TÄTIGKEIT ALS
KONZERN
DATENSCHUTZBEAUFTRAGTE
GRUNDÜBERLEGUNG
In Konzernstrukturen ist jedes Konzernunternehmen als rechtlich selbständige Einheit für sich der DSGVO unterworfen und müsste einen betrieblichen Datenschutzbeauftragten benennen. Dies führt in der Praxis dazu, dass eine einheitliche Beratung und Kontrolle der Unternehmen nicht mehr gewährleistet ist, dass unterschiedliche Maßnahmen angestoßen werden und vor allem mehr finanzielle Mittel zur Verfügung gestellt werden.
Die DSGVO sieht hier eine Erleichterung vor: Es reicht, wenn ein Unternehmen im Betrieb einen DSB benennt. Meistens benennt die Konzernmutter oder eine europäische oder nationale Zentrale im Konzern. Die anderen Konzernunternehmen erklären ihren Beitritt zur Benennung, sozusagen diesen wie als eigenen DSB zu nutzen, und müssen keine eigene Benennung mit Kündigungsschutz erklären.
Gesetzliche Vorgabe für den KonzernDSB
Der Konzerndatenschutzbeauftragte muss so gewählt werden, dass er sich zum einen mit der DSGVO auskennt, aber auch für alle Beteiligten „leicht erreichbar“ sein muss. Unter „leicht erreichbar“ versteht man nicht die räumliche Erreichbarkeit, vielmehr ist die kommunikative Erreichbarkeit gemeint, die dadurch erreicht wird, dass Name und Kontaktdaten des Datenschutzbeauftragten konzernweit bekannt gegeben werden, an zentraler Stelle dauerhaft zu finden sind (z. B. im Intranet) und er über die angebotenen Kontaktmöglichkeiten auch tatsächlich erreicht werden kann. Bei internationalen Konzernen ist die Sprachbarriere dann nicht problematisch, sofern eine einheitliche Konzernsprache, festgelegt ist. Dies ist in internationalen Konzernen in der Regel der Fall, meist ist Englisch die Konzernsprache. Auch stellt sich der Gesetzgeber vor, dass der Konzerndatenschutzbeauftrage im Wesentlichen in der gleichen/ähnlichen Zeitzone wie die betreuten Konzernunternehmen sein muss, da ansonsten Kommunikation erschwert ist.
Damit ein Konzerndatenschutzbeauftragter die DSGVO an den einzelnen Standorten gut implementieren und den Status überwachen kann, ist es erforderlich, dass an jedem Standort Datenschutzkoordinatoren/ Datenschutzmanager benannt werden, die dafür Sorge tragen, dass die Vorgaben des Konzerndatenschutzbeauftragten am jeweiligen Standort umgesetzt werden. Auch laufen in der Regel Fragen der Mitarbeiter der einzelnen Standorte hier auf, Anliegen und Aufgaben werden kanalisiert, priorisiert und verwaltet, damit unnötige oder redundante Anfragen an den Konzerndatenschutzbeauftragten vermieden werden.
Ein Konzerndatenschutzbeauftragter nimmt in der Regel die Schlüsselposition zwischen den einzelnen Konzernunternehmen ein.
SONDERFALL UK
Art. 69 bis 71 UK Data Protection Act 2018 schreibt vor, dass nach UK law ein Unternehmen einen Datenschutzbeauftragten haben muss, außer
es handelt sich um ein Gericht oder juristische Behörde. Auch hier ist vorgesehen, dass grundsätzlich ein Konzerndatenschutzbeauftragter möglich ist. Da das Data Protection Act 2018 als nationale Regelung mit Bezug auf die DSGVO gestaltet wurde, sind die Anforderungen nach DPA 2018 denen der DSGVO nachempfunden. Wichtig ist nach UK Recht wie auch nach der DSGVO die fachliche Kompetenz und generell die Kompetenz, die Aufgaben eines DSB, die denen der DSGVO entsprechen, durchzuführen. Mit einem DSB der nach DSGVO geeignet ist, sollte auch den Anforderungen der Art. 69 bis 71 UK Data Protection Act 2018 genüge getan sein.
UNSERE ARBEITSWEISE ALS KONZERNDATENSCHUTZBEAUFTRAGTER
Obgleich auf Konzernebene eine gemeinsame, einheitliche Marschrichtung für den Datenschutz vorgegeben wird, muss doch jedes Konzernunternehmen für sich den Datenschutz bei sich umsetzen. Daher definieren wir zunächst gemeinsam das Ziel, das konzernweit erreich werden soll und erarbeiten einen gemeinsamen Fahrplan, der in jedem einzelnen Konzernunternehmen umgesetzt werden soll. Hierbei werden natürlich auch nationale Vorgaben und Eigenheiten bedacht.
Als nächstes machen wir eine Statusfeststellung, wie die datenschutzrechtlichen Vorgaben in den einzelnen Konzernunternehmen, an den einzelnen Standorten bereits implementiert sind. Je nachdem, welche Punkte des gemeinsam erarbeiteten Fahrplanes bereits an einem Standort umgesetzt sind, steigt dieser Standort am nächsten Punkt des Fahrplanes ein.
Für die Statusfeststellung werden wir jeden Standort bitten, uns etwaig vorhandene Dokumente wie Datenschutzerklärungen, Arbeitsanweisungen, Verpflichtungserklärungen etc. zu übersenden, wir werden Gespräche führen mit den einzelnen Standorten, abfragen, wie die Zuständigkeiten sind, wie der Schulungsstand der Mitarbeiter ist, welche Sonderbedürfnisse bestehen. Natürlich bedenken wir hierbei auch die nationale datenschutzrechtliche Gesetzgebung.
Natürlich stellen wir uns auch – aktuell in der Regel in Videokonferenzen – den Kernpersonen der einzelnen Standorte vor, hören uns deren besondere Bedürfnisse und Gedanken an.
Wenn einmal ein gemeinsamer Stand im Bereich Datenschutz erreicht ist, werden laufende Tätigkeiten immer an allen Standorten gemeinsam angedacht und implementiert, es sei denn, etwas Anderes wird gewünscht, weil z.B. etwas an einzelnen Standorten schneller umgesetzt werden soll, als bei anderen, oder nationale Gesetzgebung schreibt etwas Anderes vor.
Sind die Formalitäten in den einzelnen Standorten DSGVO-konform aufgestellt, können wir als Konzerndatenschutzbeauftragter zum Tagesgeschäft übergehen. Dabei dokumentieren und bearbeiteten wir zum Beispiel die Datenauskunftsersuchen und stellen sicher, dass die Schulungen über den Datenschutz termingerecht und vollständig abgehalten werden.
Da die Bearbeitung der Ersuche in den Unternehmen stattfindet, haben wir als Konzerndatenschutzbeauftragter später in erster Linie beratende und berichtende Funktionen. Außerdem sorgen wir dafür, dass die Interessen von Datenschutz und Konzern gewahrt bleiben, ebenso können wir die Kommunikation zwischen Konzern und den verantwortlichen Behörden organisieren.
Über uns
Wir arbeiten neben Deutsch und Englisch auch in Spanisch, Französisch und Italienisch, kommunizieren in Türkisch, Portugiesisch und Rumänisch.
Seit Jahren betreuen wir internationale Konzerne als Konzerndatenschutzbeauftragte, stellen regelmäßig Rechtsvergleiche im Bereich Datenschutzrecht an, konsolidieren die Konzernanforderungen mit den jeweiligen nationalen Anforderungen. Auch begleiten wir seit Jahren die weltweite Übermittlung von personenbezogenen Daten, betreuen den Umgang mit Dienstleistern, prüfen, entwerfen und verhandeln entsprechende Verträge.