Konzerndatenschutzbeauftragter und der Konzerndatenschutz

Fachbeitrag

Der Datenschutz hat im Konzern als Compliance Thema seit dem Inkrafttreten der DSGVO stark an Bedeutung gewonnen. Diese wartet nicht nur mit zusätzlichen Regelungen auf, sondern auch mit ein paar Erleichterungen für Unternehmensgruppen. Eine davon ist die Bestellung eines Konzerndatenschutzbeauftragten für alle Konzernunternehmen. Dieser Beitrag soll einen kompakten Überblick über Anforderungen und Praxisprobleme bei der Benennung eines Konzerndatenschutzbeauftragten geben.

Datenschutz im Konzern

Im Datenschutz fällt ein Konzern in der Regel unter die Definition der Unternehmensgruppe nach Art. 4 Nr. 19 DSGVO. Diese ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Der EG 37 konkretisiert weiter, dass das Merkmal der beherrschende Stellung weit zu verstehen ist. Eine solche kann sich aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung, der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, ergeben. Somit dürfte in Deutschland ein Konzern nach § 18 AktG auch immer als Unternehmensgruppe im Datenschutz gelten. Daraus ergibt sich für diesen ein paar besondere rechtliche Folgen.

Gibt es ein Konzernprivileg in der DSGVO?

Unter dem Konzernprivileg versteht man rechtliche Privilegien, die dem Konzern durch den Zusammenschluss der Unternehmen zu einer rechtlichen und wirtschaftlichen Einheit zukommen. Solche wurden auch während den Verhandlungen zur DSGVO diskutiert. Der Parlamentsentwurf der Verordnung sah ein Konzernprivileg noch ausdrücklich vor. In der DSGVO findet sich dies nicht mehr. Stattdessen findet sich  im Erwägungsgrund 48 nur noch ein kleines Konzernprivileg, das den Interessen einer Unternehmensgruppe Rechnung trägt. Dazu heißt es in Satz 1:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Zunächst fällt auf, dass der Erwägungsgrund von einzelnen Verantwortlichen spricht. Trotz der beherrschenden Stellung der Konzernmutter, ordnet der Gesetzgeber die jeweiligen Konzernunternehmen also nach Art. 4 Abs. 7 DSGVO grundsätzlich als Verantwortlicher für ihre Datenverarbeitung ein. Die Konzernunternehmen sind im Verhältnis zueinander daher datenschutzrechtlich als Dritte anzusehen. Für eine Datenweitergabe bedarf es daher weiterhin einer Rechtsgrundlage. Der EG 48 normiert dabei ein anerkannten Interesse von Unternehmensgruppen am internen Datenaustausch zwecks Verwaltungsoptimierung, welches im Rahmen der Interessenabwägungen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO geltend gemacht werden kann. In der Praxis sorgt dieses kleine Konzernprivileg jedoch kaum für Erleichterungen.

Denn es muss weiterhin vor jeder Datenübertragung im Konzern geprüft werden, ob eine Auftragsverarbeitung oder eine Gemeinsame Verantwortlichkeit vorliegt. Zudem werden zu Verwaltungszwecken oft auch besondere Kategorien personenbezogener Daten übertragen, welche nach Art. 9 DSGVO nicht aufgrund einer Interessenabwägung übertragen werden können. Daneben bleiben auch die strengen Vorschriften der Art. 44 ff. DSGVO für den internationalen Datentransfer, nach denen beim auch beim Empfänger im Konzernverbund im Drittland ein angemessenes Datenschutzniveau bestehen muss, gem. EG 48 S. 2 vom kleinen Konzernprivileg unberührt.

Benennung eines Konzerndatenschutzbeauftragten

Wenn die Kerntätigkeit nach Art. 37 DSGVO besonders risikoreiche Datenverarbeitungen umfasst oder nationale Vorschriften wie § 38 BDSG es vorschreiben, sind Verantwortliche verpflichtet einen Datenschutzbeauftragten zu benennen. Hier findet sich in Art. 37 Abs. 2 DSGVO eine weitere besondere Regelung für Konzerne. Demnach kann eine Gruppe von Unternehmen einen gemeinsamen Datenschutzbeauftragten für alle Unternehmen benennen.

