Konzerndatenschutzbeauftragter nach DSGVO

Kurze Einleitung

Sobald es um Fragen zum Konzerndatenschutz geht, wird schnell deutlich, dass im Datenschutz einige Hürden gemeistert werden müssen. Denn je mehr personenbezogene Daten verarbeitet werden, desto größer ist das Risiko für Fehler oder nicht ausreichend organisierte Prozesse. Dennoch bietet Art. 37 Abs. 2 der europäischen Datenschutz-Grundverordnung (DSGVO) einer Unternehmensgruppe die Möglichkeit einen gemeinsamen Datenschutzbeauftragten zu benennen, solange dieser leicht von jeder Niederlassung erreicht werden kann. Die sog. Unternehmensgruppe ist in Art. 4 Nr. 19 DSGVO definiert und stellt eine Gruppe dar, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht, was zugleich der Definition des § 18 des Aktiengesetzes (AktG) entspricht. Ziel ist es hierbei, eine einheitliche Lösung für alle verantwortlichen Unternehmen innerhalb der Unternehmensgruppe im Datenschutzrecht zu schaffen. Erfahren Sie in diesem Beitrag wie sich das Konzept eines Konzerndatenschutzbeauftragten gestalten lässt.

Was ist ein Konzerndatenschutzbeauftragter?

Die Bezeichnung des Konzerndatenschutzbeauftragten kennt die DSGVO als solches nicht, in Art. 37 Abs. 2 DSGVO wird dieser als gemeinsamer Datenschutzbeauftragter bezeichnet. Er ist im Grunde genommen ein einzelner Datenschutzbeauftragter, der die Umsetzung des Datenschutzes zentral über mehrere Unternehmen eines Konzerns koordiniert, doch zunächst werfen wir einen Blick auf den Datenschutzbeauftragten. Diese sind zuständig für die gesamte Koordination des Schutzes personenbezogener Daten in einem Unternehmen. Sie gestalten maßgeblich das datenschutzkonforme Vorgehen bei der Verarbeitung dieser Daten. Als erste Ansprechpartner für Geschäftsführung, Mitarbeiter und Geschäftspartner unterstützen Sie jeden Bereich eines Unternehmens in Fragen des Datenschutzes gemäß Art. 37 Abs. 1 DSGVO und übernehmen somit eine wichtige Rolle, u.a. bei der Unterstützung für die Bearbeitung von Betroffenenrechten. Zu den Aufgaben von Datenschutzbeauftragten gehören ferner die Beratung bei Datenschutz-Folgenabschätzungen, sowie die Sensibilisierung und Schulung der Mitarbeiter, die personenbezogene Daten verarbeiten. Besonders zu betonen ist, dass Datenschutzbeauftragte nicht an Weisungen gebunden sind, vgl. Art. 38 Abs. 3 S. 1 DSGVO. Genau diese Rolle übernimmt auch der Konzerndatenschutzbeauftragte, jedoch gibt es hier einige Besonderheiten, die zu berücksichtigen sind.

