Konzerndatenschutz: Datenschutz im Konzern und Großunternehmen

Was ist Konzerndatenschutz?

Mit dem Thema Datenschutz beschäftigen sich die meisten Unternehmen spätestens seit Mai 2018. Konzerne, also ein Zusammenschluss mehrerer Unternehmen, die unter gemeinsamer Führung stehen, sind genau wie alle anderen Unternehmen gesetzlich dazu verpflichtet, sich mit dem Schutz personenbezogener Kunden- und Mitarbeiterdaten zu beschäftigen. Der sogenannte Konzerndatenschutz stellt den richtigen Umgang mit Daten innerhalb der gesamten Konzernstruktur sicher und schließt dabei alle Geschäftseinheiten ein.

Datenschutzmanagement in Konzernen

Die Anzahl großer, häufig multinationaler Konzerne wächst. Dabei sind die Anforderungen an den Datenschutz in Unternehmensgruppen um ein Vielfaches komplexer als in Einzelunternehmen.

Die wohl größte Herausforderung beim Konzerndatenschutz besteht in der Entwicklung und Etablierung eines gesellschaftsübergreifend harmonisierten Datenschutzmanagements, das dennoch Spielraum für erforderliche individuelle Lösungen für einzelne Gesellschaften lässt. Dabei ist neben der europäischen Datenschutz-Grundverordnung (DSGVO) nationalen Datenschutzvorschriften ebenso Rechnung zu tragen wie branchenspezifischen oder sektorregulatorischen Vorschriften. 

Konzernübergreifende Datenübermittlung

Ein zentrales Thema des Konzerndatenschutzes in Großunternehmen ist der gruppenweite Austausch von personenbezogenen Daten, sei es im operativen Geschäft oder im Rahmen administrativer Aufgabenteilung und -delegierung, wie z.B.

  • zur konzernweiten Personalverwaltung,
  • im Rahmen zentralisierter IT-Infrastrukturen oder
  • zur Etablierung eines zentralen Kundenmanagementsystems.

Wie schon das Bundesdatenschutzgesetz sieht auch die DSGVO bis auf ein paar Neuerungen keine wesentliche Vereinfachung für den Datenaustausch zwischen Konzerngesellschaften vor.

Vor allem existiert nach wie vor im europäischen Datenschutzrecht kein sogenanntes Konzernprivileg, nach dem ein Datenaustausch innerhalb von Konzernen grundsätzlich erlaubt wäre. Datenübermittlungen von einer Konzerngesellschaft zur anderen sind somit weiterhin nur bei Vorliegen rechtlicher Rechtfertigungsgründe erlaubt.

Zwar erkennt die DSGVO das Bestehen eines berechtigten Interesses am konzerninternen Datenaustausch zu internen Verwaltungszwecken an. Welche Datenübermittlungen zu diesen „Verwaltungszwecken“ zählen, ist aber nicht geklärt. Außerdem wäre in dieser Konstellation jede Interessenabwägung im Einzelfall vorzunehmen und zu dokumentieren.


Datenschutz und Cyber-Sicherheit in Deutschland 2019

(Kapitel aus dem Fachbuch der Reihe Law Review)

Unsere Experten steuerten für das Handbuch The Privacy, Data Protection and Cybersecurity Law Review ein eigenes Kapitel bei. Hier kostenlos lesen.

Join Controllership regelt Rechte und Pflichten

Andererseits können durch die Festlegung gemeinsamer Verantwortlichkeiten zukünftig mehrere Unternehmen für die Verarbeitung verantwortlich sein. Allerdings müssen hierbei die Rechte und Pflichten zwischen den Verantwortlichen in einer Vereinbarung (sogenanntes Joint Controllership) festgelegt werden.

Auch die datenschutzkonforme Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union (sogenannte Drittstaaten) bedarf einer besonderen Zulässigkeitsprüfung. Daher sollten Unternehmen umfassend prüfen, ob und unter welchen Voraussetzungen eine konzernübergreifende Datenverarbeitung zulässig ist. Unser erfahrenes Datenschutzteam unterstützt Sie hierbei gern!

Unsere Beratungsleistungen im Konzerndatenschutz

Wir helfen Ihnen, den Datenschutz innerhalb von Konzernen gesetzeskonform und praxisorientiert zu gestalten. Zu unseren Leistungen zählen insbesondere:

  • Aufbau und Koordinierung von Datenschutzmanagementkonzepten innerhalb des Konzerns,
  • Beratung zur datenschutzkonformen Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union,
  • Beratung zum Beschäftigtendatenschutz,
  • Erstellung von multilateralen Shared-Service-Agreements und Auftragsverarbeitungsverträgen,
  • Beratung im Hinblick auf den Einsatz von Cloud-Diensten,
  • Stellung des externen (Konzern-)Datenschutzbeauftragten,
  • Durchführung von Mitarbeiterschulungen,
  • Entwurf von Verträgen zur gemeinsamen Verantwortlichkeit (Joint Controllership),
  • Beratung zur Erstellung von verbindlichen Konzernregelungen zum Datenschutz (Binding Corporate Rules),
  • Beratung zum datenschutzkonformen Betrieb von konzerninternen Shared Service Centern zur Bündelung von Verwaltungsaufgaben (z.B. zur Durchführung der konzernweiten Gehaltsabrechnung).

Ihr Anwalt für Konzerndatenschutz

Ihre Ansprechpartnerin zu Fragen rund um den Datenschutz in Konzernen und der Übermittlung personenbezogener Daten ist Rechtsanwältin Olga Stepanova. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80). Zögern Sie nicht, mit Ihren Fragen auf uns zuzukommen.

"Datenschutz": Die neusten Beiträge in unserem Blog

Schutz von Daten und Geschäftsgeheimnissen im Unternehmen – Synergieeffekte nutzen

- Olga Stepanova

Schutz von Daten und Geschäftsgeheimnissen im Unternehmen – Synergieeffekte nutzen

Cookie-Einwilligungen müssen aktiv angekreuzt werden

- Olga Stepanova

Cookie-Einwilligungen müssen aktiv angekreuzt werden

Unrechtmäßige Datenverarbeitung im Unternehmen sorgt für Rekordbußgeld

- Olga Stepanova

Unrechtmäßige Datenverarbeitung im Unternehmen sorgt für Rekordbußgeld

Aktuelles

1594500323 > 1598565600

Als eine von 398 Wirtschaftskanzleien haben wir es auf die Bestenliste 2020 im Bereich Steuerrecht geschafft. 

Mehr

Veranstaltungen

Kontakt

Kontakt

Auszeichnungen

Juve AwardLegal 500 Deutschland 2019 – Top 2 im Nonprofit-Sektor
azur100: Top-Arbeitgeber für Juristen 2018