Von der Benennung zu unterscheiden, ist die Mitteilung der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde nach Art. 37 Abs. 2 DSGVO. Diese erfolgt nicht nur gegenüber der für den Konzern federführenden Aufsichtsbehörde, sondern muss weiterhin von jedem Konzernunternehmen gegenüber ihrer zuständigen Aufsichtsbehörde erfolgen. Für ein entsprechendes Versäumnis verhängte z.B. der HmbBfDI gegen Facebook Germany GmbH ein Bußgeld in Höhe von 51.000 € (Tätigkeitsbericht 2019, S. 105).

Aufgaben des Konzerndatenschutzbeauftragten

Die Aufgaben des Konzerndatenschutzbeauftragten orientieren sich grundsätzlich an Art 39 DSGVO. Diese sind insbesondere:

  • Überwachung der Einhaltung der DSGVO im Konzern,
  • Unterrichtung und Beratung des Verantwortlichen sowie Aufklärung der Mitarbeiter der gesamten Unternehmensgruppe,
  • Kommunikation mit der Aufsichtsbehörde.

Konzerndatenschutzbeauftragter – Anforderungen an die Erreichbarkeit

Der Art. 37 Abs. 2 DSGVO schreibt vor, dass sichergestellt werden muss, dass der Konzerndatenschutzbeauftragten von jeder Niederlassung der Unternehmensgruppe leicht erreichbar ist. Hierfür reicht es nicht aus, dass die Kontaktdaten der Aufsichtsbehörde zur Verfügung stehen. Vielmehr soll der Konzerndatenschutzbeauftragte in der Lage sein, mit den Mitarbeitern, den Betroffenen und den Aufsichtsbehörden vor Ort zu kommunizieren.

Räumlicher Faktor

Wichtig ist, dass der Datenschutzbeauftragte auch persönlich erreichbar ist. Dabei ist jedoch davon auszugehen, dass der Kontakt über Fernkommunikationsmittel hierfür ausreicht (so die Art. 29-Datenschutzgruppe).

Zeitlicher Faktor

Hier steht eine kurzfristige Erreichbarkeit des Datenschutzbeauftragten trotz Verantwortlichkeit für den ganzen Konzern im Fokus. Neben seiner generellen Überwachungs- und Kontrolltätigkeit sollte der Konzerndatenschutzbeauftragte auch genug Zeit haben, um etwaige Betroffenen-, Mitarbeiter oder Behördenanfragen in einzelnen Niederlassungen zeitnah bearbeiten zu können.

Sprachlicher Faktor

Bei einem Konzern mit vielen Niederlassung in unterschiedlichen Ländern kann wohl nicht gefordert werden, dass der Konzerndatenschutzbeauftragte jede Sprache spricht. Es kann aber gefordert werden, dass er gängigen Fremdsprachen wie z.B. Englisch, Französisch oder Spanisch mächtig ist und mithilfe von lokalen Hilfspersonen die datenschutzrechtlichen Belange der einzelnen Niederlassungen, für die er bestellt ist, bearbeiten kann.

Praktische Probleme

Neben dem Punkt der Erreichbarkeit muss bei der Auswahl eines Konzerndatenschutzbeauftragten natürlich auch gem. Art. 37 Abs. 5 DSGVO auf sein Fachwissen und seine Fähigkeiten geachtet werden.

Zudem ist die Möglichkeit, einen gemeinsamen Konzerndatenschutzbeauftragten zu benennen, optional („darf“). Als eigener Verantwortlicher iSd. Art. 4 Nr. 4 DSGVO darf ein Konzernmitglied daher wohl nicht dazu  gezwungen werden, diesen zu benennen, sondern behält die Möglichkeit, selbstständig einen eigenen Datenschutzbeauftragten benennen.

Zentrale Datenschutzorganisation für Konzerne

Eine zentrale Datenschutzorganisation für Konzerne an deren Kopf ein Konzerndatenschutzbeauftragter steht, hat viele Vorteile haben. Durch die zentrale Organisation kann die Etablierung eines gleichmäßigen Datenschutzniveaus in der Unternehmergruppe erreicht werden. Zudem erleichtert eine Zentralisierung die Durchführung von konzernweiten Datenverarbeitungen. Aufgrund der angesprochenen Probleme haben sich bei der Datenschutzorganisation im Konzern folgende zwei Modelle durchgesetzt.

Das Einheitsmodell

Nach dem Einheitsmodell hat ein und dieselbe Person die Funktion des Datenschutzbeauftragten für mehrere oder sämtliche Konzernunternehmen inne. Hierbei hat jede Konzerntochter diese Person ordnungsgemäß als Konzerndatenschutzbeauftragten benannt. Je größer der Konzern ist, desto mehr Ressourcen und Mitarbeiter benötigt der Konzerndatenschutzbeauftragte im Einheitsmodell. In den einzelnen Unternehmensmitglieder werden unter Umständen Datenschutzkoordinatoren zu Unterstützung des Konzerndatenschutzbeauftragten bestellt.

Das Koordinationsmodell

Als Alternative zum Einheitsmodell gilt das Koordinationsmodell. Hier wird für jedes Unternehmen der Gruppe ein Datenschutzbeauftragter benannt, der die täglichen Aufgaben im Konzernunternehmen bearbeitet, wobei dann aber die konzernweite Organisation insbesondere das Datenschutzmanagementsystem durch einen Konzerndatenschutzbeauftragten gelenkt wird.

Abschließend soll noch ein Blick auf die Beziehung zwischen den Konzerndatenschutzbeauftragten und den Datenschutzbeauftragten im Koordinationsmodell geworfen werden. Es könnte kritisiert werden, dass im Koordinationsmodell die Unabhängigkeit der einzelnen Datenschutzbeauftragten gefährdet sein könnte. Hierzu ist aber zu sagen, dass der Konzerndatenschutzbeauftragte im Koordinationsmodell, die Datenschutzorganisation nur organisieren und nicht den einzelnen Datenschutzbeauftragten der Gruppenunternehmen Weisungen geben soll. Dies kann bspw. durch eine sorgfältige Aufgabenzuweisung und -abgrenzung im Rahmen seiner Benennung sichergestellt werden.

Die Bestellung eines Konzerndatenschutzbeauftragten hat Vor- und Nachteile

Sicherlich kann ein Konzerndatenschutzbeauftragter einen Konzern zentral und einheitlich datenschutzrechtlich beraten. Allerdings sollte man vorher die organisatorischen und individuellen rechtlichen Hürden prüfen und den Aufwand den Vorteilen gegenüberstellen. Denn auch wenn die Benennung eines Konzerndatenschutzbeauftragten für einen Konzern viele Vorteile hat, muss man sich vor Augen halten, dass der Aufbau einer einheitlichen Datenschutzorganisation im Konzern langwierig und entsprechend kostspielig ist. Der Konzerndatenschutzbeauftragte kann diese Aufgabe nur mit der richtigen finanziellen und personellen Ausstattung sowie dem Rückhalt der Konzernführung meistern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

13 Kommentare zu diesem Beitrag

  1. Hallo,
    den Artikel finde ich sehr interessant! Ich frage mich nur: Kann man fordern, dass der Konzerndatenschutzbeauftragte auch der deutschen Sprache mächtig ist? Wir sind ein internationales Unternehmen und haben einen europäischen Konzern mit 5 von 15 Standorten in der BRD.
    Für eine Antwort wäre ich Ihnen sehr verbunden!

  2. Interessanter Artikel. Wie stellt sich das ganze aber in praktischer Hinsicht dar, wenn bspw. der Datenschutzbeauftragte im EU Ausland sitzt und man in der EU nur Zweigniederlassungen hat? Wegen der Niederlassungen greift ja auch der EU Ansprechpartner nicht. Ich ware für einen Hinweis dankbar. Weiter so!

    • Auch hier müsste die DSGVO über Art. 3 Abs. 2 lit.a DSGVO einschlägig sein und so auch die Regelungen für den Konzerndatenschutzbeauftragten greifen, obwohl in der EU nun Zweigniederlassungen existieren. Alternativ Könnte man die Stellung des Konzerndatenschutzbeauftragten und seiner Erreichbarkeit in der Datenschutzrichtlinie des Unternehmens regeln.

  3. Wir haben den ursprünglichen Beitrag Konzerndatenschutzbeauftragter – Aufgaben und Anforderungen nach der DSGVO umfassend überarbeitet und in diesem Zuge neu veröffentlicht. Einige Kommentare können sich daher noch auf den alten Beitrag beziehen.

  4. Kleiner Typo, kann aber gewaltige Diskussionen auslösen ;) -> nicht: „Einhaltung und Überwachung der DSGVO im Konzern“ sondern: „Überwachung der Einhaltung der DSGVO im Konzern“ (vgl. Art. 39 (1) b)

  5. Gibt es schon ein Gerichtsurteil, das den Begriff „leicht erreichbar“ konkretisiert? Oder eine Aussage von einer kompetenten Stelle, auf die man sich beziehen kann?

    • Sind wir Ihnen nicht kompetent genug? ;)

      Unserem Wissen nach gibt es zur Auslegung der Erreichbarkeit beim Konzern DSB noch keine Urteile. Von den Aufsichtsbehörden gibt es das oben verlinkte Working Paper 243 (S. 12 f.), dessen Ausführungen dann auch die deutschen Behörden mehr oder weniger ausgiebig in ihren Veröffentlichungen wiederholen, etwa im Kurzpapier Nr. 12 der DSK, im FAQ der LDI NRW oder im Arbeitspapier des Hessischen Datenschutzbeauftragten.

      In der juristischen Kommentarliteratur ist eigentlich auch nur die räumliche Erreichbarkeit wirklich umstritten. Bergt schreibt dazu im Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Rn. 28:

      “Die räumliche Komponente erfordert, dass ein persönliches Treffen mit dem Datenschutzbeauftragten mit geringem Aufwand möglich ist; die Art.-29-Datenschutzgruppe dagegen sieht die Möglichkeit eines persönlichen Treffens nur als eine Option und akzeptiert auch eine Hotline oder eine andere sichere Kommunikationsmöglichkeit. Das Gesetz stellt allerdings darauf ab, dass „von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann“, betont also gerade die räumliche Komponente. Eine leichte Erreichbarkeit mit Fernkommunikationsmitteln ist somit offensichtlich nicht gemeint, weil diese ohnehin an nahezu jedem Ort der Erde gegeben ist. Der schlichte Verweis auf die Verpflichtung, für die leichte Erreichbarkeit die Kontaktdaten des Datenschutzbeauftragten entsprechend Abs. 7 zu veröffentlichen ignoriert den Wortlaut des Gesetzes.“

  6. Danke für den tollen Artikel! Eine Frage habe ich allerdings noch: Wie ist es, wenn in einem Tochterunternehmen bereits ein Datenschutzbeauftragter besteht und dieser durch den Konzerndatenschutzbeauftragten ersetzt werden soll? Der Datenschutzbeauftragte genießt doch einen besonderen Kündigungsschutz. Dies betrifft mich aktuell. Wie kann man sich dagegen am besten wehren?

    • Die DSGVO sagt lediglich, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
      Der deutsche Gesetzgeber hat dies um eine nationale Regelung ergänzt, die auf § 626 BGB verweist. Eine Abberufung wäre demnach nur aus wichtigem Grund möglich. Derzeit ist die Europarechtskonformität dieser Regelung umstritten.
      Zu einem ähnlich gelagerten Fall hat das BAG bereits vor DSGVO entschieden:
      BAG, Urt. v. 23. 3. 2011 – 10 AZR 562/09, Rn. 22.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.