Aufgaben Konzerndatenschutzbeauftragter

Ganz im Sinne der sogenannten Beweislastumkehr gem. Art. 5 Abs. 2 DSGVO müssen Unternehmen und Konzerne die Einhaltung des Datenschutzes nachweisen können, hierbei werden die Verantwortlichen durch den Datenschutzbeauftragten und den Konzerndatenschutzbeauftragten unterstützt und beraten, vgl. Art. 39 DSGVO. Diese Nachweispflicht gilt für alle erdenklichen Aufgaben, in denen personenbezogenen Daten verarbeitet werden. Der koordinative und organisatorische Aufwand ist in einem Konzern um einiges höher aufgrund der höheren Anzahl der Beschäftigten und Kunden der zusammengeschlossenen Unternehmen. Doch auch die Struktur der einzelnen zusammenarbeitenden Unternehmen muss geregelt sein. Besonders, wenn die Unternehmensgruppe über die Ländergrenzen der Europäischen Union hinaus personenbezogene Daten verarbeitet, müssen komplexe Themen wie zum Beispiel internationale Datenübermittlungen personenbezogener Daten und hierfür geeignete Garantien berücksichtigt und implementiert werden. Eine weitere Schwierigkeit für den Konzerndatenschutzbeauftragten stellt die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO dar, da hier ein Gesamtüberblick über alle erheblichen Prozesse erforderlich ist. Eine nicht ausreichend fundierte organisatorische Aufstellung des Konzerns, kann folglich zu erschwerten Bedingungen führen. Außerdem ist bei internationalen Konzernen zu berücksichtigen, dass nicht nur die DSGVO einschlägige Vorgaben stellt, die einzuhalten sind. Selbst wenn eine Unternehmensgruppe ausschließlich in der EU angesiedelt ist, sind auch hier die Gesetze der jeweiligen Länder mit einzubeziehen zum Beispiel das deutsche Bundesdatenschutzgesetz (BDSG-neu). Weitere Verpflichtungen können sich zudem aus Gesetzen in den jeweiligen Drittländern ergeben, wenn dort personenbezogene Daten verarbeitet werden. Deutlich wird, dass es sich bei der Umsetzung des Datenschutzes in einer Unternehmensgruppe um eine komplexe Tätigkeit handelt, die viel Know-How und juristische Expertise im Bereich des Datenschutzrechts erfordert.

Weitere Aufgaben von Konzerndatenschutzbeauftragen

Erstellung und Implementierung eines Datenschutzkonzepts
Betreuung und Beratung aller der Unternehmensgruppe zugehörigen Unternehmen
Einschätzung eines Risikoprofils
Betreuung bei der Erstellung eines Datenschutz Managementsystems (DSMS)
Erarbeitung aller relevanten Dokumente zur Umsetzung des Datenschutzes wie z.B. Vorlagen für Einwilligungserklärungen, Datenschutzerklärungen, Verzeichnis von Verarbeitungstätigkeiten (VVT), Informationsschreiben, Datenschutzfolgenabschätzung (DSFA), Prüfung und Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
Prüfung und Erstellung von Auftragsverarbeitungsverträgen (AVV), Organisation der Abschlüsse dieser Verträge und Ausübung von Kontrollrechten
Hilfe bei der Umsetzung der Betroffenenrechte (Recht auf Auskunft, Recht auf Löschung, Recht auf Berichtigung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht)
Erstellung von Datenschutzrichtlinien und Vereinbarungen
Vereinheitlichung und Harmonisierung der Datenschutzprozesse
Hilfe bei Umsetzung des Beschäftigtendatenschutzes
Beratung für den Bewerberdatenschutz und für Fragen zum On- und Offboarding
Beratung für Löschkonzepte
Schulung und Sensibilisierung der Mitarbeiter
Korrespondenz mit den Aufsichtsbehörden
Fortlaufende Überwachung der Prozesse
Regelmäßige Erstellung von Auditberichten (Jahresauditbericht)

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Position eines Konzerndatenschutzbeauftragten

Nicht nur anspruchsvollen Aufgaben, sondern auch die hohe Verantwortung für den von der EU geforderten Datenschutz machen den Datenschutzbeauftragten eines Konzerns zu einer Person mit wichtiger Beratungsfunktion. Dies äußert sich auch in dem vom deutschen Gesetzgeber geforderten besonderen Kündigungsschutz des Datenschutzbeauftragten im Sinne des § 6 Abs. 4 in Verbindung mit § 38 Abs. 2 BDSG-neu. Hiernach ist eine ordentliche Kündigung des Datenschutzbeauftragten nicht möglich, dies gilt auch für den Zeitraum von einem Jahr nach Beendigung der Tätigkeit. Hiervon unberührt bleibt lediglich die Kündigung aus wichtigem Grund gemäß § 626 BGB. Das bedeutet, dass nur durch Vorliegen von Tatsachen, die einen derartigen Grund rechtfertigen, eine außerordentliche Kündigung möglich ist.

Auch die DSGVO erachtet den Kündigungsschutz für Datenschutzbeauftragte als erheblich und trifft in Art. 38 Abs. 3 S. 2 DSGVO folgende Regelung:

“Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.”

Diese Regelung erscheint unverhältnismäßig, doch auch hier zeigt sich die Zweckmäßigkeit für Unternehmen: Denn bei nicht datenschutzkonformer Umsetzung der DSGVO oder des BDSG-neu drohen sensible Strafen und Bußgelder, die durch einen Datenschutzbeauftragten vermieden werden können. Insbesondere Konzerne, welche in der Regel hohe Umsätze erwirtschaften, trifft die Bußgeldzusammensetzung der DSGVO ganz empfindlich.

Dennoch mag die Auswahl des Konzerndatenschutzbeauftragten wohlüberlegt sein, da eine Fehlentscheidung zu langfristigen Konsequenzen führen kann. Daher ist die Überlegung eines externen Datenschutzbeauftragten für einen Konzern oftmals die Regel.

Gehalt eines Konzerndatenschutzbeauftragten

In der Praxis gestaltet sich die Besetzung eines Konzerndatenschutzbeauftragten häufig schwierig. Teilweise ist der Datenschutz in einem einzelnen Unternehmen des Konzerns bereits derart anspruchsvoll, dass ein einzelnes Unternehmen einen Vollzeit-Datenschutzbeauftragten für sich benötigt. Ein interner Konzerndatenschutzbeauftragter für alle Unternehmen würde in diesem Zusammenhang nicht ausreichen. ,Unternehmensgruppen benötigen aufgrund der Vielzahl und Komplexität von Datenverarbeitungen ein gut strukturiertes Datenschutzmanagementsystem und ausreichend personelle Ressourcen, um dem geforderten Datenschutz zu genügen.

In Großkonzernen findet sich häufig die Abteilung „Konzerndatenschutz“ mit dem Konzerndatenschutzbeauftragten als Abteilungsleiter und den ihm untergeordneten Personal. Dieses Personal wird meistens als „Referent Datenschutz“ oder “stellvertretender Datenschutzbeauftragter” bezeichnet. Die Mitarbeiter des Konzerndatenschutzbeauftragten sollten typischerweise ebenfalls fundierte Kenntnisse im Datenschutz vorweisen können und die durch Art. 37 Abs. 5 DSGVO geforderte Qualifikation besitzen. Daher sind für Unternehmen weitere Kosten zu beachten. Die Konzerndatenschutzbeauftragten sind hinsichtlich des Gehalts einem Volljuristen bzw. Syndikusanwalt gleichzustellen. Allerdings ist zu berücksichtigen, dass Konzerndatenschutzbeauftragte die Leitung der Abteilung Konzerndatenschutz übernehmen und sich somit die Verantwortung erhöht. Dies spiegelt sich auch im Gehalt wider, sodass ein durchschnittliches Gehalt von 70.000 – 110.000 Euro pro Jahr erzielt werden kann.

Wer darf als Konzerndatenschutzbeauftragter bestellt werden?

Unternehmen und Konzerne verfolgen in erste Linie wirtschaftliche Ziele. Gerade wenn es um Datenschutz geht, entsteht häufig ein großes Konfliktpotenzial, wenn zwischen Datenschutz und Wirtschaftlichkeit abzuwägen ist. Der Konzerdatenschutzbeauftragte übernimmt in diesem Fall die Kontrollinstanz, um in notwendigen Situationen sich für die Einhaltung des Datenschutzes einzusetzen. Daher ist insbesondere bei der Wahl des Datenschutzbeauftragten darauf zu achten, dass es nicht zu Interessenkonflikten kommen kann. Dieser Interessenkonflikt kann gemäß Art. 38 Abs. 6 DSGVO durch die Wahrnehmung anderer Aufgaben und Pflichten durch den Datenschutzbeauftragten entstehen, so z.B., wenn dieser neben der Rolle als Datenschutzbeauftragter auch als IT-Leiter des Unternehmens agiert. Hierzu gibt es bereits erlassene Bußgeldbescheide.

Gerade weil Schulungen organisiert und durchgeführt werden, Prozesse fortlaufend analysiert werden müssen und der Datenschutzbeauftragte eine Kontrollfunktion erfüllen soll, ist es besonders relevant unvoreingenommen zu sein und den Fokus hauptsächlich auf die Umsetzung des Datenschutzes zu legen.

Wie muss die Bestellung zum Konzerndatenschutzbeauftragten gestaltet sein?

Der Datenschutzbeauftragte einer Unternehmensgruppe wird durch die Bestellung zum Konzerndatenschutzbeauftragten benannt. Um eine konforme Bestellung durchzuführen, wird eine Bestellungsurkunde aufgesetzt und von der Geschäftsleitung aller Unternehmen unterzeichnet. Der Grund dafür ist, dass die Unternehmensgruppe kein Konzernprivileg besitzt und es somit auch nicht ausreicht, wenn nur das herrschende Unternehmen die Bestellungsurkunde unterschreibt. Die DSGVO betrachtet Unternehmensgruppen nicht pauschal als einheitliche Stelle, sondern als eigenständige verantwortliche Einheiten. Für eine wirksame Bestellung muss aus der Bestellungsurkunde genau hervorgehen, welche natürliche Person Konzerndatenschutzbeauftragter wird und daraus resultierend die Verantwortung als Konzerndatenschutzbeauftragter übernimmt.

Konzerndatenschutzbeauftragter extern bestellen

Auch wenn bei konkreten Fragen zum Datenschutz nicht die Wirtschaftlichkeit im Vordergrund stehen sollte, ist es dennoch ratsam alle Möglichkeiten in Betracht zu ziehen und miteinander zu vergleichen. Hier stehen Unternehmen nämlich zwei Alternativen zur Verfügung: Der Konzendatenschutzbeauftragte kann sowohl intern als auch extern bestellt werden. Die Bestellung eines externen Konzerndatenschutzbeauftragten kann viele in diesem Blogbeitrag genannten Probleme und Herausforderungen lösen. Wer auf einen externen Datenschutzbeauftragten statt einem internen Datenschutzbeauftragten zurückgreift, kann auf ein fundiertes Team vertrauen, anstatt auf eine einzelne Person, die den Gesamtüberblick behalten muss. Die Arbeit im Team ermöglicht den Zusammenschluss von unterschiedlichen datenschutzrechtlichen Expertisen, z.B. im Hinblick auf komplexe Drittlandtransfers oder Eigenheiten gewisser Branchen. Ein externer Datenschutzbeauftragter besitzt durch die Betreuung vieler Kunden aus unterschiedlichen Branchen ein größeres Know-How, was für Unternehmensgruppen mit unterschiedlichen Unternehmen (z.B. Unternehmensgröße, Branche, etc.) vorteilhaft sein kann.

Es kann außerdem auf bestehende Prozesse und Systeme zurückgegriffen werden. Für externe Datenschutzbeauftragte ist neben dem Einsatz von Datenschutzmanagementsystemen ein systematisches Vorgehen essenziell, um eine richtige Abwicklung der datenschutzrechtlichen Vorgaben zu gewährleisten, wohingegen ein interner Datenschutzbeauftragter nicht von diesen Erfahrungen eines externen Datenschutzbeauftragten. Weitere besondere Merkmale eines externen Konzerdatenschutzbeauftragten sind der fehlende besondere Kündigungsschutz für interne Datenschutzbeauftragte und der fehlende Interessenkonflikt, da ein externer Datenschutzbeauftragter keine anderweitigen Aufgaben und Tätigkeiten wahrnimmt und somit den Datenschutz objektiv und unabhängig umsetzen kann. Darüber hinaus profitieren Unternehmensgruppen von den Kostenvorteilen für einen externen Konzerndatenschutzbeauftragten im Gegensatz zu einem internen Datenschutzbeauftragten inkl. einer gesamten internen Abteilung für den Datenschutz.

Die Experten von Keyed stehen Ihnen gerne bei Fragen zum Thema Konzendatenschutzbeauftragter für Unternehmensgruppen zur Verfügung. Nehmen Sie Kontakt mit uns auf, wenn wir Sie in diesem Zusammenhang unterstützen dürfen.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy