Konzerndatenschutzbeauftragter – Besondere Anforderungen an den Datenschutz im Konzern

konzern 03
Fachbeitrag

Das deutsche Datenschutzrecht kennt kein Konzernprivileg sondern sieht in jeder rechtlichen Einheit den Adressaten der gesetzlichen Vorgaben zum Datenschutz – ungeachtet der tatsächlichen Stellung des einzelnen Unternehmens im Konzern oder Unternehmensverbund.

Hierdurch ergeben sich für den Datenschutz in Unternehmenszusammenschlüssen besondere Anforderungen.

Was ist ein Konzern oder Unternehmensverbund

Ein Konzern wird definiert als Zusammenschluss mehrerer Unternehmen unter der einheitlichen Leitung eines herrschenden Unternehmens, § 18 AktG. Als Unternehmensverbund oder Unternehmensgruppe werden Unternehmen definiert, die entweder durch mittelbare oder unmittelbare Kontrolle der Mehrheit ihres Kapitals oder ihrer Stimmrechte oder durch die Fähigkeit, einen beherrschenden Einfluss auf ein anderes Unternehmen auszuüben einer Unternehmensgruppe angehören.

Probleme einer konzernweiten Datenverarbeitung

Gemeinsam ist diesen Zusammenschlüssen, dass eine gewisse Einheitlichkeit besteht und Entscheidungen zentral getroffen werden. Diese einheitliche, zentralisierte Organisation ist datenschutzrechtlich besonders dann problematisch, wenn – wie in der Praxis üblich – Mitarbeiter- Kunden- oder Lieferantendaten konzernweit verarbeitet, verschickt oder zugänglich gemacht werden. Denn verantwortliche Stelle ist grundsätzlich immer das Unternehmen, bei dem die Daten ursprünglich anfallen sind. Eine Weitergabe an ein anderes Unternehmen bedarf regelmäßig einer besonderen Rechtfertigung.

Auch die Auslagerung gewisser Unternehmensbereiche (Personalverwaltung, Buchhaltung, Abrechnung) und Zentralisierung der Datenverarbeitung bei der Konzernmutter ist nicht ohne weiteres möglich. Zwar kann dies unter Umständen als Auftragsdatenverarbeitung nach § 11 BDSG ausgestaltet werden. Dies gilt – rechtlich – aber nur, wenn das Konzernunternehmen tatsächlich ein Weisungsrecht gegenüber dem beauftragten Unternehmen hat und dies auch durchsetzen kann – bei einer Verarbeitung durch die Konzernmutter zumindest fraglich.

Ein weiteres Problem ist die konzernweite Auslagerung der IT auf externe Dienstleister. Erfolgt dies für alle Unternehmen der Gruppe an einen einheitlichen Dienstleister müssen sich alle einig sein und eine einheitliche Regelung finden um die Beauftragung datenschutzkonform auszugestalten.

Stellung im Konzern

Aus all dem ist ersichtlich, dass auch für Datenschutzbeauftragte in Unternehmensverbünden und Konzernen Besonderheiten gegenüber reinen Einzelunternehmen bestehen. Zwar ist jedes Unternehmen für sich selbständig und daher auch verpflichtet, einen Datenschutzbeauftragten zu bestellen. Dennoch muss regelmäßig eine einheitliche Firmenpolitik im Bereich Datenschutz implementiert und gelebt werden. Dazu ist die konstruktive Mitarbeit der einzelnen Datenschutzbeauftragten erforderlich.

Viele Unternehmen sind daher dazu übergegangen, einen einheitlichen Konzerndatenschutzbeauftragten zu bestimmen, der zwar – rechtlich – keine eigene Verantwortung und Weisungsbefugnis hat. Nach wie vor sind die einzelnen Datenschutzbeauftragten für die Einzelunternehmen zuständig und verantwortlich und in ihrer Arbeit weisungsfrei. Der Konzerndatenschutzbeauftragte kann aber wichtig sein, um etwa konzernweite Betriebsvereinbarungen oder bindende Unternehmensrichtlinien auszuarbeiten und den Datenschutz konzernweit zu organisieren.

Zentral aber nicht weisungsbefugt

Teilweise wird kritisiert, dass die einzelnen Datenschutzbeauftragten der Konzernunternehmen naturgemäß nicht so unabhängig sein können, wie es das gesetzliche Leitbild vom Datenschutzbeauftragten in § 4 f BDSG vorgibt. Denn rechtliche Bedenken eines einzelnen Datenschutzbeauftragten könnten hier die ganze Datenschutzorganisation des gesamten Konzerns torpedieren und ein vorsichtiger Datenschutzbeauftragter schnell als “Blockierer” verschrien sein.

Andererseits kann man in der zentralen Stelle “Konzerndatenschutzbeauftragter” sehr viel Fachkunde bündeln, ohne eine sinnvolle einheitliche Lösung der Datenschutzfragen nicht möglich ist. Zudem zeigt die Bestellung eines Konzerndatenschutzbeauftragten und die damit verbundenen finanziellen und personellen Ressourcen, dass der Konzern das Thema Datenschutz ernst nimmt.

Sofern die jeweiligen einzelnen Datenschutzbeauftragten ihre Pflichten und Aufgaben erfüllen können und weisungsfrei bleiben, kann eine an der Konzernspitze angesiedelte Kontrollinstanz viel zum Datenschutz beitragen!

Mehrfachtätigkeit als Datenschutzbeauftragter

Ein Spezialfall des Konzerndatenschutzbeauftragten stellt die Mehrfachtätigkeit eines Datenschutzbeauftragten dar. Hier ist ein externer Datenschutzbeauftragter gleichzeitig für mehrere Unternehmen einer Gruppe oder eines Konzerns tätig. Eine solche Lösung empfiehlt sich grundsätzlich immer, wenn ein Konzern den Bereich Datenschutz an einen externen Dienstleister auslagern möchte.

Zwar kann es auch hier bei der täglichen Arbeit zu gewissen Interessenskollisionen kommen, etwa wenn der Datenschutzbeauftragte bei der Auftragsdatenverarbeitung durch die Konzernmutter “sich selbst” überwachen muss.

Wie bei einem internen Konzerndatenschutzbeauftragten können durch die Mehrfachvergabe an einer fachkundigen Stelle sämtliche Fäden zusammenlaufen, um so einheitliche Lösungen für unternehmensübergreifende Fragen zu finden.

Merke

  • Konzernunternehmen sind datenschutzrechtlich selbständig – es gibt kein Konzernprivileg!
  • Jedes rechtlich selbständige Unternehmen muss auch einen eigenen Datenschutzbeauftragten bestimmen!
  • Ein Datenschutzbeauftragter kann auch für mehrere Unternehmen eines Konzerns bestellt werden – eine Mehrfachtätigkeit ist zulässig und üblich!
  • Ein Konzerndatenschutzbeauftragter ist gesetzlich nicht vorgesehen – ab einer bestimmten Unternehmensgröße aber sinnvoll und üblich!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.