Mit Geltung der DSGVO ab dem 25. Mai 2018 gehen auch erhebliche Veränderungen der Aufgaben des „Konzerndatenschutzbeauftragten“ einher, den es so vorher nicht gab. Denn die DSGVO normiert erstmals ausdrücklich, dass eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ( DSB ) benennen darf. Konsequenzen ergeben sich dabei u.a. für die Datenschutz-Folgenabschätzung, für Haftungsfragen und weitere Bereiche, in denen die Vorgaben der DSGVO dringend eingehalten werden sollten. Im Unterschied zur bisherigen Rechtslage nach dem BDSG sieht die DSGVO ausdrücklich die Möglichkeit eines Datenschutzbeauftragten im Konzern vor und erleichtert damit dessen Bestellung.

Was ist das Besondere an einem Konzerndatenschutzbeauftragten?

Die Regelung des Art. 37 Abs.2 DSGVO besagt, dass eine Unternehmensgruppe (Konzern) einen gemeinsamen Datenschutzbeauftragten benennen darf. Daraus folgt, dass nicht mehr jedes einzelne Unternehmen einer Unternehmensgruppe einen eigenen Datenschutzbeauftragten benennen muss, sondern ein einheitlicher Datenschutzbeauftragter für alle Unternehmen der Unternehmensgruppe zuständig ist.

Welche Aufgaben hat der Datenschutzbeauftragte?

Die Aufgaben des betrieblichen Datenschutzbeauftragten korrelieren grundsätzlich mit denen der Unternehmen und Aufsichtsbehörden: Er ist für die Einhaltung der datenschutzrechtlichen Vorgaben durch das ihn beauftragende Unternehmen bzw. Konzern verantwortlich. Wie ein DSB, der nur für ein Unternehmen verantwortlich ist, hat auch ein Konzerndatenschutzbeauftragter die Anforderungen der DSGVO zu erfüllen. Er muss also eine gewisse berufliche Qualifikation und die Fähigkeiten zur Erfüllung seiner Aufgaben im Zusammenhang mit der Einhaltung der DSGVO sowie eine entsprechende Erfahrung aufweisen. Damit gehört es zu den primären Aufgaben eines Konzerndatenschutzbeauftragten, sich angesichts des regelmäßigen rechtlichen und technologischen Wandels weiterzubilden. Zwar verlangt die DSGVO hierfür keinen speziellen rechtlichen Hintergrund in der Ausbildung, allerdings ist es schwer vorstellbar, wie die komplexen Anforderungen der DSGVO ohne eine entsprechende rechtliche Ausbildung und Praxiserfahrung bewerkstelligt werden können. Zu den Aufgaben eines Konzerndatenschutzbeauftragten gehört es damit auch, sich mit den Wirkweisen der Datenweitergabe zwischen den einzelnen Unternehmen vertraut zu machen und die innerbetrieblichen Abläufe zu kennen.

Seine detaillierten Aufgaben nennt Art. 39 der DSGVO. Primär ist er dabei zur Aufklärung der Mitarbeiter des Unternehmens bzw. der gesamten Unternehmensgruppe über die datenschutzrechtlichen Vorgaben der DSGVO verantwortlich. Hierfür kann erwartet werden, dass ein Konzerndatenschutzbeauftragter nicht nur die erforderlichen rechtlichen Kenntnisse aufweist, sondern auch keine Sprachbarriere besteht. Insbesondere bei größeren Unternehmensgruppen kann es sein, dass einheitliche Schulungen vorbereitet und dann von ausgewählten Mitarbeitern durchgeführt werden. Die Koordination dieser Schulungen setzt jegliches Fehlen von Sprachbarrieren voraus.  Zudem ist es erforderlich, dass der Konzerndatenschutzbeauftragte ohne unzumutbare Hindernisse (also bei leichter Erreichbarkeit) auch tatsächlichen Zugang zu den einzelnen Unternehmen hat, um etwa Schulungen zu begutachten. Von einem unzumutbaren Hindernis ist z.B. dann auszugehen, wenn der Konzerndatenschutzbeauftragte länger als einen Tag für die Anreise zu einem bestimmten Unternehmen braucht. Der Konzern hat also zu gewährleisten, dass von jedem Standort eine leichte Erreichbarkeit zu einem anderen Standort besteht, damit der Konzerndatenschutzbeauftragte seinen Aufgaben nachkommen kann. Für den Konzerndatenschutzbeauftragten bedeutet dies, dass er seinen Sitz innerhalb der EU haben sollte, auch wenn zum Konzern Unternehmen außerhalb der EU gehören. Die leichte Erreichbarkeit muss zudem nicht nur gegenüber den einzelnen Unternehmen bestehen, sondern auch für Betroffene und Aufsichtsbehörden.

Sprachkenntnisse und leichte Erreichbarkeit sind auch für die zweite entscheidende Aufgabe des Konzerndatenschutzbeauftragten erforderlich: Er ist für die Überwachung der Umsetzung der DSGVO durch die Unternehmen des Konzerns verantwortlich. Diese zusätzliche Aufgabe hat Konsequenzen für Haftungsfragen, da bei einer Verletzung – anders als bisher- ebenfalls die hohen Bußgelder der DSGVO drohen. Für die Verletzung der Pflichten des Datenschutzbeauftragten haften grundsätzlich die ihn beauftragenden Unternehmen, hier also der Konzern. Daneben können Unternehmen oder Konzerne jedoch dann haften, wenn sie den Datenschutzbeauftragten nicht hinreichend bei der Wahrnehmung seiner Pflichten unterstützen. Wird dem Konzerndatenschutzbeauftragten daher nicht die Möglichkeit eingeräumt einen Überblick über die datenschutzrechtlich relevanten Vorgänge innerhalb der einzelnen Unternehmen, vor allem aber in der Zusammenarbeit zwischen den einzelnen Unternehmen zu gewinnen und kann er deshalb seine Aufgaben nicht wahrnehmen, kann für Unternehmen u.U. aus doppelten Gründen ein Haftungsrisiko entstehen.

Außerdem ist der Konzerndatenschutzbeauftrage für die Zusammenarbeit mit den Aufsichtsbehörden verantwortlich. Dabei ist wichtig, dass er ihre Funktion innerbetrieblich ergänzt und daher für den gesamten Konzern auf eine transparente Zusammenarbeit mit den Aufsichtsbehörden hinwirkt.

Zudem bestehen die Aufgaben des Konzerndatenschutzbeauftragten in der Beratung bei und der Durchführung einer Datenschutz-Folgenabschätzung. In Fällen, in denen ein erhöhtes Risiko für die Rechte des Betroffenen an informationeller Selbstbestimmung bestehen, also immer dann, wenn ein Eingriff in die Privatsphäre besonders tiefgreifend ist, ist eine solche Datenschutz-Folgenabschätzung durchzuführen. Beispiel hierfür ist die Video-Überwachung. Es ist erst recht von einem solch hohen Risiko auszugehen, wenn besonders sensible Daten (wie Gesundheitsdaten) verarbeitet werden. Mittels der Datenschutz-Folgenabschätzung soll der Konzerndatenschutzbeauftragte abwägen ob in einem Unternehmen, mehreren Unternehmen oder durch die Datenweitergabe zwischen den einzelnen Unternehmen des Unternehmensverbundes die Interessen von Betroffenen oder die Interessen des Konzerns (oder eines einzelnen Unternehmens) überwiegen. Sollte eine Gefahr für die Interessen und Rechte der Betroffenen bestehen, trifft der Konzerndatenschutzbeauftragte sodann erforderliche Maßnahmen um bereits im Vorfeld die Daten des Betroffenen besser zu schützen. Dies kann beispielsweise durch eine frühzeitige Aufklärung, im Vorfeld der Datenverarbeitung oder entsprechende technische Voreinstellungen (Privacy by design) geschehen.

Welche Vorteile hat die Berufung eines Konzerndatenschutzbeauftragten?

Ein Konzerndatenschutzbeauftragter kann wie ein externer Datenschutzbeauftragter leicht einen Überblick über die gesamten datenschutzrechtlich relevanten Fragestellungen im Konzernverbund gewinnen. Gerade bei Verarbeitung personenbezogener Daten durch Weitergabe zwischen einzelnen Unternehmen kann sich häufig die Frage der Verantwortlichkeit für die Einhaltung der DSGVO-Vorgaben ergeben, die durch einen Konzerndatenschutzbeauftragten transparent und damit im Sinne der DSGVO geklärt werden kann. Zudem können Unternehmen mittels eines Konzerndatenschutzbeauftragen auch ihren Dokumentationspflichten nachkommen und damit den Beweislastregeln der DSGVO gerecht werden. Insgesamt mindert ein Konzerndatenschutzbeauftragter daher das Risiko der hohen Bußgeldzahlungen nach der DSGVO erheblich, indem einheitliche Konzernstandards geschaffen werden. Zudem ergibt sich für Unternehmen durch die Bestellung eines einheitlichen Datenschutzbeauftragten ein Kostenvorteil. Die einheitlichen Vorgaben und Strukturen im Datenschutz für die gesamte Unternehmensgruppe können zudem die Vorgaben des Transparenzgebotes der DSGVO erfüllen.

Handlungsempfehlung

Konzernen ist wegen der Effizienz und Transparenz bei der Bestellung eines Konzerndatenschutzbeauftragten dringend zu raten diese Möglichkeit in Erwägung zu ziehen. Gerade die komplexen Vorgänge bei der Datenweitergabe zwischen Unternehmen und der Einschaltung von Auftragsverarbeitern erfordern einen übergeordneten Blick und Umgang mit datenschutzrechtlich relevanten Fragestellungen, um die hohen Bußgelder der DSGVO zu vermeiden.

Mehr Information finden Sie auf unserer Leistungsseite „Datenschutzbeauftragter