Je größer das Unternehmen, desto vielseitiger und komplexer sind die datenschutzrechtlichen Herausforderungen. Im Konzernumfeld müssen sich Verantwortliche anspruchsvollen Herausforderungen im Datenschutz stellen. Es lauern zahlreiche Stolpersteine, die bei Missachtung zu hohen Bußgeldern führen.

Was ist Konzerndatenschutz?

Der Konzerndatenschutz basiert auf einem umfassenden System, das ein angemessenes Datenschutzniveau innerhalb der gesamten Konzernstruktur sicherstellt und somit alle Geschäftseinheiten einschließt.

Ein Konzern ist ein Zusammenschluss mehrerer Unternehmen, die unter gemeinsamer Führung stehen. Die einzelnen Unternehmen können innerhalb derselben Branche tätig sein und somit einen horizontal oder vertikal strukturierten Konzern bilden. Daneben existieren laterale Konzerne, deren Unternehmen in verschiedenen Branchen angesiedelt sind und daher im Tagesgeschäft nichts miteinander zu tun haben.

Wie funktioniert Datenschutz im Konzern?

Eines der größten Hindernisse beim Konzerndatenschutz besteht darin, dass es schwierig ist, eine einzige Datenschutzlösung zu entwickeln und diese innerhalb aller Konzernunternehmen zu implementieren. Je nach Unternehmen können andere Problemstellungen auftreten, die es individuell zu lösen gilt.

Selbstverständlich ist eine zentrale und zugleich einheitliche Datenschutzlösung nicht auszuschließen. Je nach Konzernstruktur ist sie durchaus umsetzbar, weil das Führungsunternehmen im Konzern über entsprechende Macht verfügt und eine Umsetzung „verordnen“ kann. Dennoch sind solche Konstellationen in der Praxis eher selten anzutreffen. Häufiger anzutreffen sind hingegen Datenschutzkonzepte und Maßnahmen der einzelnen Konzernunternehmen, die von zentraler Stelle aus überwacht werden.

In vielen Konzernen setzen die zugehörigen Unternehmen auf separate Datenschutzlösungen. Diese Verfahrensweise bietet den Vorteil, dass die einzelnen Konzepte optimal zugeschnitten und außerdem besser zu verstehen sind. Im Gegenzug ist es wiederum erforderlich, einen höheren Gesamtaufwand zu betreiben, weil beispielsweise jedes Unternehmen einen eigenen Datenschutzbeauftragten stellt.

Einige Konzerne erweitern ihren Datenschutz um Binding Corporate Rules. Diese sind als Gesamtlösung zu verstehen, die einen rechtssicheren Datenaustausch zwischen den einzelnen Konzernunternehmen ermöglichen – und das sogar über die Grenzen der Europäischen Union hinaus. Allerdings gilt die eigentliche Ausarbeitung als aufwendig, d.h. sie setzt umfangreiches Fachwissen voraus und kann sich über einen Zeitraum von mehreren Jahren erstrecken.

Worauf muss beim Datenschutz im Konzern geachtet werden?

Das mitunter wichtigste Thema beim Datenschutz im Konzernumfeld ist die Behandlung der Konzernunternehmen. Es gilt zu entscheiden, ob der Datenschutz in den einzelnen Geschäftseinheiten separat behandelt oder stattdessen eine einheitliche Lösung installiert wird. Schlussendlich kommt es darauf an, welchen datenschutzrelevanten Herausforderungen sich die einzelnen Unternehmen zu stellen haben. Entscheidend in diesem Zusammenhang ist eine klare Regelung der Verantwortlichkeiten.

Ein ebenfalls bedeutsames Thema ist der unternehmensübergreifende Austausch von Daten. Konzernlenker neigen zur Schaffung von Synergieeffekten, um dadurch Wettbewerbsvorteile zu schaffen. In der Praxis werden daher gerne Datenpools gebildet, die mehrere Konzernunternehmen gemeinsam nutzen. Ein typisches Beispiel hierfür ist der Austausch von Daten zu Bewerbern oder Mitarbeitern, um damit die Möglichkeiten im Personalmanagement zu erweitern. Solch ein Austausch ist aus datenschutzrechtlicher Sicht jedoch äußerst kritisch. Es müssen klare Regelungen geschaffen und Einverständniserklärungen der Betroffenen eingeholt werden (Beschäftigtendatenschutz & Datenschutz bei Bewerberdaten), damit solch eine Verfahrensweise zulässig ist.

Synergieeffekte werden auch im Feld der Unternehmens-IT geschaffen. Dort sind Themen wie Datensicherheit und IT-Wartung von großer Bedeutung. Maßnahmen aus dem Feld der Informationssicherheit, wie z.B. die Einführung eines ISMS und die Benennung eines Informationssicherheitsbeauftragten helfen dabei, Risiken wie Datenverlusten oder Datenschutzverstößen und den damit verbundenen Kostenrisiken vorzubeugen.

Wie ist mit dem Datenschutzbeauftragten zu verfahren?

Es gibt Konzerne, die einen zentralen Datenschutzbeauftragten benennen, der den Datenschutz in sämtlichen Geschäftseinheiten koordiniert und verantwortet. Attraktiv ist diese Lösung vor allem aus einem Grund: Es gibt einen zentralen Ansprechpartner, über den gesamten Konzerndatenschutz im Bilde ist.

Allerdings gestaltet sich die Umsetzung solch einer Lösung in der Praxis oft schwierig. Innerhalb der einzelnen Konzernunternehmen ist der Datenschutz manchmal sehr komplex und erfordert die gesamte Aufmerksamkeit eines einzelnen Datenschutzbeauftragten. Daher neigen viele Konzerne dazu, einzelnen Geschäftseinheiten eigene Datenschutzbeauftragte zuzuordnen.

Übrigens bietet es sich auch im Konzernumfeld an, auf die Benennung eines externen Datenschutzbeauftragten zurückzugreifen und somit von den wesentlichen Vorzügen zu profitieren. Es locken Kostenvorteile und zugleich fällt es leichter, sich innerhalb der Konzernunternehmen auf das eigentliche Kerngeschäft zu konzentrieren.

Unterstützung beim Datenschutz in Großunternehmen

Wir unterstützen Unternehmen bei der Lösung datenschutzrechtlicher Fragestellungen. Gerne stehen wir auch Ihrem Unternehmen zur Seite. Wenn Sie mehr erfahren möchten oder ein konkretes Anliegen haben, nutzen Sie am besten unsere kostenlose Erstberatung. Wir freuen uns auf Ihre Anfrage.