Die Anzahl der Maßnahmen, die für ein angemessenes Datenschutzniveau zu treffen sind, kann je nach Unternehmen stark variieren. Entscheidend ist, innerhalb welchen Rahmens und in welchem Umfang personenbezogene Daten verarbeitet werden. Im Allgemeinen gilt: Je größer das Unternehmen, desto umfassender sind meist die Maßnahmen zum Datenschutz.
Dementsprechend kann der Datenschutz innerhalb von Großunternehmen eine beachtenswerte Aufgabe darstellen. Eine der größten Herausforderungen ist die enorme Komplexität, der sich die Verantwortlichen stellen müssen.
Was ist Konzerndatenschutz?
Zunächst ist es erforderlich, den Begriff „Konzern“ richtig zu verstehen. Ein Konzern ist keinesfalls nur ein Großunternehmen – vielmehr handelt es sich um einen Zusammenschluss mehrerer Unternehmen, die unter gemeinsamer Führung stehen. Die einzelnen Unternehmen können in derselben Branche tätig sein und somit einen horizontal oder vertikal strukturierten Konzern bilden. Ebenso gibt es laterale Konzerne, deren Unternehmen wiederum in verschiedenen Branchen angesiedelt sind und daher im Tagesgeschäft nichts miteinander zu tun haben.
Der Konzerndatenschutz steht für eine Lösung, die eine angemessene Datensicherheit innerhalb der gesamten Konzernstruktur sicherstellt und somit alle Geschäftseinheiten einschließt.
Wie funktioniert Datenschutz im Konzern?
Eine der häufigsten und zugleich größten Schwierigkeiten beim Konzerndatenschutz besteht darin, dass nicht die Möglichkeit gegeben ist, eine einzelne klassische Datenschutzlösung zu entwickeln und diese innerhalb aller Konzernunternehmen zu implementieren. Je nach Unternehmen können ganz andere Problemstellungen auftreten, die es individuell zu lösen gilt.
Selbstverständlich ist eine zentrale und zugleich einheitliche Datenschutzlösung nicht auszuschließen. Je nach Konzernstruktur ist sie durchaus umsetzbar, weil das Führungsunternehmen im Konzern über entsprechende Macht verfügt und eine Umsetzung „verordnen“ kann. Dennoch sind solche Konstellationen in der Praxis eher selten anzutreffen. Allerdings ist es nicht ungewöhnlich, dass die Datenschutzkonzepte und Maßnahmen der einzelnen Konzernunternehmen von zentraler Stelle aus überwacht werden.
In den vielen Konzernen setzen die zugehörigen Unternehmen auf Einzellösungen, d.h. sie entwickeln separate Datenschutzlösungen. Diese Verfahrensweise bietet den Vorteil, dass die einzelnen Konzepte optimal zugeschnitten und außerdem besser zu verstehen sind. Im Gegenzug ist es wiederum erforderlich, einen höheren Gesamtaufwand zu betreiben, weil beispielsweise jedes Unternehmen einen anderen Datenschutzbeauftragten stellt.
Einige Konzerne erweitern ihren Datenschutz um Binding Corporate Rules. Diese sind als Gesamtlösung zu verstehen, die einen rechtssicheren Datenaustausch zwischen den einzelnen Konzernunternehmen ermöglichen – und das sogar über die Grenzen der Europäischen Union hinaus. Allerdings gilt die eigentliche Ausarbeitung als aufwendig, d.h. sie setzt umfangreiches Fachwissen voraus und kann sich über Zeiträume von mehreren Jahren erstrecken.
Auf was muss beim Datenschutz im Konzern geachtet werden?
Das mitunter wichtigste Thema beim Datenschutz im Konzernumfeld ist die Behandlung der Konzernunternehmen. Es gilt zu entscheiden, ob der Datenschutz in den einzelnen Geschäftseinheiten separat behandelt oder stattdessen eine einheitliche Lösung installiert wird. Wie am besten verfahren wird, lässt sich pauschal nicht sagen. Schlussendlich kommt es ganz darauf an, welchen datenschutzrelevanten Herausforderungen sich die einzelnen Unternehmen zu stellen haben. Entscheidend ist in diesem Zusammenhang, dass die Verantwortlichkeiten klar geregelt sind.
Ein weiteres und zugleich bedeutsames Thema ist der unternehmensübergreifende Austausch von Daten. Konzernlenker neigen zur Schaffung von Synergieeffekten, um dadurch Wettbewerbsvorteile zu generieren. In der Praxis werden daher gerne Datenpools gebildet, die mehrere Konzernunternehmen gemeinsam nutzen. Ein ganz typisches Beispiel ist der Austausch von Daten zu Bewerbern oder Mitarbeitern, um damit die Möglichkeiten im Personalmanagement zu erweitern. Solch ein Austausch ist aus datenschutzrechtlicher Sicht jedoch äußerst kritisch. Es müssen klare Regelungen geschaffen und Einverständniserklärungen der Betroffenen eingeholt werden (Arbeitnehmerdatenschutz & Datenschutz bei Bewerberdaten), damit solch eine Verfahrensweise zulässig ist.
Synergieeffekte werden auch im Feld der Unternehmens-IT geschaffen. Dort sind Themen wie Datensicherheit und IT-Wartung von großer Bedeutung. ISMS und Informationssicherheitsbeauftragter helfen dabei, Risiken wie Datenverlusten oder Datenschutzverstößen und den damit verbundenen Kostenrisiken vorzubeugen.
Wie ist mit dem Datenschutzbeauftragten zu verfahren?
Es gibt Konzerne, die sich darum bemühen, einen zentralen Datenschutzbeauftragten zu bestellen, der den Datenschutz in sämtlichen Geschäftseinheiten koordiniert und letztlich auch verantwortet. Attraktiv ist diese Lösung vor allem aus einem Grund: Es gibt einen zentralen Ansprechpartner, über den gesamten Konzerndatenschutz im Bilde ist.
Allerdings gestaltet es sich in der Praxis oft schwierig, so zu verfahren. Innerhalb der einzelnen Konzernunternehmen ist der Datenschutz manchmal sehr komplex und erfordert daher die gesamte Aufmerksamkeit eines einzelnen Datenschutzbeauftragten. Daher neigen viele Konzerne dazu, einzelnen Geschäftseinheiten eigene Datenschutzbeauftragte zuzuordnen.
Übrigens bietet es sich auch im Konzernumfeld an, auf die Bestellung eines externen Datenschutzbeauftragten zurückzugreifen und somit von den wesentlichen Vorzügen zu profitieren. Es locken Kostenvorteile und zugleich fällt es leichter, sich innerhalb der Konzernunternehmen auf das eigentliche Kerngeschäft zu konzentrieren.
Sollten Sie Fragen zum Datenschutz in Konzernen oder Großunternehmen haben, nehmen Sie bitte Kontakt auf. Gerne stehen wir Ihnen mit Rat und Tat zur Seite.