Datenschutzmanagement: Einführungsstrategien im Konzern

veröffentlicht am 18. Mai 2022 | Lesedauer ca. 3 Minuten

Datenschutzmanagement – eine komplexe und weitreichende Aufgabe, die je nach Organisationsstruktur verschiedene Ansätze verfolgen kann. Das gilt schon für klei­nere Unternehmen und noch deutlich mehr für Konzerngebilde. Im nachfolgenden Beitrag zeigen wir Ihnen einen Ausschnitt möglicher Aspekte für Einführungs­strate­gien auf, die für ein funktionierendes Datenschutzmanagement und die konzernweite Compliance zu bedenken sind.

Alle Unternehmen verarbeiten tagtäglich eine Vielzahl von Daten. Datenschutzbeauftragte müssen aufgrund von unzähligen und weltweit erheblich unterschiedlichen Rechtsnormen bei internationalen Konzernen jeder Größe, eine Fülle von Anforderungen im Blick haben. Der Datenschutz im Konzern kann aufgrund seiner Kom­plexität spezielle Herausforderungen aufweisen, z.B. Sprachbarrieren, Kenntnisse im internationalen Recht, Überblick der Konzernstrukturen. Das bedeutet dann auch, für alle weltweiten Standorte wie China, Mexiko, Italien, Spanien, Singapur und über die ganzen weltweiten Standorte hinweg den Überblick zu behalten, inter­nationale Datenflüsse zu betrachten, abzusichern und dabei alle relevanten internationalen Datenschutz­be­stim­mungen (DSGVO / länderspezifische Gesetze) einzuhalten.  Diese sinnvoll in das Tagesgeschäft zu inte­grie­ren ist eine Aufgabe, die ohne exakte Planung und Organisation zum Scheitern verurteilt ist.

Im Kern betrachtet, gilt es nachfolgende Fragestellungen zu klären, damit der Einstieg in den Konzerndaten­schutz strukturiert gelingt:

• Konzernstruktur »

• Organisation »

Konzernstruktur

Die DSGVO sieht für die Datenübermittlung innerhalb eines Konzerns kein „Konzernprivileg“ vor, die Konzern­unternehmen sind i.S.d. Art. 3 Abs. 8 DSGVO im Verhältnis zueinander jeweils als „Dritte“ anzusehen. Das be­deutet, dass für eine konzerninterne Übermittlung von personenbezogenen Daten vom Grundsatz her die glei­chen datenschutzrechtlichen Anforderungen gelten, die bei der Übermittlung an ein konzernfremdes Unter­nehmen auferlegt werden. Die Übermittlung von personenbezogenen Daten innerhalb des Konzerns darf nur aufgrund einer rechtlichen Grundlage, z.B. aufgrund einer gesetzlichen oder vertraglichen Verpflichtung oder eine Einwilligung des Betroffenen erfolgen. In vielen Fällen wird auch das berechtigte Interesse für die Organi­sation(en) vorgetragen.

 
Daher ist es wichtig, sich bereits zu Beginn einen Überblick über die Konzernstruktur und die entsprechenden Verantwortlichkeiten zu verschaffen. So kann die Verarbeitung von personenbezogenen Daten sowie die dafür zugrunde gelegte rechtliche Grundlage identifiziert und beurteilt werden. Im Wesentlichen sind nachfolgende Fragestellungen zu klären, um einen strukturierten Einstieg in den Konzerndatenschutz vorzunehmen:

• In welchen Ländern ist das Unternehmen bzw. der Konzern vertreten? Z.B. zur Identifizierung der geltenden Rechtsnormen.
• Wo befindet sich der Hauptsitz? (in Deutschland / in der EU / außerhalb der EU?) Z.B. zur Identifizierung der zuständigen Aufsichtsbehörden.
• Welche Arten von Niederlassungen (selbstständige / unselbstständige) sind vorhanden? Die rechtliche Selbstständigkeit / Unselbständigkeit sowie die Anzahl der Mitarbeitenden gibt Aufschlüsse über die Not­wen­digkeit des Einsatzes von Datenschutzbeauftragten.
• Wer ist jeweils Verantwortlicher? Gibt es Fälle von gemeinsamer Verantwortlichkeit? Z.B. zur Identifizierung und Aufteilung der Verantwortlichkeit sowie Vertragsabschluss zwischen den Verantwortlichen, bspw. beim Einsatz einer gemeinsam genutzten CRM-Datenbank / Mitarbeiterdatenbank.
• Kommen Dienstleistungen von Dritten, wie Shared Service Center / Auftragsverarbeiter, zum Einsatz? Z.B. zur Identifizierung notwendiger Auftragsverarbeitungsverträge.
• Welche Aufsichtsbehörde ist für den Konzern die federführende innerhalb der EU? Z.B. zur Identifizierung von Meldewegen bei Datenschutzverletzungen.
• Wurden für die Länder außerhalb der EU entsprechende EU-Vertreter benannt? Z.B. zur Sicherstellung einer Anlaufstelle für Aufsichtsbehörden und betroffene Personen.
  

