Praxiswissen Datenschutz Basics

12 Min

Konzerndatenschutzbeauftragte nach DSGVO: Aufgaben und Anforderungen

Dr. Frank Schemmel
Dr. Frank Schemmel

Seit die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten ist, müssen viele Unternehmen einen Datenschutzbeauftragten ernennen. Dabei ist es ausdrücklich erlaubt, eine einzelne Person als Datenschutzbeauftragten für eine ganze Unternehmensgruppe zu benennen. Ein solcher Konzerndatenschutzbeauftragter bietet zahlreiche Vorteile – es sind jedoch auch einige rechtliche und organisatorische Fragen zu beachten.

In diesem Artikel geben wir Ihnen einen detaillierten Überblick über Konzerndatenschutzbeauftragte. Von A wie Aufgaben über Q wie Qualifikationen bis Z wie zentraler Ansprechpartner – hier finden Sie die Antworten auf die wichtigsten Fragen.

Das Wichtigste in Kürze

  • Mit einem Konzerndatenschutzbeauftragten lassen sich in Konzernen leichter einheitliche Datenschutzstandards einführen und einhalten.
  • Datenschutzbeauftragte müssen leicht erreichbar sein und die Sprache ihres Einsatzlandes beherrschen.
  • Als Best Practice hat sich das Koordinationsmodell bewährt: Ein Konzerndatenschutzbeauftragter überwacht den Datenschutz für den Gesamtkonzern mithilfe von Koordinatoren in den einzelnen Ländern/Niederlassungen.
  • Der Konzerndatenschutzbeauftragte sollte einen zentralen Ansprechpartner haben, der sich im Konzern durchsetzen kann. Idealerweise ist das der Chief Compliance Officer oder der General Counsel.
  • Neben Datenschutz- und IT-Know-how benötigt ein Konzerndatenschutzbeauftragter auch Fremdsprachenkenntnisse, Verhandlungsgeschick sowie Führungs- und Konzernerfahrung.
  • Konzerndatenschutzbeauftragte koordinieren die Datenschutzabläufe des Konzerns und geben bei allen Themen, die den Gesamtkonzern betreffen, die Richtung vor.

 

In diesem Beitrag

 

Das könnte Sie auch interessieren

 

Welche Vorteile hat ein Konzerndatenschutzbeauftragter?

Einen Konzerndatenschutzbeauftragten zu benennen, hat mehrere Vorteile:

  • Eine Person hat den Überblick über alle datenschutzrechtlichen Fragen, die den Konzern als Ganzes betreffen.
  • Es gibt einen zentralen Ansprechpartner für Betroffene und Aufsichtsbehörden.
  • Mit einem Konzerndatenschutzbeauftragten ist es leichter, im Konzern einheitliche Datenschutzstandards einzuführen und einzuhalten.
  • Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sind leichter einzuhalten, wenn eine Person für den gesamten Konzern verantwortlich ist.
  • Einheitliche Standards reduzieren das Risiko von Verstößen gegen die DS-GVO – und damit auch das Risiko von Bußgeldzahlungen.

 

Wer kann laut DS-GVO einen Konzerndatenschutzbeauftragten ernennen?

Laut Art. 37 (2) der DS-GVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten benennen. Dieser wird üblicherweise als Konzerndatenschutzbeauftragter bezeichnet. Als Unternehmensgruppe gilt dabei laut Art. 4 Nr. 19 der DSGVO „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

 

Welche Voraussetzungen müssen aus rechtlicher Sicht erfüllt sein, um einen Konzerndatenschutzbeauftragten zu benennen?

Im Vergleich zu anderen Datenschutzbeauftragten ist bei Konzernen rechtlich eine weitere Voraussetzung zu erfüllen: Laut DS-GVO muss jede Niederlassung des Konzerns den Konzerndatenschutzbeauftragten leicht erreichen können. Diese Anforderung ist in Art. 37 (2) der DS-GVO festgeschrieben.

 

Was bedeutet es, dass der Konzerndatenschutzbeauftragte leicht erreichbar sein muss?

Der Konzerndatenschutzbeauftragte muss für folgende Personen und Institutionen gut und zeitnah zu erreichen sein:

  • Betroffene, um deren Daten es geht
  • Konzern-Niederlassungen und
  • Aufsichtsbehörden

Um diese Erreichbarkeit praktisch sicherzustellen, ist es sinnvoll, ein Datenschutzteam aufzubauen. Andernfalls wird es schnell problematisch, wenn z. B. zehn Aufsichtsbehörden gleichzeitig anrufen, nachdem Datenschutzverstöße bekannt geworden sind.

Ein wesentlicher Faktor ist außerdem die Sprache. Denn für die meisten Aufsichtsbehörden ist man nur dann wirklich erreichbar, wenn man auch die jeweilige Landessprache beherrscht. Englisch allein reicht also nicht. Daher ist es sinnvoll, zusätzlich zum zentralen Konzerndatenschutzbeauftragten auch in jedem Land einen lokalen Ansprechpartner, entweder als Datenschutzbeauftragten, oder lediglich als Koordinator zu haben.

 

Welche Organisationsformen gibt es für die Arbeit des Konzerndatenschutzbeauftragten?

Grundsätzlich gibt es zwei verschiedene Möglichkeiten, den Datenschutz im Konzern zu organisieren:

  • Einheitsmodell: Ein einziger Datenschutzbeauftragter ist für mehrere oder sogar alle Konzernunternehmen verantwortlich.
  • Koordinationsmodell: Ein Konzerndatenschutzbeauftragter überwacht den Datenschutz für den Gesamtkonzern. Für den Datenschutz in den einzelnen Konzerngesellschaften, Ländern oder Unternehmenssparten sind sogenannte Koordinatoren zuständig.

Das Koordinationsmodell hat in den letzten Jahren das Einheitsmodell als Best Practice abgelöst. Denn es bietet unter anderem diese Vorteile:

  • Der Konzerndatenschutzbeauftragte kann sich auf den Konzern konzentrieren und muss nicht den Überblick über alle Detailfragen bei den Tochterunternehmen behalten.
  • Lokale Expertise der Koordinatoren deckt die unterschiedlichen Anforderungen an unterschiedlichen Standorten ab.
  • Die Erreichbarkeit ist leichter zu gewährleisten, da der Konzerndatenschutzbeauftragte nicht die Sprachen aller Länder beherrschen muss, in denen der Konzern präsent ist.

Alle Details zum Einheits- und zum Koordinationsmodell finden Sie im Artikel Datenschutz im Konzern.

Eine Übersicht über die allgemeinen Aufgaben eines Datenschutzbeauftragten finden Sie hier.

 

Welche organisatorischen Fragen sind außerdem zu beachten?

Es ist äußerst wichtig klar zu definieren, wer im Team welche Aufgaben hat und wer wofür verantwortlich ist. Dies ist insbesondere dann der Fall, wenn Koordinatoren selbst als lokaler Datenschutzbeauftragter benannt sind. Denn aufgrund der Unabhängigkeit der Rolle des Datenschutzbeauftragten kann einem solchen lokalen Datenschutzbeauftragten keine Weisung hinsichtlich der Behandlung von Einzelfallthemen erteilt werden. Nichtsdestotrotz kann der Konzerndatenschutzbeauftragte den allgemeinen Rahmen vorgeben, in dessen Grenzen lokale Koordinatoren Entscheidungen in ihrem Ermessen treffen.

Damit der Konzerndatenschutzbeauftragte effizient arbeiten kann, sollte er außerdem einen Hauptansprechpartner haben, der im Konzern auch etwas zu sagen hat. Idealerweise ist es der General Counsel oder der Chief Compliance Officer (CCO), da es in deren Wirkungsbereichen die größten Berührungspunkte mit dem Thema Datenschutz gibt.

 

Welche Qualifikationen benötigt ein Konzerndatenschutzbeauftragter?

Für die effektive Arbeit in einem deutschen Konzern sollte ein Konzerndatenschutzbeauftragter mindestens diese Qualifikationen mitbringen:

  • Sehr gute Kenntnisse der DS-GVO und sonstiger geltender Datenschutzvorschriften wie BDSG, TMG oder TKG
  • Verständnis für die IT-Aspekte des Datenschutzes
  • Beherrschen von Deutsch, Englisch sowie idealerweise auch einer dritten Sprache. Grundkenntnisse einer weiteren für den Konzern relevanten Sprache können die Arbeit erleichtern.
  • Verhandlungsgeschick und Erfahrungen im Konfliktmanagement um zwischen allen relevanten Stake- und Shareholdern vermitteln zu können
  • Führungserfahrung, um sein Team und die Koordinatoren erfolgreich leiten zu können
  • Konzernerfahrung – denn Konzerne funktionieren anders als andere Unternehmen.

 

Welche allgemeinen Aufgaben hat ein Datenschutzbeauftragter?

Die DSGVO unterscheidet in Art. 39 bei den Aufgaben eines Datenschutzbeauftragten nicht zwischen Konzernen und anderen Unternehmen. Konzerndatenschutzbeauftragte haben also aus rechtlicher Sicht die gleichen Aufgaben wie ihre Kollegen, die nicht in einer Unternehmensgruppe arbeiten.

Die wesentlichen Aufgaben von Datenschutzbeauftragten sind:

    • Datenschutz organisieren und überwachen
    • Sicherstellen, dass die Unternehmensgruppe die Datenschutzgesetze einhält
    • Mitarbeiter und gegebenenfalls externe Dienstleister über ihre Pflichten bei der Datenverarbeitung aufklären
    • Als Ansprechpartner für Aufsichtsbehörden und Betroffene fungieren
    • Unternehmensführung bei Verstößen gegen die Datenschutzvorschriften beraten und Gegenmaßnahmen vorschlagen
    • Regelmäßig Fortbildungen besuchen, um diese Aufgaben erfüllen zu können und stets auf dem aktuellsten Stand zu sein

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Sprechen Sie uns an

 

Welche zusätzlichen Aufgaben hat ein Konzerndatenschutzbeauftragter?

Konzerndatenschutzbeauftragte haben zusätzlich unter anderem die folgenden Aufgaben und Herausforderungen zu bewältigen:

  • Konzernweite Abläufe koordinieren
  • Konflikte zwischen Datenschutzvorschriften unterschiedlicher Länder lösen, wenn sich diese widersprechen
  • Richtung bei allen Datenschutzthemen vorgeben, die den gesamten Konzern betreffen, wie z.B. beim Start einer neuen, länderübergreifenden App

 

Wie sieht die praktische Arbeit eines Konzerndatenschutzbeauftragten aus, wenn ein Datenschutzproblem auftritt?

Hält sich beispielsweise eine Konzerngesellschaft in einem anderen Land nicht an interne oder externe Datenschutzregeln, wird der Konzerndatenschutzbeauftragte aktiv. Er kann dabei allerdings nicht dem dortigen CEO vorschreiben, was er zu tun hat. Stattdessen lautet seine Hauptaufgabe: Kommunikation.

Er kann jetzt bei der Konzerntochter neben dem CEO auch den ggf. benannten lokalen Datenschutzbeauftragten bzw. Koordinator und die Rechtsabteilung kontaktieren. Außerdem kann er seinen Hauptansprechpartner im Konzern ansprechen, wie den General Counsel oder den Chief Compliance Officer. Mit gutem Verhandlungsgeschick sorgt der Konzerndatenschutzbeauftragte nun dafür, dass die Missstände behoben werden.

 

Ist ein interner oder ein externer Konzerndatenschutzbeauftragter die bessere Wahl?

Auf diese Frage gibt es keine pauschale Antwort – hier muss vielmehr die jeweilige Situation analysiert werden, um die beste individuelle Lösung zu finden. Grundsätzlich haben Sie diese drei Optionen:

 

Bedeutung

Wichtigste Vorteile

Interne Lösung

 Eigener Mitarbeiter als Konzerndatenschutzbeauftragter Permanente Präsenz vor Ort und gute Einbindung im Konzern

Externe Lösung

 Dienstleister als Konzerndatenschutzbeauftragter Objektiver Blick von außen sowie große Expertise und Überblick über Gesamtmarkt

Hybrid-Lösung

 Mischform, z.B. mit internem Konzerndatenschutzbeauftragten und Dienstleister als Stellvertreter Kombination der Vorteile von interner und externer Lösung

Zu beachten ist allerdings, dass noch nicht abschließend (gerichtlich) geklärt ist, ob eine Hybrid-Lösung datenschutzrechtlich zulässig ist. Manche Stimmen zweifeln hier an der Unabhängigkeit des Datenschutzbeauftragten bzw. warnen vor Interessenskonflikten.

 

Fazit: Individuelle Lösungen sind gefragt

Die Arbeit als Konzerndatenschutzbeauftragter ist anspruchsvoll und erfordert neben Datenschutz- und IT-Kenntnissen zahlreiche weitere Qualifikationen wie Verhandlungsgeschick und umfassende Sprachkenntnisse. Wie ein Konzern seinen Datenschutz organisieren sollte, hängt dabei von den individuellen Anforderungen ab.

Hier stellt sich vor allem die Frage, ob externe Konzerndatenschutzbeauftragte oder Hybrid-Lösungen sich als Ergänzung zur klassischen internen Lösung etablieren werden. Auf jeden Fall bieten sie einige Vorteile, die sie künftig für viele Konzerne zu einer interessanten Alternative machen könnten.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Sprechen Sie uns an

 

 
Veröffentlicht am Aktualisiert am
Tags Praxiswissen Datenschutz Basics

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Was ist Big Data Analytics?
Informationssicherheit

6 Min

Was ist Big Data Analytics?

Big Data Analytics bietet z.B. verbesserte Entscheidungsfindung und Kundenerfahrung. Erfahren Sie, wie Techniken wie maschinelles Lernen genutzt werden.

Weiterlesen
American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann
Informationssicherheit

3 Min

American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann

Der US-Kongress hat einen Entwurf für neue US-Datenschutzgesetze vorgelegt. Hier erfahren Sie, was der American Privacy Rights Act (APRA) für Ihr Unternehmen bedeuten könnte.

Weiterlesen
Was ist eine ITIL-Zertifizierung?
Informationssicherheit

6 Min

Was ist eine ITIL-Zertifizierung?

Entdecken Sie die Vorteile der ITIL-Zertifizierung: Steigern Sie Ihr Verdienstpotenzial und verbessern Sie Ihre IT-Services.

Weiterlesen
Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen
Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren