Der Datenschutz hat im Konzern als Compliance Thema seit dem Inkrafttreten der DSGVO stark an Bedeutung gewonnen. Diese wartet nicht nur mit zusätzlichen Regelungen auf, sondern auch mit ein paar Erleichterungen für Unternehmensgruppen. Eine davon ist die Bestellung eines Konzerndatenschutzbeauftragten für alle Konzernunternehmen. Dieser Beitrag soll einen kompakten Überblick über Anforderungen und Praxisprobleme bei der Benennung eines Konzerndatenschutzbeauftragten geben.
Der Inhalt im Überblick
- Datenschutz im Konzern
- Gibt es ein Konzernprivileg in der DSGVO?
- Benennung eines Konzerndatenschutzbeauftragten
- Aufgaben des Konzerndatenschutzbeauftragten
- Konzerndatenschutzbeauftragter – Anforderungen an die Erreichbarkeit
- Praktische Probleme
- Zentrale Datenschutzorganisation für Konzerne
- Die Bestellung eines Konzerndatenschutzbeauftragten hat Vor- und Nachteile
Datenschutz im Konzern
Im Datenschutz fällt ein Konzern in der Regel unter die Definition der Unternehmensgruppe nach Art. 4 Nr. 19 DSGVO. Diese ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Der EG 37 konkretisiert weiter, dass das Merkmal der beherrschende Stellung weit zu verstehen ist. Eine solche kann sich aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung, der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, ergeben. Somit dürfte in Deutschland ein Konzern nach § 18 AktG auch immer als Unternehmensgruppe im Datenschutz gelten. Daraus ergibt sich für diesen ein paar besondere rechtliche Folgen.
Gibt es ein Konzernprivileg in der DSGVO?
Unter dem Konzernprivileg versteht man rechtliche Privilegien, die dem Konzern durch den Zusammenschluss der Unternehmen zu einer rechtlichen und wirtschaftlichen Einheit zukommen. Solche wurden auch während den Verhandlungen zur DSGVO diskutiert. Der Parlamentsentwurf der Verordnung sah ein Konzernprivileg noch ausdrücklich vor. In der DSGVO findet sich dies nicht mehr. Stattdessen findet sich im Erwägungsgrund 48 nur noch ein kleines Konzernprivileg, das den Interessen einer Unternehmensgruppe Rechnung trägt. Dazu heißt es in Satz 1:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“
Zunächst fällt auf, dass der Erwägungsgrund von einzelnen Verantwortlichen spricht. Trotz der beherrschenden Stellung der Konzernmutter, ordnet der Gesetzgeber die jeweiligen Konzernunternehmen also nach Art. 4 Abs. 7 DSGVO grundsätzlich als Verantwortlicher für ihre Datenverarbeitung ein. Die Konzernunternehmen sind im Verhältnis zueinander daher datenschutzrechtlich als Dritte anzusehen. Für eine Datenweitergabe bedarf es daher weiterhin einer Rechtsgrundlage. Der EG 48 normiert dabei ein anerkannten Interesse von Unternehmensgruppen am internen Datenaustausch zwecks Verwaltungsoptimierung, welches im Rahmen der Interessenabwägungen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO geltend gemacht werden kann. In der Praxis sorgt dieses kleine Konzernprivileg jedoch kaum für Erleichterungen.
Denn es muss weiterhin vor jeder Datenübertragung im Konzern geprüft werden, ob eine Auftragsverarbeitung oder eine Gemeinsame Verantwortlichkeit vorliegt. Zudem werden zu Verwaltungszwecken oft auch besondere Kategorien personenbezogener Daten übertragen, welche nach Art. 9 DSGVO nicht aufgrund einer Interessenabwägung übertragen werden können. Daneben bleiben auch die strengen Vorschriften der Art. 44 ff. DSGVO für den internationalen Datentransfer, nach denen beim auch beim Empfänger im Konzernverbund im Drittland ein angemessenes Datenschutzniveau bestehen muss, gem. EG 48 S. 2 vom kleinen Konzernprivileg unberührt.
Benennung eines Konzerndatenschutzbeauftragten
Wenn die Kerntätigkeit nach Art. 37 DSGVO besonders risikoreiche Datenverarbeitungen umfasst oder nationale Vorschriften wie § 38 BDSG es vorschreiben, sind Verantwortliche verpflichtet einen Datenschutzbeauftragten zu benennen. Hier findet sich in Art. 37 Abs. 2 DSGVO eine weitere besondere Regelung für Konzerne. Demnach kann eine Gruppe von Unternehmen einen gemeinsamen Datenschutzbeauftragten für alle Unternehmen benennen.
Von der Benennung zu unterscheiden, ist die Mitteilung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO. Diese erfolgt nicht nur gegenüber der für den Konzern federführenden Aufsichtsbehörde, sondern muss weiterhin von jedem Konzernunternehmen gegenüber ihrer zuständigen Aufsichtsbehörde erfolgen. Für ein entsprechendes Versäumnis verhängte z.B. der HmbBfDI gegen Facebook Germany GmbH ein Bußgeld in Höhe von 51.000 € (Tätigkeitsbericht 2019, S. 105).
Aufgaben des Konzerndatenschutzbeauftragten
Die Aufgaben des Konzerndatenschutzbeauftragten orientieren sich grundsätzlich an Art 39 DSGVO. Diese sind insbesondere:
- Überwachung der Einhaltung der DSGVO im Konzern,
- Unterrichtung und Beratung des Verantwortlichen sowie Aufklärung der Mitarbeiter der gesamten Unternehmensgruppe,
- Kommunikation mit der Aufsichtsbehörde.
Konzerndatenschutzbeauftragter – Anforderungen an die Erreichbarkeit
Der Art. 37 Abs. 2 DSGVO schreibt vor, dass sichergestellt werden muss, dass der Konzerndatenschutzbeauftragten von jeder Niederlassung der Unternehmensgruppe leicht erreichbar ist. Hierfür reicht es nicht aus, dass die Kontaktdaten der Aufsichtsbehörde zur Verfügung stehen. Vielmehr soll der Konzerndatenschutzbeauftragte in der Lage sein, mit den Mitarbeitern, den Betroffenen und den Aufsichtsbehörden vor Ort zu kommunizieren.
Räumlicher Faktor
Wichtig ist, dass der Datenschutzbeauftragte auch persönlich erreichbar ist. Dabei ist jedoch davon auszugehen, dass der Kontakt über Fernkommunikationsmittel hierfür ausreicht (so die Art. 29-Datenschutzgruppe).
Zeitlicher Faktor
Hier steht eine kurzfristige Erreichbarkeit des Datenschutzbeauftragten trotz Verantwortlichkeit für den ganzen Konzern im Fokus. Neben seiner generellen Überwachungs- und Kontrolltätigkeit sollte der Konzerndatenschutzbeauftragte auch genug Zeit haben, um etwaige Betroffenen-, Mitarbeiter oder Behördenanfragen in einzelnen Niederlassungen zeitnah bearbeiten zu können.
Sprachlicher Faktor
Bei einem Konzern mit vielen Niederlassung in unterschiedlichen Ländern kann wohl nicht gefordert werden, dass der Konzerndatenschutzbeauftragte jede Sprache spricht. Es kann aber gefordert werden, dass er gängigen Fremdsprachen wie z.B. Englisch, Französisch oder Spanisch mächtig ist und mithilfe von lokalen Hilfspersonen die datenschutzrechtlichen Belange der einzelnen Niederlassungen, für die er bestellt ist, bearbeiten kann.
Praktische Probleme
Neben dem Punkt der Erreichbarkeit muss bei der Auswahl eines Konzerndatenschutzbeauftragten natürlich auch gem. Art. 37 Abs. 5 DSGVO auf sein Fachwissen und seine Fähigkeiten geachtet werden.
Zudem ist die Möglichkeit, einen gemeinsamen Konzerndatenschutzbeauftragten zu benennen, optional („darf“). Als eigener Verantwortlicher iSd. Art. 4 Nr. 4 DSGVO darf ein Konzernmitglied daher wohl nicht dazu gezwungen werden, diesen zu benennen, sondern behält die Möglichkeit, selbstständig einen eigenen Datenschutzbeauftragten benennen.
Zentrale Datenschutzorganisation für Konzerne
Eine zentrale Datenschutzorganisation für Konzerne an deren Kopf ein Konzerndatenschutzbeauftragter steht, hat viele Vorteile haben. Durch die zentrale Organisation kann die Etablierung eines gleichmäßigen Datenschutzniveaus in der Unternehmergruppe erreicht werden. Zudem erleichtert eine Zentralisierung die Durchführung von konzernweiten Datenverarbeitungen. Aufgrund der angesprochenen Probleme haben sich bei der Datenschutzorganisation im Konzern folgende zwei Modelle durchgesetzt.
Das Einheitsmodell
Nach dem Einheitsmodell hat ein und dieselbe Person die Funktion des Datenschutzbeauftragten für mehrere oder sämtliche Konzernunternehmen inne. Hierbei hat jede Konzerntochter diese Person ordnungsgemäß als Konzerndatenschutzbeauftragten benannt. Je größer der Konzern ist, desto mehr Ressourcen und Mitarbeiter benötigt der Konzerndatenschutzbeauftragte im Einheitsmodell. In den einzelnen Unternehmensmitglieder werden unter Umständen Datenschutzkoordinatoren zu Unterstützung des Konzerndatenschutzbeauftragten bestellt.
Das Koordinationsmodell
Als Alternative zum Einheitsmodell gilt das Koordinationsmodell. Hier wird für jedes Unternehmen der Gruppe ein Datenschutzbeauftragter benannt, der die täglichen Aufgaben im Konzernunternehmen bearbeitet, wobei dann aber die konzernweite Organisation insbesondere das Datenschutzmanagementsystem durch einen Konzerndatenschutzbeauftragten gelenkt wird.
Abschließend soll noch ein Blick auf die Beziehung zwischen den Konzerndatenschutzbeauftragten und den Datenschutzbeauftragten im Koordinationsmodell geworfen werden. Es könnte kritisiert werden, dass im Koordinationsmodell die Unabhängigkeit der einzelnen Datenschutzbeauftragten gefährdet sein könnte. Hierzu ist aber zu sagen, dass der Konzerndatenschutzbeauftragte im Koordinationsmodell, die Datenschutzorganisation nur organisieren und nicht den einzelnen Datenschutzbeauftragten der Gruppenunternehmen Weisungen geben soll. Dies kann bspw. durch eine sorgfältige Aufgabenzuweisung und -abgrenzung im Rahmen seiner Benennung sichergestellt werden.
Die Bestellung eines Konzerndatenschutzbeauftragten hat Vor- und Nachteile
Sicherlich kann ein Konzerndatenschutzbeauftragter einen Konzern zentral und einheitlich datenschutzrechtlich beraten. Allerdings sollte man vorher die organisatorischen und individuellen rechtlichen Hürden prüfen und den Aufwand den Vorteilen gegenüberstellen. Denn auch wenn die Benennung eines Konzerndatenschutzbeauftragten für einen Konzern viele Vorteile hat, muss man sich vor Augen halten, dass der Aufbau einer einheitlichen Datenschutzorganisation im Konzern langwierig und entsprechend kostspielig ist. Der Konzerndatenschutzbeauftragte kann diese Aufgabe nur mit der richtigen finanziellen und personellen Ausstattung sowie dem Rückhalt der Konzernführung meistern.
Hallo,
den Artikel finde ich sehr interessant! Ich frage mich nur: Kann man fordern, dass der Konzerndatenschutzbeauftragte auch der deutschen Sprache mächtig ist? Wir sind ein internationales Unternehmen und haben einen europäischen Konzern mit 5 von 15 Standorten in der BRD.
Für eine Antwort wäre ich Ihnen sehr verbunden!
Letzten Endes wird es in einem internationalen Konzern üblich sein, dass das Personal der englischen Sprache mächtig ist. Ob der Konzerndatenschutzbeauftragte auch eine andere Sprache beherrschen muss, ist vom Einzelfall abhängig. Die Sprache soll ein Mittel sein, dass dazu führt, dass der Konzerndatenschutzbeauftragte von allen Mitarbeitern der Konzernunternehmen leicht erreichbar ist. In Ihrem Fall könnte die Tatsache, dass 5 von 15 Standorten in der BRD sind und somit ein beträchtlicher Teil der Angestellten innerhalb des Konzerns Deutsch sprechen, ein Argument dafür sein, dass es für die leichte Erreichbarkeit notwendig ist, dass der Konzerndatenschutzbeauftragten deutsch spricht.
Hallo, Ich hab auch nach einer Antwort darauf gesucht und bin hier fündig geworden:
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/Inhalt/FAQ_zum_Datenschutzbeauftragten/FAQ_ein_Dokument.pdf – Seite 7:
„Dem Datenschutzbeauftragten muss eine Kommunikation in der Sprache möglich
sein, welche für die Korrespondenz mit Aufsichtsbehörden und Betroffenen
notwendig ist (sprachliche Erreichbarkeit).“
Hi, dem entnehme ich noch nicht, dass der DSB zwingend die Sprache beherrschen muss.
Interessanter Artikel. Wie stellt sich das ganze aber in praktischer Hinsicht dar, wenn bspw. der Datenschutzbeauftragte im EU Ausland sitzt und man in der EU nur Zweigniederlassungen hat? Wegen der Niederlassungen greift ja auch der EU Ansprechpartner nicht. Ich ware für einen Hinweis dankbar. Weiter so!
Auch hier müsste die DSGVO über Art. 3 Abs. 2 lit.a DSGVO einschlägig sein und so auch die Regelungen für den Konzerndatenschutzbeauftragten greifen, obwohl in der EU nun Zweigniederlassungen existieren. Alternativ Könnte man die Stellung des Konzerndatenschutzbeauftragten und seiner Erreichbarkeit in der Datenschutzrichtlinie des Unternehmens regeln.
Wir haben den ursprünglichen Beitrag Konzerndatenschutzbeauftragter – Aufgaben und Anforderungen nach der DSGVO umfassend überarbeitet und in diesem Zuge neu veröffentlicht. Einige Kommentare können sich daher noch auf den alten Beitrag beziehen.
Kleiner Typo, kann aber gewaltige Diskussionen auslösen ;) -> nicht: „Einhaltung und Überwachung der DSGVO im Konzern“ sondern: „Überwachung der Einhaltung der DSGVO im Konzern“ (vgl. Art. 39 (1) b)
Vielen Dank für den Hinweis. Wir haben den Typo korrigiert.
Gibt es schon ein Gerichtsurteil, das den Begriff „leicht erreichbar“ konkretisiert? Oder eine Aussage von einer kompetenten Stelle, auf die man sich beziehen kann?
Sind wir Ihnen nicht kompetent genug? ;)
Unserem Wissen nach gibt es zur Auslegung der Erreichbarkeit beim Konzern DSB noch keine Urteile. Von den Aufsichtsbehörden gibt es das oben verlinkte Working Paper 243 (S. 12 f.), dessen Ausführungen dann auch die deutschen Behörden mehr oder weniger ausgiebig in ihren Veröffentlichungen wiederholen, etwa im Kurzpapier Nr. 12 der DSK, im FAQ der LDI NRW oder im Arbeitspapier des Hessischen Datenschutzbeauftragten.
