Zum Inhalt springen Zur Navigation springen
Konzerndatenschutzbeauftragter & Konzerndatenschutz

Konzerndatenschutzbeauftragter & Konzerndatenschutz

Der Konzerndatenschutz bringt aufgrund seiner Komplexität besondere Herausforderungen mit sich, insbesondere da die DSGVO zusätzliche Regelungen aufstellt. Dennoch bietet die DSGVO Konzernen eine Erleichterung: Es genügt, eine Person als Konzerndatenschutzbeauftragter zu benennen. In diesem Beitrag erklären wir, welche Anforderungen und Besonderheiten dabei bestehen und worauf sonst noch zu achten ist.

Konzerndatenschutz: Datenverarbeitungen oft komplex

In einem Konzern werden häufig große Mengen personenbezogener Daten aus verschiedenen Quellen verarbeitet, wie z.B. Kundendaten oder Beschäftigtendaten. Jedes verbundene Unternehmen kann dabei eigene IT-Systeme und Datenplattformen betreiben oder parallel ein zentrales Rechenzentrum nutzen. Der Austausch von Daten ist in einem Konzern oft alltäglich und selbstverständlich.

Kein Konzernprivileg in der DSGVO

Die DSGVO sieht – wie schon das alte Bundesdatenschutzgesetz — kein „Konzernprivileg“ vor. Jede Konzerngesellschaft wird als eigenständige Einheit betrachtet, ähnlich einem externen Dritten. Die Übermittlung personenbezogener Daten zwischen verschiedenen Konzerngesellschaften ist somit nicht mit der Datenübermittlung innerhalb eines Unternehmens vergleichbar. Das bedeutet, dass für jede Verarbeitung und Übermittlung personenbezogener Daten innerhalb eines Konzerns eine Rechtsgrundlage erforderlich ist.

Ein sogenanntes „kleines Konzernprivileg“ existiert jedoch gem. ErwG. 48 DSGVO. Dieses erlaubt den Austausch personenbezogener Daten zwischen Gruppenunternehmen, sofern dies internen Verwaltungszwecken dient. Rechtsgrundlage ist hier das berechtigte Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO. Wichtig ist dabei, dass es sich wirklich nur um interne, verwaltungsbezogene Zwecke handelt, wie z.B. ein zentrales Sekretariat, eine zentralisierte Personalverwaltung oder ein konzernübergreifendes Kommunikationsverzeichnis (CRM).

Globale Gesetzeskonflikte

Noch komplexer wird es, wenn Konzerne international tätig sind. Unternehmen, die in mehreren Ländern agieren, müssen sicherstellen, dass sie in jedem Land, in dem sie tätig sind, die geltenden Datenschutzvorschriften einhalten. In Europa gilt z.B. die Datenschutz-Grundverordnung (DSGVO), in China das Personal Information Protection Law (PIPL) und in Kalifornien der California Consumer Privacy Act (CCPA).

Dies erhöht die Komplexität bei der Integration und Koordination der verschiedenen Geschäftsbereiche und Tochtergesellschaften erheblich. Je mehr personenbezogene Daten verarbeitet werden, desto höher das Risiko für unzureichend organisierte Prozesse.

Konzerndatenschutzbeauftragter – Benennung

Wenn die Kerntätigkeit eines Unternehmens nach Art. 37 DSGVO besonders risikoreiche Datenverarbeitungen umfasst oder nationale Vorschriften wie § 38 BDSG es vorschreiben, ist ein Datenschutzbeauftragter gesetzlich verpflichtend zu benennen.

Der Art. 37 Abs. 2 der DSGVO erlaubt einer Unternehmensgruppe, einen gemeinsamen Datenschutzbeauftragten (Konzern-DSB) zu benennen, der die Aufgaben des Datenschutzbeauftragten für jedes der Unternehmen der Gruppe wahrnimmt.

„Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“

Damit muss nicht jedes Gruppenunternehmen einen eigenen Datenschutzbeauftragten haben. Ein Konzern-DSB kann den Unternehmen des Konzerns somit viel Arbeit im Bereich Datenschutz abnehmen.

Konzerndatenschutzbeauftragter: Wer kann diesen laut DSGVO benennen?

Ein Konzern fällt in der Regel unter die Definition der Unternehmensgruppe nach Art. 4 Nr. 19 DSGVO:

„eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

Der ErwG. 37 DSGVO konkretisiert, dass das Merkmal der beherrschenden Stellung weit zu verstehen ist. Dies kann sich aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung, der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, ergeben. In Deutschland gilt somit ein Konzern nach § 18 AktG als Unternehmensgruppe im datenschutzrechtlichen Sinne.

Welche Vorteile hat ein Konzerndatenschutzbeauftragter?

Ein Konzerndatenschutzbeauftragter, der die Datenschutzorganisation zentral leitet, bietet viele Vorteile. Eine einheitliche Struktur ermöglicht die Etablierung eines einheitlichen Datenschutzniveaus in der gesamten Unternehmensgruppe und erleichtert konzernweite Datenverarbeitungen. Ein Konzern-DSB behält den Überblick über alle datenschutzrechtlichen Fragen und dient als zentraler Ansprechpartner für Betroffene und Aufsichtsbehörden. Einheitliche Standards verhindern Konflikte zwischen einzelnen Datenschutzbeauftragten und reduzieren das Risiko von DSGVO-Verstößen und Bußgeldern.

Trotz dieser Vorteile kann der Aufbau einer zentralen Datenschutzorganisation zeitaufwändig und kostenintensiv sein. Die Anforderungen an die Benennung eines Konzerndatenschutzbeauftragten sind komplex und in der Praxis nicht leicht umzusetzen.

Mitteilung der Benennung an die Datenschutzaufsichtsbehörden

Von der Benennung zu unterscheiden, ist die Mitteilung der Kontaktdaten Datenschutzbeauftragten an die Aufsichtsbehörde nach Art. 37 Abs. 7 DSGVO. Jedes einzelne Konzernunternehmen, das für Datenverarbeitungen verantwortlich ist, muss den Konzern-DSB bei der zuständigen Aufsichtsbehörde melden. Eine zentrale Mitteilung durch das herrschende Unternehmen an dessen Aufsichtsbehörde entbindet die anderen Konzerngesellschaften nicht von dieser Verpflichtung.

Ein Beispiel für ein Versäumnis: Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld in Höhe von 51.000 € gegen die Facebook Germany GmbH. Das in Irland ansässige Datenschutzteam der Hauptniederlassung ist zwar als Konzern-DSB für alle europäischen Töchterunternehmen bei der irischen Datenschutzbehörde erfolgreich benannt worden; man hatte dies aber nicht der Hamburger Behörde mitgeteilt.

Konzerndatenschutzbeauftragter – Anforderungen

Sollte ein Konzerndatenschutzbeauftragter benannt worden sein, muss dieser gewisse Anforderungen erfüllen.

Leichte Erreichbarkeit des Konzerndatenschutzbeauftragten

Im Vergleich zu anderen Datenschutzbeauftragten ist bei Konzernen rechtlich eine weitere Voraussetzung zu erfüllen: Der Konzerndatenschutzbeauftragte muss für Aufsichtsbehörden und Konzern-Niederlassungen und Betroffene leicht erreichbar sein. Dabei reicht eine bloße Erreichbarkeit nicht aus – die Kontaktaufnahme muss ohne unangemessenen Aufwand und Verzögerung möglich sein.

Die leichte Erreichbarkeit beinhaltet nach vertretener, allerdings umstrittener Ansicht drei Komponenten: eine räumliche, eine zeitliche und eine sprachliche.

Räumliche Komponente

Es ist immer noch umstritten, ob die räumliche Erreichbarkeit erfordert, dass ein persönliches Treffen mit dem Konzern-DSB mit zumutbarem Aufwand möglich ist. Die Art. 29-Datenschutzgruppe hält es für ausreichend, wenn der Kontakt über eine Hotline oder eine sichere Kommunikationsmöglichkeit gewährleistet ist. Ein physisches Treffen auf demselben Gelände ist nur optional (siehe S.12, Art. 29-Datenschutzgruppe WP243, so auch DSK, Kurzpapier Nr. 12).

Es dürfte jedoch die andere Stimme nicht ignorieren: Der DSB muss in einer Tagesreise von der jeweiligen Niederlassung aus erreichbar sein. Das Gesetz stelle darauf ab, dass „von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann“, betone also gerade die räumliche Komponente. Eine leichte Erreichbarkeit mit Fernkommunikationsmitteln sei somit offensichtlich nicht gemeint, weil diese ohnehin an nahezu jedem Ort der Erde gegeben sei. In der Regel könnte es jedoch ausreichen, wenn ein Team von Mitarbeitern des Datenschutzbeauftragten vor Ort ansprechbar ist und sich eng mit ihm abstimmt. Ein solches Team könnte eine sinnvolle Lösung darstellen.

Trotz der nichteinheitlichen Stimmungsbilden sollte der Konzerndatenschutzbeauftragte zumindest insbesondere für die Erfüllung seiner Kontrollaufgaben in der Lage sein, innerhalb des jeweiligen Teils der Unternehmensgruppe, wenn auch nicht regelmäßig, so doch bei Bedarf persönlich präsent zu sein.

Zeitliche Komponente

Der zeitliche Faktor besagt, dass der Datenschutzbeauftragte tatsächlich kurzfristig erreichbar sein muss. Das bedeutet, dass seine Arbeitsbelastung trotz seiner Konzernverantwortung angemessen verteilt sein sollte, sodass er in der Lage ist, alle Unternehmen, für die er verantwortlich ist, auch tatsächlich ausreichend zu überwachen.

Sprachliche Komponente

In einem internationalen Konzern mit Niederlassungen in verschiedenen Ländern kann nicht verlangt werden, dass ein Konzerndatenschutzbeauftragter jede einzelne Sprache spricht. Es könnte jedoch erwartet werden, dass er gängige Fremdsprachen wie Englisch, Französisch oder Spanisch beherrscht und durch lokale Hilfspersonen unterstützt wird, um die datenschutzrechtlichen Anforderungen in den einzelnen Niederlassungen zu erfüllen.

Die Sprachkompetenz des Datenschutzbeauftragten kann grundsätzlich durch die Sprachkenntnisse seines Teams oder durch anderer – zur Vertraulichkeit verpflichteter und die Vertraulichkeit auch technisch sichernder, als Auftragsverarbeiter tätiger – Übersetzungsdienstleister ergänzt werden. Wichtig ist jedoch, dass dem Konzern-DSB ausreichend personelle und finanzielle Ressourcen hierfür zur Verfügung stehen, über die er frei verfügen kann. Dies kann beispielsweise durch den Einsatz lokaler Datenschutzkoordinatoren oder Privacy Officers in den einzelnen Konzerngesellschaften unterstützt werden.

Weitere Anforderungen an Konzerndatenschutzbeauftragte

Neben dem Punkt der Erreichbarkeit und Mitteilungspflicht muss auch auf das Vorliegen der nach Art. 37 DSGVO geforderten Qualifikation eines Datenschutzbeauftragten geachtet werden. Bei der Auswahl des DSB sind sein Fachwissen und seine Fähigkeiten von Bedeutung. Mehr dazu haben wir in unserem Artikel Datenschutzbeauftragter Qualifikation: Diese Fachkunde ist nötig erläutert.

Konzerndatenschutzbeauftragter – Aufgaben

Die DSGVO unterscheidet bei den Aufgaben eines Datenschutzbeauftragten in Art. 39 DSGVO nicht zwischen Konzernen und anderen Unternehmen. Zu den Hauptaufgaben des Konzerndatenschutzbeauftragten zählen:

  • Unterrichtung und Beratung des Verantwortlichen sowie Aufklärung der Mitarbeiter der gesamten Unternehmensgruppe,
  • Überwachung der Einhaltung der DSGVO im Konzern,
  • Zusammenarbeit mit der jeweiligen zuständigen Aufsichtsbehörde.

Datenschutz im Konzern: Welche Organisationsformen gibt es?

Aufgrund der angesprochenen Besonderheiten im Konzern haben sich zwei gängige Modelle zur Datenschutzorganisation herausgebildet:

Das Einheitsmodell

Beim Einheitsmodell übernimmt eine einzige Person die Rolle des Datenschutzbeauftragten für mehrere, teilweise sogar sämtliche Konzernunternehmen. Hierbei hat jede Konzerntochter diese Person ordnungsgemäß als Konzerndatenschutzbeauftragten benannt.

Je größer der Konzern jedoch ist, desto mehr Ressourcen benötigt der Konzern-DSB im Einheitsmodell. Das Modell stößt an seine Grenzen, wenn der Konzern eine bestimmte Größe überschreitet, z.B. wenn der Konzern aus hunderten Einzelunternehmen besteht. In einem solchen Fall wird es für eine einzelne Person unrealistisch, alle datenschutzrechtlichen Fragen zu überblicken.

Das Koordinationsmodell

Eine Alternative zum Einheitsmodell ist das Koordinationsmodell. Hierbei setzt man auf ein Datenschutz-Team. Ein zentraler Konzerndatenschutzbeauftragter überwacht den Datenschutz für den gesamten Konzern und leitet das konzernweite Datenschutzmanagementsystem. Zusätzlich gibt es Koordinatoren, die für den Datenschutz in den einzelnen Konzerngesellschaften, Ländern oder Unternehmensbereichen verantwortlich sind. Diese Koordinatoren sind die Experten vor Ort und betreuen die datenschutzrechtlichen Details in ihrem jeweiligen Bereich. Das können entweder lokal benannte Datenschutzbeauftragte oder Mitarbeiter sein, die diese Aufgabe zusätzlich übernehmen.

Es könnte allerdings kritisiert werden, dass im Koordinationsmodell die Unabhängigkeit der einzelnen Datenschutzbeauftragten gefährdet sein könnte. Hierbei ist jedoch zu beachten, dass der Konzern-DSB den lokalen Datenschutzbeauftragten keine Weisungen erteilen soll. Er koordiniert lediglich die Abläufe und gibt bei konzernweiten Angelegenheiten die Leitlinien vor. Im Koordinationsmodell kann es wohl sinnvoll sein, Mitarbeiter vor Ort als die Rolle „Datenschutzkoordinatoren“ in den jeweiligen Konzerngesellschaften einzusetzen.

Muss der Konzern-DSB vom Konzern angestellt werden?

Ein Konzerndatenschutzbeauftragter hat seinen Sitz in der Regel in der Konzernholding oder Muttergesellschaft. Er muss jedoch nicht zwingend Angestellter des Konzerns sein. Es gibt verschiedene Möglichkeiten:

  • Interne Lösung:
    Ein eigener Mitarbeiter wird als Konzern-DSB benannt, meist angestellt bei der Muttergesellschaft, aber auch in einer Tochtergesellschaft möglich.
  • Externe Lösung:
    Ein externer Dienstleister übernimmt die Rolle des Konzern-DSB.
  • Hybrid-Lösung:
    Eine Mischform aus interner und externer Lösung, bei der z.B. ein externer Dienstleister als Stellvertreter für den internen Konzern-DSB fungiert.

Alle drei Modelle haben ihre Vorteile und Herausforderungen. Die interne Lösung bietet vor allem eine dauerhafte Präsenz vor Ort und eine gute Einbindung in den Konzernalltag. Eine externe oder hybride Lösung ermöglicht hingegen eine objektivere Sichtweise, da externe Dienstleister nicht „betriebsblind“ sind. Zudem bringt ein externer Konzerndatenschutzbeauftragter oft ein Team von Experten mit, das seine Erfahrung aus verschiedenen Branchen einfließen lassen kann.

Die DSK empfiehlt hierzu, den gemeinsamen DSB innerhalb der EU anzusiedeln, um die Aufgabenerfüllung in Bezug auf die DSGVO zu erleichtern.

Mehr Informationen über die Vor- und Nachteile der internen Lösung finden Sie in unserem Blogartikel Interner (betrieblicher) Datenschutzbeauftragter: Position & Rolle.

Innovative Lösung: Koordinationsmodell mit Hybrid-Lösung?

Das Koordinationsmodell hat sich in den letzten Jahren wegen seiner Effizienz und Flexibilität als Best Practice etabliert. Die Hybrid-Lösung, die die Vorteile interner und externer Ansätze kombiniert, könnte für viele Konzerne eine vielversprechende Alternative sein. Wie ein Konzern seinen Datenschutz optimal organisiert, lässt sich jedoch nicht pauschal beantworten – hier muss vielmehr die jeweilige Situation analysiert werden, um die beste individuelle Lösung zu finden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Leider stößt man bei dem Konzern-Modell oft schnell an Grenzen, da viele Aufgaben ja aufgrund der besonderen Stellung (Schweigepflicht, Kündigungsschutz etc.) nicht an andere Mitarbeiter oder einen Stv. DSB delegiert werden können. Schade, dass es dafür keine Lösungen gibt. Mitarbeiter des DSB verkommen so immer leicht zu unbedeutenden Hilfskräften, die aus Frust schnell wieder kündigen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.