Konzerndatenschutzbeauftragter – Aufgaben & Anforderungen der DSGVO

Fachbeitrag

Das alte BDSG kannte noch nicht die Möglichkeit der Bestellung eines Konzerndatenschutzbeauftragten. In der DSGVO wird diese nun ausdrücklich in Art. 37 Abs. 2 DSGVO genannt. Der Artikel stellt die Rolle und Aufgaben des Konzerndatenschutzbeauftragten dar.

Benennung des Konzerndatenschutzbeauftragten

Eine Gruppe von Unternehmen darf einen gemeinsamen Datenschutzbeauftragten benennen. Der Begriff der Unternehmergruppe ist in Art. 4 Nr. 19 DSGVO definiert als eine Gruppe, die aus einem herrschenden und von diesem abhängigen Unternehmen besteht. Art. 37 Abs. 2 DSGVO stellt es somit der Unternehmensgruppe frei, statt jeweils einen Datenschutzbeauftragten für jedes Unternehmen einen gemeinsamen Datenschutzbeauftragten für alle Unternehmen zu benennen.

Konzerndatenschutzbeauftragter – Anforderungen

Der Art. 37 Abs. 2 DSGVO schreibt vor, dass sichergestellt werden muss, dass der Konzerndatenschutzbeauftragten von jeder Niederlassung der Unternehmensgruppe leicht erreichbar ist. Hierfür reicht es nicht aus, dass die Kontaktdaten der Aufsichtsbehörde zur Verfügung stehen. Vielmehr soll der Konzerndatenschutzbeauftragte in der Lage sein, mit den Mitarbeitern, den Betroffenen und den Aufsichtsbehörden vor Ort zu kommunizieren.

Barriere für eine leichte Erreichbarkeit kann die Sprache sein. Für die Benennung des Konzerndatenschutzbeauftragten dürfte neben der fachlichen Qualifikation auch die sprachliche Qualifikation wichtig sein. Bei großen Konzernunternehmen kann wohl nicht gefordert werden, dass der Konzerndatenschutzbeauftragte jede Sprache des Landes der jeweiligen Niederlassung spricht. Es kann aber gefordert werden, dass er die gängigen Fremdsprachen wie z.B. Englisch, Französisch und Spanisch spricht. Wenn eine ,,leichte Erreichbarkeit“ an der sprachlichen Barriere scheitert, sollte ein Konzern einen lokalen Ansprechpartner für datenschutzrechtliche Belange der einzelnen Niederlassung einstellen, die dem Konzerndatenschutzbeauftragten zuarbeitet.

Aufgaben des Konzerndatenschutzbeauftragten

Die Aufgaben des Konzerndatenschutzbeauftragten orientieren sich grundsätzlich an Art 39 DSGVO. Diese sind insbesondere:

  • Einhaltung und Überwachung der DSGVO im Konzern,
  • Aufklärung der Mitarbeiter der gesamten Unternehmensgruppe,
  • Kommunikation mit der Aufsichtsbehörde.

Zentrale Datenschutzorganisation für Konzerne

Eine zentrale Datenschutzorganisation für Konzerne an deren Kopf ein Konzerndatenschutzbeauftragter steht, kann Vorteile haben. Durch die zentrale Organisation kann die Etablierung eines gleichmäßigen Datenschutzniveaus in der Unternehmergruppe erreicht werden. Bei der Datenschutzorganisation im Konzern haben sich die folgenden, zwei Modelle durchgesetzt.

Das Einheitsmodell

Nach dem Einheitsmodell hat ein und dieselbe Person die Funktion des Datenschutzbeauftragten für mehrere oder sämtliche Konzernunternehmen inne. Hierbei hat jede Konzerntochter diese Person ordnungsgemäß als Konzerndatenschutzbeauftragten benannt. Je größer der Konzern ist, desto mehr Ressourcen und Mitarbeiter benötigt der Konzerndatenschutzbeauftragte im Einheitsmodell.

Das Koordinationsmodell

Als Alternative zum Einheitsmodell gilt das Koordinationsmodell. Hier wird für jedes Unternehmen der Gruppe ein Datenschutzbeauftragter benannt, wobei dann aber die konzernweite Organisation durch einen Konzerndatenschützer gelenkt wird.

Abschließend soll noch ein Blick auf die Beziehung zwischen den Konzerndatenschutzbeauftragten und den Datenschutzbeauftragten im Koordinationsmodell geworfen werden. Es könnte kritisiert werden, dass im Koordinationsmodell die Unabhängigkeit der einzelnen Datenschutzbeauftragten gefährdet sein könnte. Hierzu ist aber zu sagen, dass der Konzerndatenschutzbeauftragte im Koordinationsmodell, die Datenschutzorganisation nur organisieren soll und nicht den einzelnen Datenschutzbeauftragten der Gruppenunternehmen Weisungen geben soll.

Herausforderung: Datenschutzorganisation im Konzern

Die Aufnahme des Konzerndatenschutzbeauftragten in die DSGVO zeigt, dass der Gesetzgeber einen realistischen Blick auf die heutigen Unternehmensstrukturen hat. Auch wenn es kein Konzernprivileg gibt, wurde die DSGVO in einigen Teilen praktikabel für Konzerne gestaltet. Die Position des Konzerndatenschutzbeauftragten gehört dazu. Auch wenn die Benennung eines Konzerndatenschutzbeauftragten für einen Konzern viele Vorteile hat, ist der Aufbau einer Datenschutzorganisation im Konzern langwierig. Der Konzerndatenschutzbeauftragte kann diese Aufgabe nur mit der richtigen finanziellen und personellen Ausstattung sowie dem Rückhalt der Konzernführung meistern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Hallo,
    den Artikel finde ich sehr interessant! Ich frage mich nur: Kann man fordern, dass der Konzerndatenschutzbeauftragte auch der deutschen Sprache mächtig ist? Wir sind ein internationales Unternehmen und haben einen europäischen Konzern mit 5 von 15 Standorten in der BRD.
    Für eine Antwort wäre ich Ihnen sehr verbunden!

    • Letzten Endes wird es in einem internationalen Konzern üblich sein, dass das Personal der englischen Sprache mächtig ist. Ob der Konzerndatenschutzbeauftragte auch eine andere Sprache beherrschen muss, ist vom Einzelfall abhängig. Die Sprache soll ein Mittel sein, dass dazu führt, dass der Konzerndatenschutzbeauftragte von allen Mitarbeitern der Konzernunternehmen leicht erreichbar ist. In Ihrem Fall könnte die Tatsache, dass 5 von 15 Standorten in der BRD sind und somit ein beträchtlicher Teil der Angestellten innerhalb des Konzerns Deutsch sprechen, ein Argument dafür sein, dass es für die leichte Erreichbarkeit notwendig ist, dass der Konzerndatenschutzbeauftragten deutsch spricht.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.