Konzerndatenschutz

Grundlegendes zum Thema

Was Sie darüber wissen sollten

Ein Konzern ist ein Zusammenschluss mehrerer Unternehmen, die unter gemeinsamer Führung stehen. Die einzelnen Unternehmen können innerhalb derselben Branche tätig sein und somit einen horizontal oder vertikal strukturierten Konzern bilden. Daneben existieren laterale Konzerne, deren Unternehmen in verschiedenen Branchen angesiedelt sind und daher im Tagesgeschäft nichts miteinander zu tun haben.

Der Konzerndatenschutz basiert auf einem umfassenden System, das ein angemessenes Datenschutzniveau innerhalb der gesamten Konzernstruktur sicherstellt und somit alle Geschäftseinheiten einschließt.

Wie funktioniert Datenschutz im Konzern?

Eine der größten Hürden im Konzerndatenschutz ist die Schwierigkeit, eine einheitliche Datenschutzlösung zu entwickeln und diese in allen Konzernunternehmen umzusetzen. Je nach Unternehmen können unterschiedliche Probleme auftreten, die individuell zu lösen sind.

Selbstverständlich ist eine zentrale und zugleich einheitliche Datenschutzlösung nicht auszuschließen. Je nach Konzernstruktur ist sie durchaus umsetzbar, weil das Führungsunternehmen im Konzern über entsprechende Macht verfügt und eine Umsetzung „verordnen“ kann. Dennoch sind solche Konstellationen in der Praxis eher selten anzutreffen. Häufiger anzutreffen sind hingegen Datenschutzkonzepte und Maßnahmen der einzelnen Konzernunternehmen, die von zentraler Stelle aus überwacht werden.

In vielen Konzernen setzen die zugehörigen Unternehmen auf separate Datenschutzlösungen. Diese Verfahrensweise bietet den Vorteil, dass die einzelnen Konzepte optimal zugeschnitten und außerdem besser zu verstehen sind. Im Gegenzug ist es wiederum erforderlich, einen höheren Gesamtaufwand zu betreiben, weil beispielsweise jedes Unternehmen einen eigenen Datenschutzbeauftragten stellt.

Einige Konzerne erweitern ihren Datenschutz um Binding Corporate Rules. Diese sind als Gesamtlösung zu verstehen, die einen rechtssicheren Datenaustausch zwischen den einzelnen Konzernunternehmen ermöglichen – und das sogar über die Grenzen der Europäischen Union hinaus. Allerdings gilt die eigentliche Ausarbeitung als aufwendig, d.h. sie setzt umfangreiches Fachwissen voraus und kann sich über einen Zeitraum von mehreren Jahren erstrecken.

Von der Herausforderung zur Lösung

Worauf muss beim Datenschutz im Konzern geachtet werden?

Die Notwendigkeit, sensible Informationen über verschiedene Tochtergesellschaften, Standorte und Geschäftsbereiche hinweg zu verarbeiten und zu schützen, erfordert eine durchdachte und umfassende Strategie. Unterschiedliche Geschäftsmodelle, IT-Infrastrukturen und Verantwortlichkeiten innerhalb des Konzerns können die Implementierung einheitlicher Datenschutzstandards erheblich erschweren. Die folgenden Ausführungen beleuchten zentrale Aspekte, die bei der Sicherstellung des Datenschutzes im Konzernumfeld zu beachten sind:

Berücksichtigung der einzelnen Unternehmen

Das mitunter wichtigste Thema beim Datenschutz im Konzernumfeld ist die Behandlung der Konzernunternehmen. Es gilt zu entscheiden, ob der Datenschutz in den einzelnen Geschäftseinheiten separat behandelt oder stattdessen eine einheitliche Lösung installiert wird. Schlussendlich kommt es darauf an, welchen datenschutzrelevanten Herausforderungen sich die einzelnen Unternehmen zu stellen haben. Entscheidend in diesem Zusammenhang ist eine klare Regelung der Verantwortlichkeiten.

Unternehmensübergreifender Datenaustausch

Ein ebenfalls bedeutsames Thema ist der unternehmensübergreifende Austausch von Daten. Konzernlenker neigen zur Schaffung von Synergieeffekten, um dadurch Wettbewerbsvorteile zu schaffen. In der Praxis werden daher gerne Datenpools gebildet, die mehrere Konzernunternehmen gemeinsam nutzen. Ein typisches Beispiel hierfür ist der Austausch von Daten zu Bewerbern oder Mitarbeitern, um damit die Möglichkeiten im Personalmanagement zu erweitern. Solch ein Austausch ist aus datenschutzrechtlicher Sicht jedoch äußerst kritisch. Es müssen klare Regelungen geschaffen und Einverständniserklärungen der Betroffenen eingeholt werden (Beschäftigtendatenschutz & Datenschutz bei Bewerberdaten), damit solch eine Verfahrensweise zulässig ist.

Schutz der Unternehmens-IT

Synergieeffekte werden auch im Feld der Unternehmens-IT geschaffen. Dort sind Themen wie Datensicherheit und IT-Wartung von großer Bedeutung. Maßnahmen aus dem Feld der Informationssicherheit, wie z.B. die Einführung eines ISMS und die Benennung eines Informationssicherheitsbeauftragten helfen dabei, Risiken wie Datenverlusten oder Datenschutzverstößen und den damit verbundenen Kostenrisiken vorzubeugen.

Einrichtung von Sicherheitsteams

Es wird empfohlen, in den Unternehmen eigenständige Sicherheitsteams für die Bereiche Datenschutz, Informationssicherheit und Compliance einzurichten und für einen regelmäßigen Informationsaustausch zwischen diesen Teams zu sorgen.

Wie ist mit dem Datenschutzbeauftragten zu verfahren?

Es gibt Konzerne, die einen zentralen Datenschutzbeauftragten benennen, der den Datenschutz in sämtlichen Geschäftseinheiten koordiniert und verantwortet. Attraktiv ist diese Lösung vor allem aus einem Grund: Es gibt einen zentralen Ansprechpartner, über den gesamten Konzerndatenschutz im Bilde ist.

Allerdings gestaltet sich die Umsetzung solch einer Lösung in der Praxis oft schwierig. Innerhalb der einzelnen Konzernunternehmen ist der Datenschutz manchmal sehr komplex und erfordert die gesamte Aufmerksamkeit eines einzelnen Datenschutzbeauftragten. Daher neigen viele Konzerne dazu, einzelnen Geschäftseinheiten eigene Datenschutzbeauftragte zuzuordnen.

Übrigens bietet es sich auch im Konzernumfeld an, auf die Benennung eines externen Datenschutzbeauftragten zurückzugreifen und somit von den wesentlichen Vorzügen zu profitieren. Es locken Kostenvorteile und zugleich fällt es leichter, sich innerhalb der Konzernunternehmen auf das eigentliche Kerngeschäft zu konzentrieren.