Die Anzahl der Maßnahmen, die für eine angemessene Datensicherheit zu treffen sind, kann je nach Unternehmen stark variieren. Entscheidend ist, innerhalb welchen Rahmens und in welchem Umfang personenbezogene Daten verarbeitet werden. Im Allgemeinen gilt: Je größer das Unternehmen, desto umfassender sind meist die Maßnahmen zum Datenschutz.

Dementsprechend kann der Datenschutz innerhalb von Großunternehmen eine beachtenswerte Aufgabe darstellen. Eine der größten Herausforderungen ist die enorme Komplexität, der sich die Verantwortlichen stellen müssen.

Was ist Konzerndatenschutz?

Zunächst ist es erforderlich, den Begriff „Konzern“ richtig zu verstehen. Ein Konzern ist keinesfalls nur ein Großunternehmen – vielmehr handelt es sich um einen Zusammenschluss mehrerer Unternehmen, die unter gemeinsamer Führung stehen. Die einzelnen Unternehmen können in derselben Branche tätig sein und somit einen horizontal oder vertikal strukturierten Konzern bilden. Ebenso gibt es laterale Konzerne, deren Unternehmen wiederum in verschiedenen Branchen angesiedelt sind und daher im Tagesgeschäft nichts miteinander zu tun haben.

Der Konzerndatenschutz steht für eine Lösung, die eine angemessene Datensicherheit innerhalb der gesamten Konzernstruktur sicherstellt und somit alle Geschäftseinheiten einschließt.

Wie funktioniert Datenschutz im Konzern?

Eine der häufigsten und zugleich größten Schwierigkeiten beim Konzerndatenschutz besteht darin, dass nicht die Möglichkeit gegeben ist, eine einzelne klassische Datenschutzlösung zu entwickeln und diese innerhalb aller Konzernunternehmen zu implementieren. Je nach Unternehmen können ganz andere Problemstellungen auftreten, die es individuell zu lösen gilt.

Selbstverständlich ist eine zentrale und zugleich einheitliche Datenschutzlösung nicht auszuschließen. Je nach Konzernstruktur ist sie durchaus umsetzbar, weil das Führungsunternehmen im Konzern über entsprechende Macht verfügt und eine Umsetzung „verordnen“ kann. Dennoch sind solche Konstellationen in der Praxis eher selten anzutreffen. Allerdings ist es nicht ungewöhnlich, dass die Datenschutzkonzepte und Maßnahmen der einzelnen Konzernunternehmen von zentraler Stelle aus überwacht werden.

In den vielen Konzernen setzen die zugehörigen Unternehmen auf Einzellösungen, d.h. sie entwickeln separate Datenschutzlösungen. Diese Verfahrensweise bringt den Vorteil mit sich, dass die einzelnen Konzepte optimal zugeschnitten und außerdem besser zu verstehen sind. Im Gegenzug ist es wiederum erforderlich, einen höheren Gesamtaufwand zu betreiben, weil beispielsweise jedes Unternehmen einen anderen Datenschutzbeauftragten stellt.

Einige Konzerne erweitern ihren Datenschutz um Binding Corporate Rules. Diese sind als Gesamtlösung zu verstehen, die einen rechtssicheren Datenaustausch zwischen den einzelnen Konzernunternehmen ermöglichen – und das sogar über die Grenzen der Europäischen Union hinaus. Allerdings gilt die eigentliche Ausarbeitung als aufwendig, d.h. sie setzt enormes Fachwissen voraus und kann ein bis zwei Jahre andauern.

Auf was muss beim Datenschutz im Konzern geachtet werden?

Das mitunter wichtigste Thema beim Datenschutz im Konzernumfeld ist die Behandlung der Konzernunternehmen. Es gilt zu entscheiden, ob der Datenschutz in den einzelnen Geschäftseinheiten separat behandelt oder stattdessen eine einheitliche Lösung installiert wird. Wie am besten verfahren wird, lässt sich pauschal nicht sagen. Schlussendlich kommt es ganz darauf an, welchen datenschutzrelevanten Herausforderungen sich die einzelnen Unternehmen zu stellen haben. Entscheidend ist in diesem Zusammenhang, dass die Verantwortlichkeiten klar geregelt sind.

Ein weiteres und zugleich sehr bedeutsames Thema ist der unternehmensübergreifende Austausch von Daten. Konzernlenker neigen zur Schaffung von Synergieeffekten, um dadurch Wettbewerbsvorteile zu erlangen. In der Praxis werden daher gerne Datenpools gebildet, die mehrere Konzernunternehmen gemeinsam nutzen. Ein ganz typisches Beispiel ist der Austausch von Daten über Bewerbern oder Mitarbeiter, um damit die Möglichkeiten im Personalmanagement zu erweitern. Solch ein Austausch ist aus datenschutzrechtlicher Sicht jedoch äußerst kritisch. Es müssen klare Regelungen geschaffen und Einverständniserklärungen der Betroffenen eingeholt werden (Arbeitnehmerdatenschutz), damit solch eine Verfahrensweise zulässig ist.

Wie ist mit dem Datenschutzbeauftragter zu verfahren?

Es gibt Konzerne, die sich darum bemühen, einen zentralen Datenschutzbeauftragten zu bestellen, der den Datenschutz in sämtlichen Geschäftseinheiten koordiniert und letztlich auch verantwortet. Attraktiv ist diese Lösung vor allem aus einem Grund: Es gibt einen zentralen Ansprechpartner, über den gesamten Konzerndatenschutz im Bilde ist.

Allerdings gestaltet es sich in der Praxis oft schwierig, so zu verfahren. Innerhalb der einzelnen Konzernunternehmen ist der Datenschutz manchmal sehr komplex und erfordert daher die gesamte Aufmerksamkeit eines einzelnen Datenschutzbeauftragten. Daher neigen viele Konzerne dazu, einzelnen Geschäftseinheiten eigene Datenschutzbeauftragte zuzuordnen.

Übrigens bietet es sich auch im Konzernumfeld an, auf die Bestellung eines externen Datenschutzbeauftragten zurückzugreifen und somit von den wesentlichen Vorzügen zu profitieren. Es locken Kostenvorteile und zugleich fällt es leichter, sich innerhalb der Konzernunternehmen auf das eigentliche Kerngeschäft zu konzentrieren.

Sollten Sie Fragen zum Datenschutz in Konzernen oder Großunternehmen haben, nehmen Sie bitte Kontakt auf. Gerne stehen wir Ihnen mit Rat und Tat zur Seite.