Konzerndatenschutz: Datenschutz im Konzern und Großunternehmen
Was ist Konzerndatenschutz?
Der sogenannte Konzerndatenschutz stellt den richtigen Umgang mit Daten innerhalb der gesamten Konzernstruktur sicher und schließt dabei alle Geschäftseinheiten ein.
Datenschutzmanagement in Konzernen
Die Anzahl großer, häufig multinationaler Konzerne wächst. Dabei sind die Anforderungen an den Datenschutz in Unternehmensgruppen um ein Vielfaches komplexer als in Einzelunternehmen.
Die wohl größte Herausforderung beim Konzerndatenschutz besteht in der Entwicklung und Etablierung eines gesellschaftsübergreifend harmonisierten Datenschutzmanagements, das dennoch Spielraum für erforderliche individuelle Lösungen für einzelne Gesellschaften lässt. Dabei ist neben der europäischen Datenschutz-Grundverordnung (DSGVO) nationalen Datenschutzvorschriften ebenso Rechnung zu tragen wie branchenspezifischen oder sektorregulatorischen Vorschriften.
Konzernübergreifende Datenübermittlung
Ein zentrales Thema des Konzerndatenschutzes in Großunternehmen ist der gruppenweite Austausch von personenbezogenen Daten, sei es im operativen Geschäft oder im Rahmen administrativer Aufgabenteilung und -delegierung, wie z.B.
- zur konzernweiten Personalverwaltung,
- im Rahmen zentralisierter IT-Infrastrukturen oder
- zur Etablierung eines zentralen Kundenmanagementsystems.
Dabei existiert nach wie vor im europäischen Datenschutzrecht kein sogenanntes Konzernprivileg, nach dem ein Datenaustausch innerhalb von Konzernen grundsätzlich erlaubt wäre. Datenübermittlungen von einer Konzerngesellschaft zur anderen sind somit weiterhin nur bei Vorliegen rechtlicher Rechtfertigungsgründe erlaubt.
Zwar erkennt die DSGVO das Bestehen eines berechtigten Interesses am konzerninternen Datenaustausch zu internen Verwaltungszwecken an. Welche Datenübermittlungen zu diesen „Verwaltungszwecken“ zählen, ist aber nicht geklärt. Außerdem wäre in dieser Konstellation jede Interessenabwägung im Einzelfall vorzunehmen und zu dokumentieren.
Join Controllership regelt Rechte und Pflichten
Andererseits können durch die Festlegung gemeinsamer Verantwortlichkeiten zukünftig mehrere Unternehmen für die Verarbeitung verantwortlich sein. Allerdings müssen hierbei die Rechte und Pflichten zwischen den Verantwortlichen in einer Vereinbarung (sogenanntes Joint Controllership) festgelegt werden.
Auch die datenschutzkonforme Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union (sogenannte Drittstaaten) bedarf einer besonderen Zulässigkeitsprüfung. Daher sollten Unternehmen umfassend prüfen, ob und unter welchen Voraussetzungen eine konzernübergreifende Datenverarbeitung zulässig ist. Unser erfahrenes Datenschutzteam unterstützt Sie hierbei gern!
Unsere Beratungsleistungen im Konzerndatenschutz
Wir helfen Ihnen, den Datenschutz innerhalb von Konzernen gesetzeskonform und praxisorientiert zu gestalten. Zu unseren Leistungen zählen insbesondere:
- Aufbau und Koordinierung von Datenschutzmanagementkonzepten innerhalb des Konzerns,
- Beratung zur datenschutzkonformen Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union,
- Beratung zum Beschäftigtendatenschutz,
- Erstellung von multilateralen Shared-Service-Agreements und Auftragsverarbeitungsverträgen,
- Beratung im Hinblick auf den Einsatz von Cloud-Diensten,
- Stellung des externen (Konzern-)Datenschutzbeauftragten,
- Durchführung von Mitarbeiterschulungen,
- Entwurf von Verträgen zur gemeinsamen Verantwortlichkeit (Joint Controllership),
- Beratung zur Erstellung von verbindlichen Konzernregelungen zum Datenschutz (Binding Corporate Rules),
- Beratung zum datenschutzkonformen Betrieb von konzerninternen Shared Service Centern zur Bündelung von Verwaltungsaufgaben (z.B. zur Durchführung der konzernweiten Gehaltsabrechnung).
Datenschutz und Cyber-Sicherheit in Deutschland 2023
(Kapitel aus dem Fachbuch der Reihe Law Review)
Unsere Experten verfassen jährlich für das Handbuch The Privacy, Data Protection and Cybersecurity Law Review ein eigenes Kapitel zu aktuellen Datenschutzregelungen in Deutschland.
Ihr Anwalt für Konzerndatenschutz
Ihre Ansprechpartnerin zu Fragen rund um den Datenschutz in Konzernen und der Übermittlung personenbezogener Daten.
Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80). Zögern Sie nicht, mit Ihren Fragen auf uns zuzukommen.
Datenschutz: Die neusten Beiträge in unserem Blog
Bleiben Sie up-to-date!
Vorträge, Seminare und Webinare
Sie benötigen Unterstützung?
Sie haben Fragen zu unseren Leistungen oder möchten einen persönlichen Beratungstermin vereinbaren? Wir freuen uns auf Ihre Kontaktaufnahme! Häufig gestellte Fragen beantworten wir in unseren FAQs.
Oder rufen Sie uns an: +49 (0)69 76 75 77 80