Konzerndatenschutzbeauftragter – Besondere Anforderungen an den Datenschutz im Konzern

Fachbeitrag

Das deutsche Datenschutzrecht kennt kein Konzernprivileg, sondern sieht in jeder rechtlichen Einheit den Adressaten der gesetzlichen Vorgaben zum Datenschutz – ungeachtet der tatsächlichen Stellung des einzelnen Unternehmens im Konzern oder Unternehmensverbund. Welche Konsequenzen sich daraus ergeben und wie es sich künftig nach der Datenschutz-Grundverordnung (DSGVO) verhalten wird, zeigt der folgende Beitrag.

Problem: Konzernweite Datenverarbeitung

Ein Konzern wird definiert als Zusammenschluss mehrerer Unternehmen unter der einheitlichen Leitung eines herrschenden Unternehmens, § 18 AktG. Diese einheitliche, zentralisierte Organisation ist datenschutzrechtlich besonders dann problematisch, wenn – wie in der Praxis üblich – Mitarbeiter- Kunden- oder Lieferantendaten konzernweit verarbeitet oder zugänglich gemacht werden. Denn verantwortliche Stelle ist grundsätzlich immer das Unternehmen, bei dem die Daten ursprünglich angefallen sind. Eine Weitergabe an ein anderes Unternehmen bedarf regelmäßig einer besonderen Rechtfertigung.

Auch die Auslagerung gewisser Unternehmensbereiche (Personalverwaltung, Buchhaltung, Abrechnung) und Zentralisierung der Datenverarbeitung bei der Konzernmutter ist nicht ohne weiteres möglich. Zwar kann dies unter Umständen als Auftragsdatenverarbeitung nach § 11 BDSG ausgestaltet werden. Dies gilt – rechtlich – aber nur, wenn das Konzernunternehmen tatsächlich ein Weisungsrecht gegenüber dem beauftragten Unternehmen hat und dies auch durchsetzen kann. Dies ist bei einer Verarbeitung durch die Konzernmutter zumindest fraglich.

Ein weiteres Problem ist die konzernweite Auslagerung der IT auf externe Dienstleister. Erfolgt dies für alle Unternehmen der Gruppe an einen einheitlichen Dienstleister müssen sich alle einig sein und eine einheitliche Regelung finden, um die Beauftragung datenschutzkonform auszugestalten.

Datenschutz im Konzern

Jedes Unternehmen ist für sich selbständig und daher auch verpflichtet, einen Datenschutzbeauftragten zu bestellen. Dennoch muss regelmäßig eine einheitliche Firmenpolitik im Bereich Datenschutz implementiert und gelebt werden. Dazu ist die konstruktive Mitarbeit der einzelnen Datenschutzbeauftragten erforderlich.

Viele Unternehmen sind daher dazu übergegangen, einen einheitlichen Konzerndatenschutzbeauftragten zu bestimmen, der zwar – rechtlich – keine eigene Verantwortung und Weisungsbefugnis hat. Der Konzerndatenschutzbeauftragte kann aber wichtig sein, um etwa konzernweite Betriebsvereinbarungen oder bindende Unternehmensrichtlinien auszuarbeiten und den Datenschutz konzernweit zu organisieren.

Zentral aber nicht weisungsbefugt

Teilweise wird kritisiert, dass die einzelnen Datenschutzbeauftragten der Konzernunternehmen naturgemäß nicht so unabhängig sein können, wie es das gesetzliche Leitbild vom Datenschutzbeauftragten in § 4 f BDSG vorgibt. Rechtliche Bedenken eines einzelnen Datenschutzbeauftragten könnten hier die Datenschutzorganisation des gesamten Konzerns torpedieren und ein vorsichtiger Datenschutzbeauftragter schnell als „Blockierer“ verschrien sein.

Andererseits kann in der zentralen Stelle „Konzerndatenschutzbeauftragter“ sehr viel Fachkunde gebündelt werden. Zudem zeigen die Bestellung eines Konzerndatenschutzbeauftragten und die damit verbundenen finanziellen und personellen Ressourcen, dass der Konzern das Thema Datenschutz ernst nimmt.

Mehrfachtätigkeit als Datenschutzbeauftragter

Ein Spezialfall des Konzerndatenschutzbeauftragten stellt die Mehrfachtätigkeit eines Datenschutzbeauftragten dar. Hier ist ein externer Datenschutzbeauftragter gleichzeitig für mehrere Unternehmen einer Gruppe oder eines Konzerns tätig. Eine solche Lösung empfiehlt sich grundsätzlich immer, wenn ein Konzern den Bereich Datenschutz an einen externen Dienstleister auslagern möchte. Wie bei einem internen Konzerndatenschutzbeauftragten können durch die Mehrfachvergabe an einer fachkundigen Stelle sämtliche Fäden zusammenlaufen, um so einheitliche Lösungen für unternehmensübergreifende Fragen zu finden.

Was ändert sich mit der Datenschutz-Grundverordnung?

Art. 37 Abs. 2 DSGVO enthält folgende Regelung:

„Eine Unternehmensgruppe darf einem gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte erreicht werden kann.“

Diese Regelung normiert an sich nur das, was bereits nach den noch geltenden Regelungen des BDSG möglich ist, nämlich dass dieselbe Person für mehrere Unternehmen innerhalb eines Verbundes als Datenschutzbeauftragter fungiert. Aus der Regelung ergibt sich nunmehr eine Erleichterung für die Praxis, da nun keine separate Bestellung für jede Unternehmenseinheit notwendig ist.

Achtung – Haftung!

Größeres Augenmerk ist allerdings auf die neuen Haftungsregelungen nach der DSGVO zu legen. Während nach den Regelungen des BDSG der Datenschutzbeauftragte lediglich dafür verantwortlich ist, auf die Einhaltung der datenschutzrechtlichen Regelungen hinzuwirken, erhält der Datenschutzbeauftragte ab Mai 2018 eine Überwachungspflicht (vgl. Art. 39 Abs. 1b) DSGVO). Dies ist besonders relevant, da bei einer Verletzung der Pflichten drakonische Geldbußen – 10 Mio. Euro oder bei Unternehmen 2% des weltweit erzielten Jahresumsatzes, je nachdem, welches der höhere Betrag ist – drohen.

Merke

  • Schon nach dem BDSG kann ein Datenschutzbeauftragter für mehrere Unternehmen eines Konzerns bestellt werden – eine Mehrfachtätigkeit ist zulässig und üblich. Die künftigen Regelungen der DSGVO erleichtern dieses Vorgehen
  • Ein Konzerndatenschutzbeauftragter ist nach den Regelungen des BDSG gesetzlich nicht vorgesehen – ab einer bestimmten Unternehmensgröße aber sinnvoll und üblich. Diesem Umstand trägt nun auch Art. 37 Abs. 2 DSGVO Rechnung.
  • Durch die neue Überwachungspflicht steigt das Haftungsrisiko für den Datenschutzbeauftragten; drakonische Geldbußen drohen!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.