Datenschutz im Konzern

14. März 2023

Datenschutz Verstehen – Datenschutz im Konzern

Kurze Einleitung

Konzerne verarbeiten oft eine große Menge an personenbezogenen Daten, wie etwa Kundendaten oder Daten von Beschäftigten. Sie sind daher dazu verpflichtet, sicherzustellen, dass diese Daten rechtmäßig und transparent verarbeitet werden und dass angemessene Sicherheitsmaßnahmen getroffen werden, um die Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

Diese Verpflichtungen ergeben sich aus Datenschutzgesetzen und -verordnungen, die in vielen Ländern der Welt existieren, wie z.B. die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union (EU). Zudem ist es für Konzerne, welche oft in der öffentlichen Wahrnehmung stehen, von großer Bedeutung Haftungsrisiken zu minimieren und Kundenvertrauen zu erhöhen. In diesem Beitrag erfahren Sie, wie Konzerne diese Ziele erreichen.

Inhalt:

Was sind die Besonderheiten für den Datenschutz im Konzern?
Datenübermittlung im Konzern nach der DSGVO
Gibt es ein Konzernprivileg in der DSGVO?
Organisation des Datenschutzes im Konzern
Konzerndatenschutzbeauftragten bestellen
Datenschutzkoordinatoren im Konzern benennen
Datenschutzmanagementsystem im Konzern
Welche Aufsichtsbehörde ist im Konzern zuständig?
Fazit: Datenschutz im Konzern gewährleisten

Anfrage Datenschutz

Datenschutz von Juristen.

Unser Team besteht aus zertifizierten Juristen mit Branchenexpertise. Buchen Sie sich eine kostenfreie Erstberatung.

Erstgespräch buchen

Was sind die Besonderheiten für den Datenschutz im Konzern?

Wenn ein Unternehmen in mehreren Ländern tätig ist, muss es sicherstellen, dass es in allen Ländern, in denen es tätig ist, den geltenden Datenschutzbestimmungen entspricht. Das macht den Datenschutz oftmals sehr komplex. Oftmals sind Konzerne nicht nur in der EU tätig, sondern international. Zum Beispiel sind für einige Konzerne folgende Gesetze zu beachten:

Europäische Union: Die Datenschutz-Grundverordnung (DSGVO) regelt den Schutz personenbezogener Daten in der EU und gilt seit dem 25. Mai 2018.
USA: Der California Consumer Privacy Act (CCPA) und der Children’s Online Privacy Protection Act (COPPA) sind einige der wichtigsten Datenschutzgesetze in den USA.
Kanada: Das Personal Information Protection and Electronic Documents Act (PIPEDA) regelt den Datenschutz für Unternehmen und Organisationen in Kanada.
Japan: Der Act on the Protection of Personal Information (APPI) ist das wichtigste Datenschutzgesetz in Japan.
Australien: Der Privacy Act 1988 regelt den Schutz personenbezogener Daten in Australien.
Brasilien: Das Brazilian General Data Protection Law (LGPD) ist seit September 2020 in Kraft und regelt den Schutz personenbezogener Daten in Brasilien.
Südafrika: Das Protection of Personal Information Act (POPIA) ist das wichtigste Datenschutzgesetz in Südafrika.
Schweiz: Ab dem September 2023 gilt in der Schweiz das neue Schweizer Datenschutzgesetz (DSG).

Es gibt noch viele weitere Datenschutzgesetze und -verordnungen auf der Welt, die sich oft an den EU-Datenschutzstandards orientieren und ähnliche Prinzipien und Vorschriften beinhalten.

Ein weiterer Faktor, der den Datenschutz für Konzerne komplex machen kann, sind die technologischen Entwicklungen. Neue Technologien, wie z.B. das Internet der Dinge, Künstliche Intelligenz oder Big Data, können neue datenschutzrechtliche Herausforderungen mit sich bringen, auf die Konzerne schnell reagieren müssen.

Nicht zuletzt müssen Konzerne auch darauf achten, dass sie bei der Verarbeitung personenbezogener Daten ethische und moralische Standards einhalten, um das Vertrauen ihrer Kunden und Geschäftspartner nicht zu verlieren.

Ansonsten gelten selbstverständlich sämtliche Dokumentationspflichten aus den einschlägigen Datenschutzgesetzen auch für Konzerne. Hier gibt es keine bevorzugte Behandlung für Konzerne.

Gerade Konzerne sind geprägt von vielen Freigabestufen, wodurch oft langwierige Prozesse entstehen. Im Verlauf dieses Beitrags erfahren Sie, welche Organisation sich beim Datenschutz anbietet für Konzerne.

Datenübermittlung im Konzern nach der DSGVO

Zunächst sind Unternehmen aus einem Konzernverbund oder einer Unternehmensgruppe als getrennt voneinander verantwortliche Unternehmen zu betrachten. Daher stellt sich die Frage, unter welchen Voraussetzungen Datenübermittlungen zwischen diesen Unternehmen zulässig sind. Die Zulässigkeit einer Verarbeitung wird in Artikel 6 DSGVO definiert. Demnach kann regelmäßig das berechtigte Interesse der Unternehmen gem. Art. 6 Abs. 1 lit. f) DSGVO für Datenübermittlungen die Rechtsgrundlage darstellen. Hierbei sind allerdings die Zwecke der Datenübermittlungen zwingend zu berücksichtigen. Beispielsweise sind Zwecke für interne Verwaltungsprozesse begründbar. Konzerne sollten hierbei beachten, dass das berechtigte Interesse immer begründet werden muss und diese Begründung auch in den Datenschutzinformationen zugänglich sein sollte i.S.d. Art. 13 DSGVO.

Neben der Zulässigkeit einer Datenübermittlung stellt sich ebenso die Frage nach der Sicherheit der Datenübermittlung. Ein angemessenes Sicherheitsniveau für die Datenübermittlung sollte stets durch wirksame technische und organisatorische Maßnahmen gewährleistet werden gem. Art. 32 DSGVO.

Sofern ein Konzern aus einigen Unternehmen besteht, welche den Hauptsitz in einem Drittland haben, so müssen die besonderen Bedingungen aus Art. 44 ff. DSGVO erfüllt werden. Das kann durch verschiedene Rechtsinstrumente abgesichert werden. In der Regel werden hierbei dann Intercompany Agreements (ICA) vereinbart.

Ein Intercompany Agreement (ICA) ist ein Vertrag zwischen zwei oder mehr Unternehmen, die zu einem Konzern gehören. Der Vertrag regelt die datenschutzrechtlichen Beziehungen zwischen diesen Unternehmen und stellt sicher, dass sie gemäß den geltenden rechtlichen Vorschriften handeln. Ein Intercompany Agreement wird normalerweise zwischen einer Muttergesellschaft und ihren Tochtergesellschaften geschlossen. Es kann auch zwischen Schwesterunternehmen innerhalb derselben Gruppe geschlossen werden.

Innerhalb des Intercompany Agreement können verschiedene Arten von Datenschutzvereinbarungen abgebildet werden. So können beispielsweise Auftragsverarbeitungsverträge, Verträge zur gemeinsamen Verantwortlichkeit, Standarddatenschutzklauseln und/oder Binding Corporate Rules integriert werden.

Im weiteren Verlauf klären wir Sie auf, was es mit dem Konzernprivileg auf sich hat und ob dies in Bezug auf die Datenübermittlung bei Konzernen einen Einfluss hat.

Gibt es ein Konzernprivileg in der DSGVO?

Entgegen der wiederkehrenden Forderungen im Rahmen des Gesetzgebungsverfahrens wurde in der DSGVO keine Regelung zur Verarbeitung im Konzernverbund (Konzernprivileg) aufgenommen. Datenschutzrechtlich betrachtet bleiben konzernzugehörige Unternehmen. Die DSGVO definiert diese in Art. 4 Nr. 19 als Unternehmensgruppe. Allerdings können gem. ErwGr. 48 zur DSGVO Verarbeitungen innerhalb einer Unternehmensgruppe als berechtigtes Interesse gewertet werden. Im Falle konzerninterner Übermittlungen sind danach die berechtigten Interessen des Verantwortlichen sowie unter Umständen auch dritter Konzernunternehmen regelmäßig gegeben, wobei auch die daraus folgende intendierte Zulässigkeit durch hinreichende Transparenz flankiert sein muss. Einschränkend soll dieses Interesse allein für „interne Verwaltungszwecke einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten“ gelten. Beachten Sie dabei, dass für besondere Kategorien personenbezogener Daten zusätzlich die Vorgaben von Art. 9 DSGVO zu beachten sind.

Organisation des Datenschutzes im Konzern

Die Organisation des Datenschutzes in Unternehmen kann je nach Größe und Art des Konzerns unterschiedlich sein, aber im Allgemeinen gibt es einige typische Rollen und Verantwortlichkeiten zur Steuerung des Datenschutzes:

Konzerndatenschutzbeauftragter
Koordinatoren für Datenschutz
Rechtsabteilung im Konzern
Informationssicherheitsbeauftragter
Management (IT, HR, C-Level etc.)

Die verschiedenen Rollen bearbeiten gemeinsam und kollaborativ die Aufgaben, welche aus dem Datenschutz abzuleiten sind. Dies können beispielsweise folgende Aufgaben sein:

Datenschutzrichtlinien: Unternehmen sollten interne Datenschutzrichtlinien entwickeln, die regeln, wie personenbezogene Daten innerhalb des Unternehmens und des Konzerns verarbeitet werden, wer auf diese Daten zugreifen darf und wie die Daten geschützt werden.
Verzeichnis von Verarbeitungstätigkeiten: Konzerne benötigen Verzeichnisse von Verarbeitungstätigkeiten, welche zwingend dokumentiert werden müssen.
Verträge mit Datenempfängern: Auftragsverarbeiter, gemeinsam Verantwortliche oder einfache Empfänger von Daten (selbst Verantwortliche) müssen vertraglich zur Einhaltung des Datenschutz entsprechend verpflichtet werden.
Schulungen und Schulungen: Konzerne sollten ihre Beschäftigten regelmäßig schulen, um sicherzustellen, dass sie sich der Datenschutzbestimmungen bewusst sind und wissen, wie sie personenbezogene Daten richtig handhaben und schützen können. Hier könnten die Koordinatoren auch eine wichtige Rolle einnehmen, um zusätzlich zu einem E-Learning auch face-to-face zu unterweisen.
Datensicherheit: Unternehmen sollten geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten, einschließlich der Verschlüsselung von Daten, der Beschränkung des Zugriffs auf Daten und der Einrichtung von Firewalls und anderen Sicherheitsvorkehrungen. Hier spielt insbesondere auch die Zusammenarbeit mit der Informationssicherheit und der IT-Abteilung eine große Rolle.
Incident-Response-Plan: Unternehmen sollten einen Incident-Response-Plan entwickeln, der festlegt, wie auf Datenschutzverletzungen oder -vorfälle reagiert wird, einschließlich der Benachrichtigung der betroffenen Personen, der Aufsichtsbehörden und ggf. der Öffentlichkeit.

Die Organisation des Datenschutzes in Unternehmen ist wichtig, um sicherzustellen, dass personenbezogene Daten sicher und rechtmäßig verarbeitet werden und dass die Unternehmen den geltenden Datenschutzbestimmungen entsprechen.

Datenschutz-Managementsystem

Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

Anfrage stellen

externer Datenschutzbeauftragter - Termin buchen

Konzerndatenschutzbeauftragten bestellen

In bestimmten Fällen können mehrere Unternehmen einen gemeinsamen Datenschutzbeauftragten bestellen. Gemäß dem Art. 37 Abs. 2 DSGVO können Unternehmen, die einer Konzerngruppe angehören, einen gemeinsamen Datenschutzbeauftragten bestellen, sofern dieser Datenschutzbeauftragte innerhalb der Unternehmensgruppe aufgrund seiner Aufgaben und der ihm zur Verfügung stehenden Mittel seine Aufgaben gem. Art. 39 DSGVO effektiv erfüllen kann.

Es ist jedoch wichtig zu beachten, dass der Konzerndatenschutzbeauftragte unabhängig und neutral handeln muss und keine Interessenkonflikte haben darf, die seine Fähigkeit beeinträchtigen könnten, seine Aufgaben effektiv zu erfüllen.

Vor diesem Hintergrund und anderen haftungsrechtlichen Vorteilen bestellen einige Konzerne einen externen Datenschutzbeauftragten für den gesamten Konzern.

Datenschutzkoordinatoren im Konzern benennen

Datenschutzkoordinatoren sind Beschäftigte in Konzernen, die für die Koordination und Überwachung der Datenschutzaktivitäten verantwortlich sind. Sie arbeiten eng mit dem Datenschutzbeauftragten und anderen relevanten Abteilungen wie der IT-Abteilung, dem Rechts- und Compliance-Team zusammen, um sicherzustellen, dass der Konzern die geltenden Datenschutzbestimmungen erfüllt.

Die Rolle des Datenschutzkoordinators kann je nach Unternehmen und Branche unterschiedlich sein, aber im Allgemeinen umfasst sie folgende Aufgaben:

Koordination und Überwachung der Datenschutzaktivitäten im Unternehmen.
Überprüfung und Aktualisierung der Datenschutzrichtlinien und -verfahren.
Zusammenarbeit mit anderen Abteilungen, um sicherzustellen, dass Datenschutzaspekte in der Entwicklung neuer Produkte und Dienstleistungen berücksichtigt werden.
Durchführung von Risikobewertungen und -analysen, um potenzielle Datenschutzrisiken zu identifizieren und zu minimieren.
Überwachung und Bewertung von Drittanbietern, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten.

Datenschutzkoordinatoren müssen nicht, wie etwa der Datenschutzbeauftragte, formal bestellt und gemeldet werden, sondern lediglich intern ernannt werden. Es bietet sich an die Ernennung intern zu veröffentlichen.

Datenschutzmanagementsystem im Konzern

Ein Datenschutzmanagementsystem (DSMS) ist ein Rahmenwerk oder eine Systematik zur Verwaltung von Datenschutzrisiken und zur Erfüllung von Datenschutzanforderungen in einem Konzern. Ein DSMS umfasst in der Regel eine Reihe von Prozessen, Richtlinien und Verfahren, die darauf abzielen, die Einhaltung der Datenschutzbestimmungen sicherzustellen und die Sicherheit und Integrität personenbezogener Daten zu gewährleisten. In Konzernen ist ein digitales DSMS fast unverzichtbar, weil die Unternehmensprozesse in der Vielzahl sich ständig im Wandel befinden.

Datenschutzmanagementsysteme in Konzernen sollten mind. folgende Funktionen beinhalten, um eine effiziente Steuerung des Datenschutzes zu erfüllen:

Mehrmandantenfähiges System, um den gesamten Konzern abbilden zu können.
Aufgabenmanagement für den gesamten Konzern.
Verwaltung aller Verträge für Datenempfänger im Konzern.
Einfache Erstellung aller Pflichtdokumentationen.
Geführte Risikobewertungen für Datenschutz-Folgenabschätzungen (DSFA).
Automatische Berichterstattung und Kommunikation von Datenschutzaktivitäten und -risiken gegenüber Stakeholdern.

Die Implementierung eines Datenschutzmanagementsystems hilft Unternehmen und Organisationen, ihre Datenschutzrisiken zu minimieren und sicherzustellen, dass sie den geltenden Datenschutzbestimmungen entsprechen. Es kann auch dazu beitragen, das Vertrauen der Kunden und Geschäftspartner zu stärken und den Aufwand für den Datenschutz zu minimieren. Hier erfahren Sie mehr dazu.

Welche Aufsichtsbehörde ist im Konzern zuständig?

Es sind in der Regel mehrere Aufsichtsbehörden zuständig, sofern der Konzern einige Niederlassungen oder Unternehmen in verschiedenen Ländern besitzt. Die Aufsichtsbehörde der Hauptniederlassung des Konzerns ist federführend zuständig auch bei grenzüberschreitenden Datenübermittlungen.

Fazit: Datenschutz im Konzern gewährleisten

Konzerne werden im Wesentlichen nicht anders behandelt als andere Unternehmen nach den geltenden Datenschutzvorschriften. Die Gewährleistung des Datenschutzes im Konzern ist komplex und bedarf daher einer klaren Rollendefinition und dem Aufbau eines Datenschutzmanagementsystems. Es bietet sich oftmals an einen externen Datenschutzbeauftragten hinzuzuziehen oder mindestens einen externen Datenschutz-Juristen. Unternehmen sollten zudem eine Kultur des Datenschutzes fördern, in der Beschäftigte und Führungskräfte sich bewusst sind, dass Datenschutz ein zentraler Bestandteil der Geschäftstätigkeit ist. Eine starke Datenschutz-Kultur kann dazu beitragen, das Risiko von Verstößen zu minimieren, indem Beschäftigte und Führungskräfte in der Lage sind, potenzielle Risiken frühzeitig zu erkennen und entsprechende Maßnahmen zu ergreifen.

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Datenschutz im Konzern

Inhalt:

Was sind die Besonderheiten für den Datenschutz im Konzern?

Datenübermittlung im Konzern nach der DSGVO

Gibt es ein Konzernprivileg in der DSGVO?

Organisation des Datenschutzes im Konzern

Konzerndatenschutzbeauftragten bestellen

Datenschutzkoordinatoren im Konzern benennen

Datenschutzmanagementsystem im Konzern

Welche Aufsichtsbehörde ist im Konzern zuständig?

Fazit: Datenschutz im Konzern gewährleisten

Blog

NIS2-Richtlinie für mehr Cybersicherheit

Datenschutz und Datensicherheit

Datenschutz im Fitness-Studio nach der DSGVO – Das müssen Sie wissen

Wir verwenden Cookies

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy