Konzerndatenschutzbeauftragter nach DSGVO

Datenschutz Verstehen – Konzerndatenschutzbeauftragter nach DSGVO

Kurze Einleitung

Sobald es um Fragen zum Konzerndatenschutz geht, wird schnell deutlich, dass im Datenschutz einige Hürden gemeistert werden müssen. Denn je mehr personenbezogene Daten verarbeitet werden, desto größer ist das Risiko für Fehler oder nicht ausreichend organisierte Prozesse. Dennoch bietet Art. 37 Abs. 2 der europäischen Datenschutz-Grundverordnung (DSGVO) einer Unternehmensgruppe die Möglichkeit einen gemeinsamen Datenschutzbeauftragten zu benennen, solange dieser leicht von jeder Niederlassung erreicht werden kann. Die sog. Unternehmensgruppe ist in Art. 4 Nr. 19 DSGVO definiert und stellt eine Gruppe dar, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht, was zugleich der Definition des § 18 des Aktiengesetzes (AktG) entspricht. Ziel ist es hierbei, eine einheitliche Lösung für alle verantwortlichen Unternehmen innerhalb der Unternehmensgruppe im Datenschutzrecht zu schaffen. 

 

Was ist ein Konzerndatenschutzbeauftragter?

Die Bezeichnung des Konzerndatenschutzbeauftragten kennt die DSGVO als solches nicht, in Art. 37 Abs. 2 DSGVO wird dieser als gemeinsamer Datenschutzbeauftragter bezeichnet. Er ist im Grunde genommen ein einzelner Datenschutzbeauftragter, der die Umsetzung des Datenschutzes zentral über mehrere Unternehmen eines Konzerns koordiniert, doch zunächst werfen wir einen Blick auf den Datenschutzbeauftragten. Diese sind zuständig für die gesamte Koordination des Schutzes personenbezogener Daten in einem Unternehmen. Sie gestalten maßgeblich das datenschutzkonforme Vorgehen bei der Verarbeitung dieser Daten. Als erste Ansprechpartner für Geschäftsführung, Mitarbeiter und Geschäftspartner unterstützen Sie jeden Bereich eines Unternehmens in Fragen des Datenschutzes gemäß Art. 37 Abs. 1 DSGVO und übernehmen somit eine wichtige Rolle, u.a. bei der Unterstützung für die Bearbeitung von Betroffenenrechten. Zu den Aufgaben von Datenschutzbeauftragten gehören ferner die Beratung bei Datenschutz-Folgenabschätzungen, sowie die Sensibilisierung und Schulung der Mitarbeiter, die personenbezogene Daten verarbeiten. Besonders zu betonen ist, dass Datenschutzbeauftragte nicht an Weisungen gebunden sind, vgl. Art. 38 Abs. 3 S. 1 DSGVO. Genau diese Rolle übernimmt auch der Konzerndatenschutzbeauftragte, jedoch gibt es hier einige Besonderheiten, die zu berücksichtigen sind.

 

Aufgaben Konzerndatenschutzbeauftragter

Ganz im Sinne der sogenannten Beweislastumkehr gem. Art. 5 Abs. 2 DSGVO müssen Unternehmen und Konzerne die Einhaltung des Datenschutzes nachweisen können, hierbei werden die Verantwortlichen durch den Datenschutzbeauftragten und den Konzerndatenschutzbeauftragten unterstützt und beraten, vgl. Art. 39 DSGVO. Diese Nachweispflicht gilt für alle erdenklichen Aufgaben, in denen personenbezogenen Daten verarbeitet werden. Der koordinative und organisatorische Aufwand ist in einem Konzern um einiges höher aufgrund der höheren Anzahl der Beschäftigten und Kunden der zusammengeschlossenen Unternehmen. Doch auch die Struktur der einzelnen zusammenarbeitenden Unternehmen muss geregelt sein. Besonders, wenn die Unternehmensgruppe über die Ländergrenzen der Europäischen Union hinaus personenbezogene Daten verarbeitet, müssen komplexe Themen wie zum Beispiel internationale Datenübermittlungen personenbezogener Daten und hierfür geeignete Garantien berücksichtigt und implementiert werden. Eine weitere Schwierigkeit für den Konzerndatenschutzbeauftragten stellt die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO dar, da hier ein Gesamtüberblick über alle erheblichen Prozesse erforderlich ist. Eine nicht ausreichend fundierte organisatorische Aufstellung des Konzerns, kann folglich zu erschwerten Bedingungen führen. Außerdem ist bei internationalen Konzernen zu berücksichtigen, dass nicht nur die DSGVO einschlägige Vorgaben stellt, die einzuhalten sind. Selbst wenn eine Unternehmensgruppe ausschließlich in der EU angesiedelt ist, sind auch hier die Gesetze der jeweiligen Länder mit einzubeziehen zum Beispiel das deutsche Bundesdatenschutzgesetz (BDSG-neu). Weitere Verpflichtungen können sich zudem aus Gesetzen in den jeweiligen Drittländern ergeben, wenn dort personenbezogene Daten verarbeitet werden. Deutlich wird, dass es sich bei der Umsetzung des Datenschutzes in einer Unternehmensgruppe um eine komplexe Tätigkeit handelt, die viel Know-How und juristische Expertise im Bereich des Datenschutzrechts erfordert. 

Weitere Aufgaben von Konzerndatenschutzbeauftragen

  • Erstellung und Implementierung eines Datenschutzkonzepts
  • Betreuung und Beratung aller der Unternehmensgruppe zugehörigen Unternehmen
  • Einschätzung eines Risikoprofils
  • Betreuung bei der Erstellung eines Datenschutz Managementsystems (DSMS)
  • Erarbeitung aller relevanten Dokumente zur Umsetzung des Datenschutzes wie z.B. Vorlagen für Einwilligungserklärungen, Datenschutzerklärungen, Verzeichnis von Verarbeitungstätigkeiten (VVT), Informationsschreiben, Datenschutzfolgenabschätzung (DSFA), Prüfung und Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
  • Prüfung und Erstellung von Auftragsverarbeitungsverträgen (AVV), Organisation der Abschlüsse dieser Verträge und Ausübung von Kontrollrechten
  • Hilfe bei der Umsetzung der Betroffenenrechtee (Recht auf Auskunft, Recht auf Löschung, Recht auf Berichtigung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht)
  • Erstellung von Datenschutzrichtlinien und Vereinbarungen
  • Vereinheitlichung und Harmonisierung der Datenschutzprozesse
  • Hilfe bei Umsetzung des Beschäftigtendatenschutzes
  • Beratung für den Bewerberdatenschutz und für Fragen zum On- und Offboarding 
  • Beratung für Löschkonzepte
  • Schulung und Sensibilisierung der Mitarbeiter 
  • Korrespondenz mit den Aufsichtsbehörden
  • Fortlaufende Überwachung der Prozesse
  • Regelmäßige Erstellung von Auditberichten (Jahresauditbericht)
 

Position eines Konzerndatenschutzbeauftragten

Nicht nur anspruchsvollen Aufgaben, sondern auch die hohe Verantwortung für den von der EU geforderten Datenschutz machen den Datenschutzbeauftragten eines Konzerns zu einer Person mit wichtiger Beratungsfunktion. Dies äußert sich auch in dem vom deutschen Gesetzgeber geforderten besonderen Kündigungsschutz des Datenschutzbeauftragten im Sinne des § 6 Abs. 4 in Verbindung mit § 38 Abs. 2 BDSG-neu. Hiernach ist eine ordentliche Kündigung des Datenschutzbeauftragten nicht möglich, dies gilt auch für den Zeitraum von einem Jahr nach Beendigung der Tätigkeit. Hiervon unberührt bleibt lediglich die Kündigung aus wichtigem Grund gemäß § 626 BGB. Das bedeutet, dass nur durch Vorliegen von Tatsachen, die einen derartigen Grund rechtfertigen, eine außerordentliche Kündigung möglich ist. 

Auch die DSGVO erachtet den Kündigungsschutz für Datenschutzbeauftragte als erheblich und trifft in Art. 38 Abs. 3 S. 2 DSGVO folgende Regelung:

“Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.”

Diese Regelung erscheint unverhältnismäßig, doch auch hier zeigt sich die Zweckmäßigkeit für Unternehmen: Denn bei nicht datenschutzkonformer Umsetzung der DSGVO oder des BDSG-neu drohen sensible Strafen und Bußgelder, die durch einen Datenschutzbeauftragten vermieden werden können. Dennoch mag die Auswahl des Konzerndatenschutzbeauftragten wohlüberlegt sein, da eine Fehlentscheidung zu langfristigen Konsequenzen führen kann.

 
Sie suchen einen Datenschutzbeauftragten?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei und unverbindlich von Keyed ein Angebot für die Umsetzung im Datenschutz.

Slider

Gehalt eines Konzerndatenschutzbeauftragten

In der Praxis gestaltet sich die Besetzung eines Konzerndatenschutzbeauftragten häufig schwierig. Teilweise ist der Datenschutz in einem einzelnen Unternehmen des Konzerns bereits derart anspruchsvoll, dass ein einzelnes Unternehmen einen Vollzeit-Datenschutzbeauftragten für sich benötigt. Ein interner Konzerndatenschutzbeauftragter für alle Unternehmen würde in diesem Zusammenhang nicht ausreichen. ,Unternehmensgruppen benötigen aufgrund der Vielzahl und Komplexität von Datenverarbeitungen ein gut strukturiertes Datenschutzmanagementsystem und ausreichend personelle Ressourcen, um dem geforderten Datenschutz zu genügen. 

In Großkonzernen findet sich häufig die Abteilung „Konzerndatenschutz“ mit dem Konzerndatenschutzbeauftragten als Abteilungsleiter und den ihm untergeordneten Personal. Dieses Personal wird meistens als „Referent Datenschutz“ oder “stellvertretender Datenschutzbeauftragter” bezeichnet. Die Mitarbeiter des Konzerndatenschutzbeauftragten sollten typischerweise ebenfalls fundierte Kenntnisse im Datenschutz vorweisen können und die durch Art. 37 Abs. 5 DSGVO geforderte Qualifikation besitzen. Daher sind für Unternehmen weitere Kosten zu beachten. Die Konzerndatenschutzbeauftragten sind hinsichtlich des Gehalts einem Volljuristen bzw. Syndikusanwalt gleichzustellen. Allerdings ist zu berücksichtigen, dass Konzerndatenschutzbeauftragte die Leitung der Abteilung Konzerndatenschutz übernehmen und sich somit die Verantwortung erhöht. Dies spiegelt sich auch im Gehalt wider, sodass ein durchschnittliches Gehalt von 70.000 – 110.000 Euro pro Jahr erzielt werden kann. 

 

Wer darf als Konzerndatenschutzbeauftragter bestellt werden?

Unternehmen und Konzerne verfolgen in erste Linie wirtschaftliche Ziele. Gerade wenn es um Datenschutz geht, entsteht häufig ein großes Konfliktpotenzial, wenn zwischen Datenschutz und Wirtschaftlichkeit abzuwägen ist. Der Konzerdatenschutzbeauftragte übernimmt in diesem Fall die Kontrollinstanz, um in notwendigen Situationen sich für die Einhaltung des Datenschutzes einzusetzen. Daher ist insbesondere bei der Wahl des Datenschutzbeauftragten darauf zu achten, dass es nicht zu Interessenkonflikten kommen kann. Dieser Interessenkonflikt kann gemäß Art. 38 Abs. 6 DSGVO durch die Wahrnehmung anderer Aufgaben und Pflichten durch den Datenschutzbeauftragten entstehen, so z.B., wenn dieser neben der Rolle als Datenschutzbeauftragter auch als IT-Leiter des Unternehmens agiert. 

Gerade weil Schulungen organisiert und durchgeführt werden, Prozesse fortlaufend analysiert werden müssen und der Datenschutzbeauftragte eine Kontrollfunktion erfüllen soll, ist es besonders relevant unvoreingenommen zu sein und den Fokus hauptsächlich auf die Umsetzung des Datenschutzes zu legen.

Wie muss die Bestellung zum Konzerndatenschutzbeauftragten gestaltet sein?

Der Datenschutzbeauftragte einer Unternehmensgruppe wird durch die Bestellung zum Konzerndatenschutzbeauftragten benannt. Um eine konforme Bestellung durchzuführen, wird eine Bestellungsurkunde aufgesetzt und von der Geschäftsleitung aller Unternehmen unterzeichnet. Der Grund dafür ist, dass die Unternehmensgruppe kein Konzernprivileg besitzt und es somit auch nicht ausreicht, wenn nur das herrschende Unternehmen die Bestellungsurkunde unterschreibt. Die DSGVO betrachtet Unternehmensgruppen nicht pauschal als einheitliche Stelle, sondern als eigenständige verantwortliche Einheiten. Für eine wirksame Bestellung muss aus der Bestellungsurkunde genau hervorgehen, welche natürliche Person Konzerndatenschutzbeauftragter wird und daraus resultierend die Verantwortung als Konzerndatenschutzbeauftragter übernimmt.

 

Konzerndatenschutzbeauftragter extern bestellen

Auch wenn bei konkreten Fragen zum Datenschutz nicht die Wirtschaftlichkeit im Vordergrund stehen sollte, ist es dennoch ratsam alle Möglichkeiten in Betracht zu ziehen und miteinander zu vergleichen. Hier stehen Unternehmen nämlich zwei Alternativen zur Verfügung: Der Konzendatenschutzbeauftragte kann sowohl intern als auch extern bestellt werden. Die Bestellung eines externen Konzerndatenschutzbeauftragten kann viele in diesem Blogbeitrag genannten Probleme und Herausforderungen lösen. Wer auf einen externen Datenschutzbeauftragten statt einem internen Datenschutzbeauftragten zurückgreift, kann auf ein fundiertes Team vertrauen, anstatt auf eine einzelne Person, die den Gesamtüberblick behalten muss. Die Arbeit im Team ermöglicht den Zusammenschluss von unterschiedlichen datenschutzrechtlichen Expertisen, z.B. im Hinblick auf komplexe Drittlandstransfers oder Eigenheiten gewisser Branchen. Ein externer Datenschutzbeauftragter besitzt durch die Betreuung vieler Kunden aus unterschiedlichen Branchen ein größeres Know-How, was für Unternehmensgruppen mit unterschiedlichen Unternehmen (z.B. Unternehmensgröße, Branche, etc.) vorteilhaft sein kann. 

Es kann außerdem auf bestehende Prozesse und Systeme zurückgegriffen werden. Für externe Datenschutzbeauftragte ist neben dem Einsatz von Datenschutzmanagementsystemen ein systematisches Vorgehen essentiell, um eine richtige Abwicklung der datenschutzrechtlichen Vorgaben zu gewährleisten, wohingegen ein interner Datenschutzbeauftragter nicht von diesen Erfahrungen eines externen Datenschutzbeauftragt. Weitere besondere Merkmale eines externen Konzerdatenschutzbeauftragten sind der fehlende besondere Kündigungsschutz für interne Datenschutzbeauftragte und der fehlende Interessenkonflikt, da ein externer Datenschutzbeauftragter keine anderweitigen Aufgaben und Tätigkeiten wahrnimmt und somit den Datenschutz objektiv und unabhängig umsetzen kann. Darüber hinaus profitieren Unternehmensgruppen von den Kostenvorteilen für einen externen Konzerndatenschutzbeauftragten im Gegensatz zu einem internen Datenschutzbeauftragten inkl. einer gesamten internen Abteilung für den Datenschutz. 

Die Experten von Keyed stehen Ihnen gerne bei Fragen zum Thema Konzendatenschutzbeauftragter für Unternehmensgruppen zur Verfügung. Nehmen Sie Kontakt mit uns auf, wenn wir Sie in diesem Zusammenhang unterstützen dürfen.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN