Einer für alle: der externe Konzerndatenschutzbeauftragte

Eine wichtige Rolle in Konzernen spielt der Konzerndatenschutzbeauftragte. Er behält über alle Unternehmensteile hinweg den Überblick über datenschutzrechtliche Herausforderungen.

Eine der Neuerungen der DSGVO für Konzerne und Unternehmensgruppen ist die Einführung eines sogenannten Konzerndatenschutzbeauftragten. Dieser ist in Art. 37 II DSGVO geregelt und es heißt es dort:

 „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“

Da die Übermittlung personenbezogener Daten innerhalb einer Gruppe von Unternehmen zum operativen Alltag gehört, kann ein gemeinsamer Konzerndatenschutzbeauftragter hier für Erleichterung sorgen. Er erstellt einheitliche datenschutzrechtliche Regeln und Konzepte und fungiert als zentraler Ansprechpartner für die gesamte Unternehmensgruppe. Der Begriff der Unternehmensgruppe ist definiert in Art. 4 Nr. 19 DSGVO als eine Gruppe von Unternehmen, in welcher es ein herrschendes Unternehmen und davon abhängige Unternehmen gibt.

Für alle leicht erreichbar

Als weitere Anforderung nennt die Norm eine leichte Erreichbarkeit des Konzerndatenschutzbeauftragten. Hierunter ist zu verstehen, dass alle Mitarbeiterinnen und Mitarbeiter, aber auch die lokalen Aufsichtsbehörden und die Betroffenen leicht mit ihm kommunizieren können. Gerade bei weltweit tätigen Konzernen, die Tochtergesellschaften oder Niederlassungen in vielen verschiedenen Ländern haben, können die verschiedenen Sprachen eine erhebliche Kommunikationsbarriere darstellen. Gleichwohl kann niemandem zugemutet werden, dass jemand neben der erforderlichen datenschutzrechtlichen Qualifikation jede Sprache jeder Niederlassung in jedem Land spricht. Hier ist der Rückgriff auf eine gängige Sprache, insbesondere Englisch, eine mögliche Lösung. Zudem kann der Konzern in einzelnen, besonders wichtigen oder datenschutzrechtlich kritischen Tochtergesellschaften einen Datenschutzkoordinator ernennen. Der übernimmt die Rolle als Bindeglied zwischen den lokalen Aufsichtsbehörden und dem Konzerndatenschutzbeauftragten.

Oft ist es jedoch schwer, eine geeignete und qualifizierte Person zu finden, die sowohl die notwendige (internationale) Qualifikation besitzt und gleichzeitig vertraut ist mit der Arbeitsweise in Konzernen. Hier kann gerade auch ein externer Konzerndatenschutzbeauftragter eine adäquate Lösung darstellen.

Was sind die Aufgaben eines Konzerndatenschutzbeauftragten?

Grundsätzlich orientieren sich die Aufgaben, die ein Konzerndatenschutzbeauftragter zu erfüllen hat, an den gleichen Anforderungen wie an jeden anderen Datenschutzbeauftragten, die in Art. 39 DSGVO normiert sind. Nämlich:

  • den Verantwortlichen hinsichtlich der Umsetzung der DSGVO im Konzern zu beraten und zu unterrichten
  • die Überwachung der Vorgaben der DSGVO innerhalb des Konzerns. Hierzu gehört ebenfalls die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter hinsichtlich der datenschutzrechtlichen Grundbegriffe und Erfordernisse, sowie deren Schulung
  • der Konzerndatenschutzbeauftragte berät hinsichtlich der Datenschutz-Folgenabschätzung
  • er oder sie arbeitet mit den Aufsichtsbehörden zusammen und ist deren erster Ansprechpartner

Ein externer Konzerndatenschutzbeauftragter hat üblicherweise Erfahrung mit verschiedenen Konzernen und war mit einer bestimmten datenschutzrechtlichen Fragestellung befasst, so dass er zügig eine Lösung auch für einen anderen Konzern adaptieren kann.

Zwei Herausforderungen beim Konzerndatenschutz

Der Unterschied zu einem Datenschutzbeauftragten, der lediglich für ein einzelnes Unternehmen zuständig ist, besteht in der Komplexität der (internationalen) Datenflüsse personenbezogener Daten und der organisationalen Aufstellung des Konzerns. So kommt es oft vor, dass es in einem Konzern keinen Ansprechpartner gibt, der einen Gesamtüberblick über einen bestimmten Prozess hat. Dies kann gerade bei der Erstellung des Verzeichnisses des Verarbeitungstätigkeiten relevant sein.

Eine weitere Herausforderung besteht darin, dass die DSGVO zwar EU-weit einheitlich gilt, es aber nationalstaatliche Spezifikationen und Unterschiede in den einzelnen Mitgliedsstaaten der EU gibt, die berücksichtigt werden müssen. Hierfür kann das Hinzuziehen von Fachleuten mit lokaler juristischer Expertise für Einzelfragen eine mögliche Lösung sein.

Zusammenfassung

Die Benennung eines Konzerndatenschutzbeauftragten kann eine erhebliche Erleichterung für den Konzern darstellen. Wichtig ist hierfür der Aufbau einer passenden Datenschutzorganisation innerhalb des Konzerns, die Unterstützung seitens der Unternehmensführung und ausreichende finanzielle und personelle Ressourcen. Gerade ein externer Konzerndatenschutzbeauftragter kann hier eine pragmatische, professionelle und zeitnahe Lösung sein, die oftmals günstiger ist, als eine eigene Datenschutzabteilung im Konzern aufzubauen.

Tags
  • DSGVO
  • Datenschutz
  • Datenschutzbeauftragter
  • Datenaustausch

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649