Organisation

Des Weiteren gilt es, mögliche organisatorische Hürden, wie den Einsatz eines Konzerndatenschutzbeauft­ragten oder die Entscheidung für lokale Datenschutzbeauftragte in den jeweiligen Konzerngesellschaften zu beachten. Wichtig ist der zeitliche Faktor: Hat der Konzerndatenschutzbeauftragte neben der generellen Überwachungs- und Kontrolltätigkeit genügend Zeit, um in den einzelnen Niederlassungen aufkommende Anfragen von Betroffenen-, Mitarbeitern oder auch Behörden zeitnah bearbeiten zu können? Welche Ressour­cen sind verfügbar, um Probleme und Defizite zu identifizieren und entsprechende nationale oder interna­tio­nale Lösungsoptionen auszuarbeiten?

Benennung des Konzerndatenschutzbeauftragten

Eine wichtige Entscheidung für den weiteren Aufbau des Datenschutzmanagements wird mit der Bestellung des Konzerndatenschutzbeauftragten getroffen. Gem. Art. 37 Abs. 2 DSGVO haben Konzerne die Möglichkeit, einen gemeinsamen Datenschutzbeauftragten für alle Unternehmen zu benennen. I.S.d. Art. 4 Nr. 4 DSGVO behält ein Konzernmitglied aber auch weiterhin die Möglichkeit, selbstständig einen eigenen Datenschutz­be­auftragten je Gesellschaft zu installieren.

Der Vorteil einer zentralen Datenschutzorganisation für Konzerne, an dessen Spitze ein Konzerndatenschutz­beauftragter steht, liegt beispielsweise in der zentralen und einheitlichen Beratung aller datenschutz­recht­lichen Angelegenheiten im Konzern und dem einheitlichen Auftritt nach außen. Mit Blick auf die Marken- und Marketingphilosophie unterstützt dies z.B. bei der Umsetzung von Betroffenenrechten oder der Abwicklung von Datenschutzverletzungen. Auch die Etablierung eines einheitlichen Datenschutzniveaus in den Konzernge­sell­schaften selbst, die Durchführung von konzernweiten Datenverarbeitungen, die einheitliche Durchführung von Datenschutz- oder Dienstleister-Audits nach Art. 28 DSGVO können durch zentrale Prüfungen / Überwa­chun­gen Erleichterung und Transparenz verschaffen.

Für die Datenschutzorganisation in Konzernen haben sich zwei Modelle in der Praxis etabliert:

Zum einen das Einheitsmodell, bei dem für mehrere oder sämtliche Konzernunternehmen ein und dieselbe Person die Funktion des Konzerndatenschutzbeauftragten ausübt. Je nach Konzerngröße werden entspre­chen­de Ressourcen und Mitarbeiter benötigt, um den Konzerndatenschutzbeauftragten aus den einzelnen Konzern­unternehmen heraus als Datenschutzkoordinatoren unterstützen zu können.

Vorteile Einheitsmodell:

• Eine Person hat den integrierenden Überblick über alle datenschutzrechtlichen Fragen, die den ganzen Konzern betreffen
• Ein zentraler Ansprechpartner für Betroffene und Aufsichtsbehörden
• Leichtere Einführung und Einhaltung von einheitlichen Datenschutzstandards und rechtlichen Vorgaben (DSGVO etc.) im Konzern
• Risikoreduzierung von Verstößen gegen die DSGVO durch einheitliche Standards (dadurch Minimierung von Bußgeldzahlungen)

Zum anderen das Koordinationsmodell. Dabei wird für jedes Konzernunternehmen oder ggf. für die nationale Organisation jeweils ein Datenschutzbeauftragter benannt. Dieser bearbeitet die anfallenden Aufgaben im Konzernunternehmen, die konzernweite Organisation wird an dieser Stelle durch einen Konzern­daten­schutz­beauf­tragten gelenkt. Die Lenkung bezieht sich an dieser Stelle nur auf die Organisation des Datenschutzes, die einzelnen Datenschutzbeauftragten der Konzernunternehmen bleiben an dieser Stelle weisungsfrei.

Vorteile Koordinationsmodell:

• Der Konzerndatenschutzbeauftragte kann sich auf den Konzern fokussieren; Detailfragen werden von den lokalen Datenschutzbeauftragten der Konzernunternehmen übernommen und reportet.
• Unterschiedliche Anforderungen in unterschiedlichen Ländern und an unterschiedlichen Standorten werden durch das lokale Know-how der Datenschutzbeauftragten abgedeckt.
• Die Erreichbarkeit ist leichter zu gewährleisten, da ggf. vorhandene Sprachbarrieren in den Konzernunter­nehmen und gegenüber den Aufsichtsbehörden entfallen.

