Webinar Konzerndatenschutz: Fragen und Antworten

Fachbeitrag

Wie in unserem Webinar angekündigt, beantworten wir in diesem Blogartikel Fragen zum Thema Konzerndatenschutz, welche offengeblieben sind bzw. aufgeworfen wurden. Vielen Dank an dieser Stelle für die rege Teilnahme am Chat. Uns haben auf diesem Wege viele intelligenten Fragen und Anmerkungen erreicht, von denen wir hier leider nur einige aufgreifen können.

Rückblick auf das Webinar

Unter dem Titel „Konzerndatenschutz – Komplexe Anforderungen pragmatisch umsetzen“ hat die intersoft consulting services AG am 16.9.2021 in einem Webinar in das Thema eingeführt. Mit dem Vortrag wollten wir anhand der Geschichte einer fiktiven Protagonistin wesentliche Themenbereiche pragmatisch beleuchten, welche sich datenschutzrechtlich bei einer Entwicklung eines Unternehmens zum Konzern stellen. Hierbei sollten für die Teilnehmer erste Lösungsansätze aufgezeigt werden.

Einige Fragen der Teilnehmer konnten unmittelbar im Anschluss des Webinars beantwortet werden. Im Folgenden werden wir auf weitere Fragen eingehen, die sich im Laufe des Vortrages ergeben haben. Einige Antworten auf bereits besprochene Fragen werden wir noch etwas detaillierter ausführen.

Begriff der „Unternehmensgruppe“

Einige Fragen betrafen im Kern den Begriff der Unternehmensgruppe und damit auch die Anwendbarkeit von Art. 37 Abs. 2 DSGVO, also die Möglichkeit einen – gemeinsamen – Konzerndatenschutzbeauftragten zu benennen.

Können unterschiedliche Formen von Zusammenschlüssen unter den Begriff der „Unternehmensgruppe“ fallen?

Eine Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht (Art. 4 Nr. 19 DSGVO). Unternehmen ist hierbei eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen (Art 4 Nr. 18 DSGVO).

Damit können auch Vereine oder sonstige Vereinigungen eine Unternehmensgruppe bilden oder Teil einer solchen – aus rechtlich unterschiedlichen Rechtsformen zusammengesetzten – sein und einen Konzerndatenschutzbeauftragten ernennen.

Fragen zum Konzerndatenschutzbeauftragten

Auch hier gab es viele interessante Fragen. Zum Beispiel folgende:

Kann die Geschäftsführung der Konzernmutter zentral die Benennung des Konzerndatenschutzbeauftragten wirksam für die Töchter vornehmen oder muss die Geschäftsführung jeder einzelnen Konzerngesellschaft jeweils selbst die Benennung unterzeichnen?

Eine gesetzliche Vertretungsbefugnis der Konzernmutter lässt sich nach unserer Auffassung aus Art 37 Abs. 2 DSGVO nicht herauslesen. Soll also die Konzernmutter eine Benennungserklärung auch stellvertretend für andere Konzerngesellschaften abgeben, so bedarf es aus unserer Sicht entsprechender anderweitiger – z.B. intern erteilter – Vollmachten (so wohl auch Bussche v.d. in Bussche v.d./Voigt, Konzerndatenschutz, 2. Auflage 2019 Rn. 26).

Grundsätzlich erfolgt die – ggf. verpflichtende – Benennung eines betrieblichen Datenschutzbeauftragten nämlich durch den Verantwortlichen (Art 37 Abs. 1 DSGVO), also durch die – rechtlich eigenständigen – Konzerngesellschaften selbst. Gem. Art 37 Abs. 2 DSGVO gilt:

„Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen …“.

Danach müssen die Konzerngesellschaften bei ihrer Verantwortung zur Bestellung gem. Art 37 II nicht jeweils unterschiedliche betriebliche Datenschutzbeauftragte bestellen, sondern können sich bei gegebenen Voraussetzungen ein und derselben Person bedienen.

Die Ernennung durch die Unternehmensgruppe bedeutet demnach eine gemeinsame Benennung durch mehrere Gruppenunternehmen. Beherrscht die Konzernmutter die Unternehmens­gruppe, so wird sie einen von ihr gewünschten Konzerndatenschutzbeauftragten jedoch auch im Hinblick auf die Konzerngesellschaften durchsetzen können.

Unabhängig von der Frage einer Vertretungsmacht soll zur Benennung eines Konzerndaten­schutz­beauftragten aber ein einziger Benennungsakt ausreichen (vgl. z.B. Bergt in Kühling/Buchner, DS-GVO BDSG 3. Auflage 2020 Randziffer 27 mit weiteren Nachweisen). Also eine Erklärung der gemeinsamen Bestellung mit der Liste der Tochtergesellschaften und der Nennung des zuständigen Konzerndatenschutzbeauftragten.

Darüber hinaus teilt gem. Art 37 Abs. 7 DSGVO der Verantwortliche (also die Konzerngesellschaften selbst) die Kontaktdaten des (Konzern) Datenschutzbeauftragten der jeweils zuständigen Aufsichtsbehörde mit.

Fragen zur Datenschutzorganisation im Konzern

Folgende Fragen haben wir aus diesem Komplex herausgesucht:

Wie lassen sich sinnvoll konzernweit einheitliche Vorgaben (z.B. Datenschutzrichtlinie) umsetzen, wenn der Konzern auch über Gesellschaften außerhalb des EWR verfügt, wo gar keine oder völlig andere Datenschutz-Gesetze gelten?

Hier kann man von der DSGVO im Zusammenspiel mit den nationalen Gesetzen lernen. Schon im Webinar haben wir darauf hingewiesen, dass es einer sinnvollen „Abmischung“ zwischen lokal und global bedarf. Wie der optimale „Sound“ erreicht wird, hängt von der Größe und den Gegebenheiten des Konzertsaales / Konzernes ab.

Es ist möglich Anforderungen der DSGVO als konzernweiten Mindeststandard zu definieren. Um jedoch lokalen höheren oder abweichenden Anforderungen zu genügen, können Verantwortliche vor Ort verpflichtet werden diese Konzernvorgaben zu prüfen und dann – ggf. nach Abstimmung mit dem Konzerndatenschutz – lokale Sonderregelungen in Kraft zu setzen (quasi Öffnungsklauseln und Grundsätze der Spezialität).

Gibt es eine Empfehlung, wie viele Datenschutzkoordinatoren man einsetzt, z. B. bezogen auf die Mitarbeiterzahl?

Die Mitarbeiterzahl allein wäre kein ausreichendes Kriterium zur Bestimmung einer optimalen Anzahl an Koordinatoren. Wie im Webinar dargestellt, hängt die Anzahl derselben auch davon ab, wo örtlich und/oder fachlich Bedarf besteht und welche Aufgaben den Koordinatoren zugewiesen werden sollen. Zudem haben die Fähigkeiten der Koordinatoren (z.B. Datenschutzkenntnisse durch vertiefte Schulungen; Fähigkeiten im Umgang mit einer eingesetzten DS-Management-Software) erheblichen Einfluss. Hier gilt „Klasse statt Masse“.

Fragen zu konzerninternen Datentransfers

Eine Vielzahl von Fragen drehte sich um den Transfer personenbezogener Daten innerhalb des Konzerns.

Haben Sie das Urteil, etc. in dem Ihr Beispiel mit dem Outlook-Verzeichnis anerkannt wurde?

Ein konzernweites Verzeichnis der dienstlich notwendigen Kontaktdaten aller Beschäftigten hatten wir als Beispiel für ein berechtigtes Interesse iSv Art. 6 Abs. 1 lit. f DSGVO i.V.m. ErwG 48 (…für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von … Beschäftigten) angegeben.

So vertritt dies z.B. auch Schöttle in Weth/ Herberger/ Wächter/ Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis 2. Auflage 2019, Teil C. IV. Datenschutz im internationalen Konzern Rn. 16-18 mit weiteren Nachweisen.

Kann die zentrale IT für alle Konzern-Gesellschaften eine AVV abschließen und damit alle Tochter-/Schwestergesellschaften einschließen?

Sofern die zentrale IT durch eine Konzerngesellschaft als zentralisierte IT-Service-Gesellschaft organisiert ist, kann diese selbst Auftragsverarbeiter für die anderen Konzerngesellschaften aufgrund entsprechender Auftragsverarbeitungsverträge sein bzw. werden (Abschluss mit den Tochtergesellschaften). Zudem könnte die zentrale IT-Gesellschaft dann – entsprechende Regelungen bzw. Genehmigungen im AVV vorausgesetzt – Subunternehmerverträge mit Dienstleistern schließen, deren Leistungen dann auch den Schwestergesellschaften zugutekommen, ohne dass es hierzu grundsätzlich nötig wäre, Verträge zwischen diesen Dienstleistern und den anderen Tochtergesellschaften zu etablieren.

Soweit die zentrale IT-Service-Konzerngesellschaft direkt Verträge mit Wirkung für andere Konzerngesellschaften abschließen soll, bedarf diese dafür einer Vollmacht (Abschluss für Konzerngesellschaften).

Ich hätte da noch eine Frage…

Sprechen Sie uns gerne an, sollten noch Fragen offen sein. Für eine weiterführende individuelle Beratung in diesem Themenumfeld steht Ihnen unser Vertriebsteam unter sales@intersoft-consulting.de sehr gerne zur Verfügung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.