Konzern-Datenschutz
gemäß DSGVO

Erreichen Sie DSGVO-Compliance mit Hilfe unserer erfahrenen Juristen. Flexible Unterstützung Ihrer Datenschutz-Teams und -Beauftragten in Konzernen und Unternehmensgruppen.

Konzern-Datenschutz
gemäß DSGVO

Erreichen Sie DSGVO-Compliance mit Hilfe unserer erfahrenen Juristen. Flexible Unterstützung Ihrer Datenschutz-Teams und -Beauftragten in Konzernen und Unternehmensgruppen.

Compliance schafft nachhaltig Vertrauen

CIPP-E_Seal_2013
activeMind-legal-ISO-27001-Siegel-2022-06-27
activemind-tisax-logo
Web

Was sind Ihre größten Herausforderungen beim Datenschutz im Konzern?

Unternehmensgruppen sehen sich komplexeren datenschutzrechtlichen Anforderungen und Aufgaben gegenüber.

Die organisatorische und rechtliche Verquickung von Unternehmen, die einem Konzern angehören, führt vor allem bei Austausch bzw. der gemeinsamen Verarbeitung personenbezogener Daten von Mitarbeitern, Kunden und Partnern zu datenschutzrechtlichen Herausforderungen.

Gibt es Konzernunternehmen außerhalb der EU bzw. des EWR, wird die Rechtslage noch komplizierter. Es ist sicherzustellen, dass in jeder Konzerneinheit angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten getroffen werden.

Zudem können etwa gemeinsame Personal- oder IT-Abteilungen nicht ohne Weiteres personenbezogene Daten für die Konzernmutter oder andere Konzerntöchter verarbeiten. In der Regel bedarf es hierzu gesonderter rechtlicher Rahmenbedingungen.

Datenübermittlungen zwischen Konzern und Konzernunternehmen

Datentransfers außerhalb der EU bzw. des EWR

Gemeinsame oder Auftragsverarbeitungen durch zentrale Organisationseinheiten

Wie können unsere Juristen Sie beim Datenschutz im Konzern unterstützen?

Sie profitieren von punktueller und flexibler Unterstützung zu allen Datenschutz-Fragen, bei denen Sie Support von Experten benötigen.

In den meisten Konzernen ist (mindestens) ein interner bzw. betrieblicher Datenschutzbeauftragter bestellt. Oft wird das Thema Datenschutz von den Compliance-Abteilungen mitorganisiert. Bei vielen Fragestellungen bedarf es jedoch eines spezialisierten Juristen, der sich jeden Tag mit der Datenschutz-Grundverordnung (DSGVO) und dem Datenschutzrecht der EU-Staaten beschäftigt.

Unsere Experten unterstützen Sie immer dort, wo Sie inhouse Bedarf an weiterer Expertise haben – projektbezogen oder auch dauerhaft. Auf diese Weise finden wir gemeinsam DSGVO-konforme Lösungen für alle datenschutzrechtlichen Herausforderungen in Ihrem Konzern.

Welche Datenschutz-Aufgaben im Konzern können wir für Sie übernehmen?

Gemäß Art. 30 DSGVO muss jedes Konzernunternehmen ein Verzeichnis aller Verarbeitungstätigkeiten zu den jeweiligen Datenverarbeitungen erstellen. Konzernstrukturen (etwa Verarbeitungen in gemeinsamer Verantwortlichkeit) sollten bei der Erstellung und dem Management der Verzeichnisse ebenso beachtet werden, wie Verzeichnisse aus Sicht der auftragsverarbeitenden Dienstleistungsgesellschaft.

Unternehmen sind gemäß Art. 25 und 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen – und zwar unter Berücksichtigung von datenschutzfreundlichen Voreinstellungen (Privacy by Design, Privacy by Default). Hier sollte es innerhalb eines Konzerns keine Schwachstellen geben, um die DSGVO-Compliance der Gruppe nicht zu gefährden. Auch konzernweite Sicherheitskonzepte werden im Rahmen von konzernweiten Datenverarbeitungen vorausgesetzt.

Immer wenn bei Datenverarbeitungsvorgängen aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht, muss gemäß Art. 35 DSGVO eine Datenschutzfolgenabschätzung vorgenommen werden. Hierbei gilt es die Risiken für den Schutz personenbezogener Daten vor der Einführung der jeweiligen Verarbeitung fachgerecht einzuschätzen, was gerade bei komplexen Verarbeitungen eine umfangreiche Erfahrung voraussetzt. Eine durch die Verantwortlichen verpflichtende DSFA oder aber vorherige Konsultation einer Aufsichtsbehörde, sind im Konzernkontext besonders häufig anzutreffen. 

Art. 12 ff. DSGVO enthält umfangreiche Betroffenenrechte, wie z.B. das Recht auf Auskunft und auf Widerspruch. Da innerhalb von Konzernunternehmen Daten übermittelt, gemeinsam verarbeitet oder im Auftrag für andere Unternehmen im Verbund verarbeitet werden, ist es vorteilhaft gemeinsame Prozesse und Regelungen zum Umgang mit Betroffenenrechten innerhalb des Konzerns zu erstellen.

Wenn es zu einer Datenschutzverletzung kommt, müssen gemäß Art. 33 und 34 DSGVO Aufsichtsbehörden und ggf. auch Betroffene über den Vorfall informiert werden. Da Einzelunternehmen regelmäßig Daten im Rahmen einer Auftragsverarbeitung für andere Konzernunternehmen verarbeiten, gilt es gemeinsame Prozesse zu erstellen, die einen schnellen Informationsaustausch untereinander bei Datenpannen und anderen Vorfällen ermöglichen.  

Einige Compliance-Vorgaben verlangen eine möglichst umfangreiche Verarbeitung personenbezogener Daten. Das Datenschutzrecht erfordert hingegen die Datensparsamkeit. Zudem sind Unternehmen oftmals aufgrund von (angestrebten) Zertifizierungen verpflichtet, Managementsysteme zu etablieren (z.B. Qualitätsmanagement, Informationssicherheit). Diese werden oft konzernübergreifend und als integriertes System betrieben. Die Datenschutzorganisation sollte in bestehende Managementsysteme integriert werden, um Widersprüche zu eliminieren und Synergieeffekte zu erzielen. Datenschutz als Querschnittsmaterie birgt dabei die Möglichkeit, einzelne Bereiche miteinander zu verbinden.

Für Konzerne besteht die Möglichkeit, zwecks Datentransfers innerhalb der Unternehmensgruppe einschließlich in Drittstaaten sogenannte Binding Corporate Rules (BCR, Verbindliche Unternehmensregelungen) einzuführen. Diese gelten konzernweit, müssen aber nach Absprache mit der zuständigen Aufsichtsbehörde umgesetzt werden. BCR als Transfermechanismus können als geeignete Garantie für einen Drittstaatentransfer gemäß DSGVO dienen.

Aufgrund des fehlenden Konzernprivilegs muss jede Datenübermittlung innerhalb von Konzernen gerechtfertigt werden. Je nach Art der Kooperation der Unternehmen ist dies in Form eines Joint Controller Agreements (Verarbeitung in gemeinsamer Verantwortlichkeit) oder einer Auftragsverarbeitungs-Vereinbarung vorzunehmen. Sofern ein Drittlandtransfer stattfindet, müssen zudem entsprechende Standardvertragsklauseln (Standard Contractual Clauses – SCC) abgeschlossen oder andere Garantien herangezogen werden. Anstelle von BCR empfiehlt es sich meist, Rahmenverträge für den konzernweiten Datentransfer abzuschließen, welche alle Konstellationen wie Auftragsverarbeitungsverträge, Joint Controller Agreements und nach Notwendigkeit Standardvertragsklauseln beinhalten. Weitere Unternehmen können sich nach Maßgabe dem Transfervertrag anschließen, so dass die weitestgehende Flexibilität gewahrt bleibt.

Laut Art. 88 DSGVO können auch Betriebsvereinbarungen – sofern diese datenschutzkonform ausgestaltet sind – Datenübermittlung von personenbezogenen Daten der Beschäftigten innerhalb von Konzernen ermöglichen. Insbesondere in der deutschen Rechtstradition wird gerne auf Kollektivvereinbarungen zurückgegriffen. Sie lassen sich ebenfalls in einen konzernweiten Transfermechanismus integrieren.

Konzerne stehen aufgrund ihrer datenschutzrechtlichen Exponiertheit häufiger im Fokus von Aufsichtsbehörden und Anwälten. In der Regel bedingt eine große Anzahl an verarbeiteten personenbezogenen Daten sowie betroffener Datensubjekte eine hohe Wahrscheinlichkeit Adressat sowohl behördlicher als auch anwaltlicher Verfahren zu sein. Rechtliche Expertise, auf die inhouse meist nicht zurückgegriffen werden kann, ist unverzichtbar.

Die Einhaltung regulatorischer Vorgaben steht und fällt mir der fortwährenden Sensibilisierung der mit der Datenverarbeitung maßgeblich beteiligten Personen. Für Konzerne unabdingbar ist daher ein erfolgreicher Aufbau einer Datenschutzorganisation, mit deren Hilfe in allen Gesellschaften ein einheitlicher Datenschutzstandard etabliert werden kann. Regelmäßige Schulungen von Multiplikatoren und Mitarbeitern sowie eine offene Gesprächskultur sind hierfür essenziell.

Whistleblowing-Richtlinie

In einer Whistleblowing-Richtlinie legen wir den Meldeprozess fest und dokumentieren Zuständigkeiten sowie Einhaltung gesetzlicher Vorgaben.

Mitarbeiterschulung und Infomaterial

Mittels Onlineschulung unterrichten wir Ihre Mitarbeiter über das eingerichtete Hinweisgebersystem. Ergänzend erhalten Sie Informationsmaterial, um auf das Hinweisgebersystem aufmerksam zu machen.

4 gute Gründe, warum activeMind.legal für Ihren Konzern-Datenschutz die beste Wahl ist

Spezialisierte Juristen

Unsere Kanzlei mit Büros in Berlin und München ist auf das Datenschutzrecht und angrenzende Rechtsgebiete spezialisiert. Wir wissen nicht nur, was Sie laut DSGVO tun müssen, sondern auch wie das am besten geht.

Gelebter Wissenstransfer

Durch interne und externe Fortbildungen bleiben wir stets auf dem neusten Stand, um dem dynamischen Rechtsgebiet des Datenschutzes gerecht zu werden. Technologische Entwicklungen und regulatorische Vorhaben, welche in das Datenschutzrecht ausstrahlen, behalten wir stets im Auge, etwa KI-Verordnung, Data Act, Data Governance Act, ePrivacy-Verordnung, Gesetz über digitale Märkte und Services.

Internationale Ausrichtung

In unserem Team sprechen wir 10+ europäische Sprachen und betreuen Mandanten aus aller Welt. Mit Partnerunternehmen im Vereinigten Königreich und der Schweiz können wir alle datenschutzrechtlichen Aspekte in Europa abdecken.

Compliance Enabler

Datenschutz-, Informationssicherheits- und Qualitätssicherungs-Management leben wir in unserer Kanzlei jeden Tag. Compliance ist Teil unserer Unternehmens-DNA. Deshalb sind wir in besonderem Maße fähig, Sie zu rechtskonformen Geschäftsmodellen zu befähigen.

Kostenloses Erstgespräch

Konzernstrukturen sind komplex. Ihre Anforderungen an den Datenschutz individuell. Deshalb würden wir gerne erfahren, wo und wie genau wir Sie unterstützen können.

Dafür bieten wir Ihnen ein kostenfreies Gespräch zur Auftragsklärung mit einem unserer Juristen an.

Schreiben Sie uns einfach hier eine Nachricht und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag bei Ihnen.

Frequently asked questions about the EU representative required under the GDPR

Art. 27 GDPR (General Data Protection Regulation) requires companies that do not have offices, branches, or other establishments in the EU (non-EU businesses), but conduct business with European clients, to appoint an EU representative. Specifically, you must appoint an EU representative if your organisation processes personal data in the following contexts:

  • offering goods or services to individuals in the EU, or
  • monitoring the behaviour of individuals in the EU.

This obligation applies to both data controllers and data processors.

An EU representative serves as a contact point between your company and individuals or data protection authorities in the EU. An EU representative therefore acts on your company’s behalf with regard to your obligations under the GDPR. Furthermore, the representative maintains your records of processing activities and makes these records available to supervisory authorities upon request.

EU representatives can be external service providers, and the role can be performed by individuals or organisations, such as law firms, consultancies, or other private companies. They must be based in one of the countries where customers or data subjects that are being monitored are located or where your goods or services are being offered.

The GDPR does not specify the minimum qualifications an EU representative should hold. However, it is advisable to appoint a representative that has a broad understanding of the relevant legal and technical data protection issues in order to be able to communicate with the authorities efficiently. Furthermore, as an EU representative serves as the contact point between your company and data subjects or authorities, it is thus essential that the representative speaks the local language fluently.

How much you can expect to pay for an EU representative under the GDPR depends on several factors, for example, the size of your company, the number of employees, what data you process and how many locations in how many countries you have. These all influence the amount of queries and attention from supervisory authorities your company may expect to receive. Furthermore, the costs for an EU representative are influenced by how much support you may need in creating and maintaining the necessary data protection documents (especially the records of processing activities – ROPA).

Kontaktieren Sie uns!