Beide Modelle bieten sich für den Datenschutz im Konzern an und können sowohl durch eine interne sowie eine externe Lösung abgedeckt werden. Grundsätzlich sind nachfolgende drei Optionen als Daten­schutz­beauf­tragte gegeben:

1. Interne Lösung: Besetzung durch Mitarbeiter aus dem Konzern
2. Externe Lösung: Besetzung durch externe Dienstleister
3. Mischform:  Die Besetzung durch Kombinationen in abgestimmter Form. Dabei können je nach Ausgestal­tung die Vorteile aus interner und externer Lösung kombiniert werden.

Da eine Entscheidung für das eine oder andere Modell immer sehr individuell zu treffen ist, bietet es sich an, eine Art Bewertungsmatrix aufzubauen. Sie kann dann auf den jeweiligen Ausgangspunkt neutral bewertet wer­den. Folgende Dimensionen könnten dabei eine Rolle spielen:

• Verfügbarkeit / Ressourcen / Know-how
• Homogenität in der Konzernstruktur in Bezug auf Geschäftsmodell / Verantwortung / Geschäftsprozesse / IT-Landschaft
• Länderspezifische Besonderheiten
• Etc.

Datenschutzkoordinatoren

Datenschutzkoordinatoren (DSK) sind eine sehr sinnvolle Ressource, um die Verantwortlichen bzw. den Daten­schutzbeauftragten bei seinen Tätigkeiten in den Standorten zu unterstützen. So kann bspw. der lokale DSK vor Ort durch die Nähe zu den Mitarbeitern die Bearbeitung von Datenschutzverletzungen, Auftrags­verarbei­tungs­verträgen, Kontrollen der technisch-organisatorischen Maßnahmen (TOMs) an den jeweiligen Standorten selbst etc. effizienter umsetzen.

Vor der Implementierung von DSK sollten gewisse organisatorische Fragen geklärt werden, damit die DSK ihre Arbeit reibungslos ausführen und einen Mehrwert zur Umsetzung des Datenschutzes beitragen können. Beispiele:

• Wo sollen die DSK zum Einsatz kommen? An jedem Standort? In jeder Gesellschaft?
• Wie viele Mitarbeiter und welchen zeitlichen Rahmen kann der Konzern für die Ausübung der DSK-Tätigkei­ten zur Verfügung stellen, damit die Organisation und das Tagesgeschäft nicht an Performance verliert?
• Welche Mindestqualifikationen sollten die DSK aufweisen, um den Job ausführen zu können?
• Werden die Koordinatoren ausreichend betreut und eingebunden, so dass ein länderübergreifendes Netzwerk mit regelmäßigem Austausch zur Förderung des Datenschutznetzwerks entstehen kann?

Einsatz von Datenschutzmanagementsystemen

Erfahrungsgemäß lassen sich Effizienz und Effektivität im Datenschutz ab einer bestimmten Organisations­größe nur noch mit einer spezialisierten Softwarelösung erreichen. Diese Lösungen erleichtern das Handling aller Datenschutzvorgaben (Leit-, Richtlinien, Dokumentationen etc.) und die Nachweisführung. Sie vereinfacht zudem die Kommunikation gesellschafts- und länderübergreifend um ein Vielfaches durch geregelte Prozesse zum einheitlichen Umgang mit den datenschutzrechtlichen Themen und verhindert damit Doppelarbeiten.

Im Artikel „Die Bedeutung von speziellen Datenschutz-Softwarelösungen für einen effizienten und effektiven Betrieb“ erfahren Sie mehr dazu.

Ohne Frage müssen bei der Einführungsstrategie zum Datenschutzmanagement im Konzern vorab viele Fragen geklärt und individuell betrachtet werden. Die organisatorischen und individuellen, rechtlichen Hürden müssen geprüft und die Modelle und der jeweilige Aufwand gegenübergestellt werden. Die zur Verfügung stehenden Ressourcen und Mitarbeiter sowie die lokale Ausrichtung spielen dabei eine wesentliche Rolle. Gerade sie soll­ten bei der Auswahl der Datenschutzstrategie vordergründig im Auge behalten werden, gerade auch, weil sich die Organisationen und Prozesse vor Ort immer wieder ändern und daher auch hinsichtlich der Daten­schutzan­forderungen aktualisiert werden müssen. Der Konzerndatenschutzbeauftragte kann diese immense Aufgabe nur mit der richtigen Ressourcenausstattung sowie dem Rückhalt der Konzernleitung bewältigen.