In der juristischen Kommentarliteratur ist eigentlich auch nur die räumliche Erreichbarkeit wirklich umstritten. Bergt schreibt dazu im Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Rn. 28:
“Die räumliche Komponente erfordert, dass ein persönliches Treffen mit dem Datenschutzbeauftragten mit geringem Aufwand möglich ist; die Art.-29-Datenschutzgruppe dagegen sieht die Möglichkeit eines persönlichen Treffens nur als eine Option und akzeptiert auch eine Hotline oder eine andere sichere Kommunikationsmöglichkeit. Das Gesetz stellt allerdings darauf ab, dass „von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann“, betont also gerade die räumliche Komponente. Eine leichte Erreichbarkeit mit Fernkommunikationsmitteln ist somit offensichtlich nicht gemeint, weil diese ohnehin an nahezu jedem Ort der Erde gegeben ist. Der schlichte Verweis auf die Verpflichtung, für die leichte Erreichbarkeit die Kontaktdaten des Datenschutzbeauftragten entsprechend Abs. 7 zu veröffentlichen ignoriert den Wortlaut des Gesetzes.“
Danke für den tollen Artikel! Eine Frage habe ich allerdings noch: Wie ist es, wenn in einem Tochterunternehmen bereits ein Datenschutzbeauftragter besteht und dieser durch den Konzerndatenschutzbeauftragten ersetzt werden soll? Der Datenschutzbeauftragte genießt doch einen besonderen Kündigungsschutz. Dies betrifft mich aktuell. Wie kann man sich dagegen am besten wehren?
Die DSGVO sagt lediglich, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
Der deutsche Gesetzgeber hat dies um eine nationale Regelung ergänzt, die auf § 626 BGB verweist. Eine Abberufung wäre demnach nur aus wichtigem Grund möglich. Derzeit ist die Europarechtskonformität dieser Regelung umstritten.
Zu einem ähnlich gelagerten Fall hat das BAG bereits vor DSGVO entschieden:
BAG, Urt. v. 23. 3. 2011 – 10 AZR 562/09, Rn. 22.
Vielen Dank für die Informationen. Nutzen mehrere Tochterunternehmen eines Konzerns den selben Datenschutzbeauftragten, welcher bei einer der Töchter angestellt ist, müsste dieser, solange er nicht zum Konzerndatenschutzbeauftragter berufen wurde und bisher für jedes Unternehmen einzeln als betrieblicher DSB berufen wurde, nicht auch bei all diesen Tochterunternehmen direkt angestellt sein um ein betrieblicher DSB zu sein? Oder ist er quasi für alle anderen Tochterunternehmen bei denen er nicht direkt vertraglich angestellt ist als externer DSB zu sehen?
In Ihrem Beispielsfall sind zwei Rechtsverhältnisse zu unterscheiden. Das eine ist die Benennung zum Datenschutzbeauftragten, das dessen Amtsverhältnis begründet und die gesetzlichen Rechtsfolgen des § 38 BDSG sowie der Art. 37 ff. DSGVO auslöst. Einzige gesetzliche Verpflichtung dabei ist, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen.
Das andere ist das schuldrechtliche Vertragsverhältnis zwischen dem Datenschutzbeauftragten und den Unternehmen. Bei der Benennung eines Angestellten des Verantwortlichen liegt regelmäßig ein Arbeits- bzw. Dienstverhältnis mit einem der Konzernunternehmen zugrunde, das dann evtl. entsprechend auf den neuen Aufgabenbereich abgeändert werden muss. Für die anderen Konzernunternehmen wird der Angestellte wohl oftmals als externer Datenschutzbeauftragter aufgrund eines Geschäftsbesorgungsvertrag tätig werden. Dabei sollte auch immer die Frage der Haftungsverteilung bedacht werden.
Vielen Dank für für Ihre Antwort.