Gemäß Art. 30 DSGVO muss jedes Konzernunternehmen ein Verzeichnis aller Verarbeitungstätigkeiten zu den jeweiligen Datenverarbeitungen erstellen. Konzernstrukturen (etwa Verarbeitungen in gemeinsamer Verantwortlichkeit) sollten bei der Erstellung und dem Management der Verzeichnisse ebenso beachtet werden, wie Verzeichnisse aus Sicht der auftragsverarbeitenden Dienstleistungsgesellschaft.

Unternehmen sind gemäß Art. 25 und 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen – und zwar unter Berücksichtigung von datenschutzfreundlichen Voreinstellungen (Privacy by Design, Privacy by Default). Hier sollte es innerhalb eines Konzerns keine Schwachstellen geben, um die DSGVO-Compliance der Gruppe nicht zu gefährden. Auch konzernweite Sicherheitskonzepte werden im Rahmen von konzernweiten Datenverarbeitungen vorausgesetzt.

Immer wenn bei Datenverarbeitungsvorgängen aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht, muss gemäß Art. 35 DSGVO eine Datenschutzfolgenabschätzung vorgenommen werden. Hierbei gilt es die Risiken für den Schutz personenbezogener Daten vor der Einführung der jeweiligen Verarbeitung fachgerecht einzuschätzen, was gerade bei komplexen Verarbeitungen eine umfangreiche Erfahrung voraussetzt. Eine durch die Verantwortlichen verpflichtende DSFA oder aber vorherige Konsultation einer Aufsichtsbehörde, sind im Konzernkontext besonders häufig anzutreffen. 

Art. 12 ff. DSGVO enthält umfangreiche Betroffenenrechte, wie z.B. das Recht auf Auskunft und auf Widerspruch. Da innerhalb von Konzernunternehmen Daten übermittelt, gemeinsam verarbeitet oder im Auftrag für andere Unternehmen im Verbund verarbeitet werden, ist es vorteilhaft gemeinsame Prozesse und Regelungen zum Umgang mit Betroffenenrechten innerhalb des Konzerns zu erstellen.

Wenn es zu einer Datenschutzverletzung kommt, müssen gemäß Art. 33 und 34 DSGVO Aufsichtsbehörden und ggf. auch Betroffene über den Vorfall informiert werden. Da Einzelunternehmen regelmäßig Daten im Rahmen einer Auftragsverarbeitung für andere Konzernunternehmen verarbeiten, gilt es gemeinsame Prozesse zu erstellen, die einen schnellen Informationsaustausch untereinander bei Datenpannen und anderen Vorfällen ermöglichen.  

Einige Compliance-Vorgaben verlangen eine möglichst umfangreiche Verarbeitung personenbezogener Daten. Das Datenschutzrecht erfordert hingegen die Datensparsamkeit. Zudem sind Unternehmen oftmals aufgrund von (angestrebten) Zertifizierungen verpflichtet, Managementsysteme zu etablieren (z.B. Qualitätsmanagement, Informationssicherheit). Diese werden oft konzernübergreifend und als integriertes System betrieben. Die Datenschutzorganisation sollte in bestehende Managementsysteme integriert werden, um Widersprüche zu eliminieren und Synergieeffekte zu erzielen. Datenschutz als Querschnittsmaterie birgt dabei die Möglichkeit, einzelne Bereiche miteinander zu verbinden.

Für Konzerne besteht die Möglichkeit, zwecks Datentransfers innerhalb der Unternehmensgruppe einschließlich in Drittstaaten sogenannte Binding Corporate Rules (BCR, Verbindliche Unternehmensregelungen) einzuführen. Diese gelten konzernweit, müssen aber nach Absprache mit der zuständigen Aufsichtsbehörde umgesetzt werden. BCR als Transfermechanismus können als geeignete Garantie für einen Drittstaatentransfer gemäß DSGVO dienen.

Aufgrund des fehlenden Konzernprivilegs muss jede Datenübermittlung innerhalb von Konzernen gerechtfertigt werden. Je nach Art der Kooperation der Unternehmen ist dies in Form eines Joint Controller Agreements (Verarbeitung in gemeinsamer Verantwortlichkeit) oder einer Auftragsverarbeitungs-Vereinbarung vorzunehmen. Sofern ein Drittlandtransfer stattfindet, müssen zudem entsprechende Standardvertragsklauseln (Standard Contractual Clauses – SCC) abgeschlossen oder andere Garantien herangezogen werden. Anstelle von BCR empfiehlt es sich meist, Rahmenverträge für den konzernweiten Datentransfer abzuschließen, welche alle Konstellationen wie Auftragsverarbeitungsverträge, Joint Controller Agreements und nach Notwendigkeit Standardvertragsklauseln beinhalten. Weitere Unternehmen können sich nach Maßgabe dem Transfervertrag anschließen, so dass die weitestgehende Flexibilität gewahrt bleibt.

Laut Art. 88 DSGVO können auch Betriebsvereinbarungen – sofern diese datenschutzkonform ausgestaltet sind – Datenübermittlung von personenbezogenen Daten der Beschäftigten innerhalb von Konzernen ermöglichen. Insbesondere in der deutschen Rechtstradition wird gerne auf Kollektivvereinbarungen zurückgegriffen. Sie lassen sich ebenfalls in einen konzernweiten Transfermechanismus integrieren.

Konzerne stehen aufgrund ihrer datenschutzrechtlichen Exponiertheit häufiger im Fokus von Aufsichtsbehörden und Anwälten. In der Regel bedingt eine große Anzahl an verarbeiteten personenbezogenen Daten sowie betroffener Datensubjekte eine hohe Wahrscheinlichkeit Adressat sowohl behördlicher als auch anwaltlicher Verfahren zu sein. Rechtliche Expertise, auf die inhouse meist nicht zurückgegriffen werden kann, ist unverzichtbar.

Die Einhaltung regulatorischer Vorgaben steht und fällt mir der fortwährenden Sensibilisierung der mit der Datenverarbeitung maßgeblich beteiligten Personen. Für Konzerne unabdingbar ist daher ein erfolgreicher Aufbau einer Datenschutzorganisation, mit deren Hilfe in allen Gesellschaften ein einheitlicher Datenschutzstandard etabliert werden kann. Regelmäßige Schulungen von Multiplikatoren und Mitarbeitern sowie eine offene Gesprächskultur sind hierfür essenziell.