht die gleichen Aufgaben wie ihre Kollegen, die nicht in einer Unternehmensgruppe arbeiten. 

Die wesentlichen Aufgaben von Datenschutzbeauftragten sind: 

  • Datenschutz organisieren und überwachen 
  • Sicherstellen, dass die Unternehmensgruppe die Datenschutzgesetze einhält 
  • Mitarbeiter und gegebenenfalls externe Dienstleister über ihre Pflichten bei der Datenverarbeitung aufklären 
  • Als Ansprechpartner für Aufsichtsbehörden und Betroffene fungieren 
  • Unternehmensführung bei Verstößen gegen die Datenschutzvorschriften beraten und Gegenmaßnahmen vorschlagen 
  • Regelmäßig Fortbildungen besuchen, um diese Aufgaben erfüllen zu können und stets auf dem aktuellsten Stand zu sein 

Welche zusätzlichen Aufgaben hat ein Konzerndatenschutzbeauftragter? 

Konzerndatenschutzbeauftragte haben zusätzlich unter anderem die folgenden Aufgaben und Herausforderungen zu bewältigen: 

  • Konzernweite Abläufe koordinieren 
  • Konflikte zwischen Datenschutzvorschriften unterschiedlicher Länder lösen, wenn sich diese  widersprechen 
  • Richtung bei allen Datenschutzthemen vorgeben, die den gesamten Konzern betreffen, wie z.B. beim Start einer neuen, länderübergreifenden App 

Wie sieht die praktische Arbeit eines Konzerndatenschutzbeauftragten aus, wenn ein Datenschutzproblem auftritt? 

Hält sich beispielsweise eine Konzerngesellschaft in einem anderen Land nicht an interne oder externe Datenschutzregeln, wird der Konzerndatenschutzbeauftragte aktiv. Er kann dabei allerdings nicht dem dortigen CEO vorschreiben, was er zu tun hat. Stattdessen lautet seine Hauptaufgabe: Kommunikation. 

Er kann jetzt bei der Konzerntochter neben dem CEO auch den ggf. benannten lokalen Datenschutzbeauftragten bzw. Koordinator und die Rechtsabteilung kontaktieren. Außerdem kann er seinen Hauptansprechpartner im Konzern ansprechen, wie den General Counsel oder den Chief Compliance Officer. Mit gutem Verhandlungsgeschick sorgt der Konzerndatenschutzbeauftragte nun dafür, dass die Missstände behoben werden. 

Ist ein interner oder ein externeKonzerndatenschutzbeauftragter die bessere Wahl? 

Auf diese Frage gibt es keine pauschale Antwort – hier muss vielmehr die jeweilige Situation analysiert werden, um die beste individuelle Lösung zu finden. Grundsätzlich haben Sie diese drei Optionen: 

 

Bedeutung

Wichtigste Vorteile

Interne Lösung

Eigener Mitarbeiter als Konzerndatenschutzbeauftragter Permanente Präsenz vor Ort und gute Einbindung im Konzern

Externe Lösung

Dienstleister als Konzerndatenschutzbeauftragter Objektiver Blick von außen sowie große Expertise und Überblick über Gesamtmarkt

Hybrid-Lösung

Mischform, z.B. mit internem Konzerndatenschutzbeauftragten und Dienstleister als Stellvertreter Kombination der Vorteile von interner und externer Lösung

 

Zu beachten ist allerdings, dass noch nicht abschließend (gerichtlich) geklärt ist, ob eine Hybrid-Lösung datenschutzrechtlich zulässig ist. Manche Stimmen zweifeln hier an der Unabhängigkeit des Datenschutzbeauftragten bzw. warnen vor Interessenskonflikten. 

Fazit: Individuelle Lösungen sind gefragt 

Die Arbeit als Konzerndatenschutzbeauftragter ist anspruchsvoll und erfordert neben Datenschutz- und IT-Kenntnissen zahlreiche weitere Qualifikationen wie Verhandlungsgeschick und umfassende Sprachkenntnisse. Wie ein Konzern seinen Datenschutz organisieren sollte, hängt dabei von den individuellen Anforderungen ab. 

Hier stellt sich vor allem die Frage, ob externe Konzerndatenschutzbeauftragte oder Hybrid-Lösungen sich als Ergänzung zur klassischen internen Lösung etablieren werden. Auf jeden Fall bieten sie einige Vorteile, die sie künftig für viele Konzerne zu einer interessanten Alternative machen könnten.

 

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

 

Kostenloses Erstgespräch vereinbaren

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München