Ihre Vorteile
-
Kompetenz in der Konzernstruktur
Beim Aufbau einer Datenschutzorganisation im gesamten Unternehmensverbund verfügen wir über langjährige Expertise.
-
Spezialwissen zu länderspezifischen Gesetzen
Im Umgang mit länderspezifischen Gesetzen und kulturellen Unterschieden sind wir praxisbewährte Beratungspartner.
-
Ganzheitlich sinnvolle Lösungen
Wir sorgen für ein einheitliches Datenschutzniveau im Konzern, das die Prozesse im Unternehmensverbund rechtssicher und wirtschaftlich sinnvoll regelt.
Datenschutzrechtliche Expertise für Konzerne
Die Datenschutz-Grundverordnung (DSGVO) definiert die Unternehmensgruppe nach Art. 4 Nr. 19 DSGVO als eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Der Datenschutz stellt Konzernunternehmen vor das Problem, dass angehörige einzelne Unternehmen der Konzerngruppe als eigenständige Einheiten behandelt werden. Es macht somit grundsätzlich keinen Unterschied, ob Daten an ein fremdes oder ein konzernverbundenes Unternehmen übertragen werden. Für die Übermittlung ist immer eine Rechtsgrundlage erforderlich. Hinzu kommen weitere erforderliche datenschutzrechtliche Maßnahmen, wenn der Empfänger innerhalb des Konzerns seinen Sitz im EU-Ausland hat.
Gemeinsam mit Ihnen stellen wir mit unserer Datenschutzberatung zentral die datenschutzgerechte Verarbeitung innerhalb Ihrer Konzernstruktur sicher und berücksichtigen dabei die individuellen wirtschaftlichen und strukturellen Gegebenheiten des konzernweiten Unternehmensverbunds. So kann es beispielsweise sein, dass eine Matrixorganisation im Konzern vorliegt. Aufgrund deren Struktur muss konzernübergreifend von den verschiedenen Vorgesetzten auf Mitarbeiterdaten zugegriffen werden können. Daher ist es von Vorteil, den Arbeitnehmerdatenschutz (Datenschutz im Arbeitsrecht nach DSGVO) konzernweit umzusetzen. Der Konzerndatenschutz sichert dann ein einheitliches Datenschutzniveau der Unternehmen, minimiert Risiken, vereinfacht Prozesse und schafft Vertrauen.
intersoft consulting services AG unterstützt Sie beim Datenschutz innerhalb des Konzerns. Mit Ihnen gemeinsam vermeiden und lösen wir Probleme, welche durch einen Mangel an passgenauen, speziellen gesetzlichen Regelungen im Datenschutz für Konzerne entstehen. Dabei profitieren Sie im Konzerndatenschutz von unserer Erfahrung in der Datenschutzberatung und als externe Datenschutzbeauftragte unterschiedlich strukturierter und renommierter Großkonzerne – mit Niederlassungen im In- und Ausland. Internationale Datentransfers und das Implementieren von Binding Corporate Rules (BCR) oder die Nutzung von EU-Standardvertragsklauseln sind uns vertraut.
Unser Leistungsspektrum im Datenschutz reicht von der Beratung in Einzelfragen bis hin zur Stellung eines externen Konzerndatenschutzbeauftragten für den gesamten Unternehmensverbund. Mit Ihnen gemeinsam implementieren wir den Aufbau einer konzernweiten Datenschutzorganisation. Im internationalen Kontext lotsen wir Sie souverän im Konzerndatenschutz durch den brisanten Bereich des grenzüberschreitenden Datenverkehrs. Durch die zentrale Sicherung der Datenschutz-Compliance minimieren Sie Risiken und erhalten ein konzernweites und einheitliches Datenschutzniveau.
So können wir Sie unterstützen
- Stellung eines externen Datenschutzbeauftragten für den gesamten Konzern (Konzerndatenschutzbeauftragter)
- Aufbau einer Datenschutzorganisation im Konzern
- Beratung zur datenschutzgerechten Übertragung von personenbezogenen Daten in Länder außerhalb der EU
- Ausgestaltung der datenschutzkonformen Übertragung von Mitarbeiterdaten, auch ins Ausland
- Beratung zum datenschutzgerechten Betrieb von Shared Service Centern
- Erarbeitung konzernweiter Richtlinien / Policies im Datenschutz
Häufige Fragen
Wir beantworten Ihnen wichtige Fragen zum Thema Konzerdatenschutz.
Eine besondere Hürde für Datenverarbeitungen innerhalb verschiedener Konzernverbünde ist, dass es im Datenschutzrecht kein sogenanntes „Konzernprivileg“ gibt. Werden also personenbezogene Daten an einen Dritten, daher außerhalb des eigenen Unternehmens weitergegeben, spielt es keine Rolle, ob dieser Dritte ein fremdes oder ein Unternehmen in der Konzernstruktur ist.
Eine Erleichterung im Konzerndatenschutz bietet die DSGVO bei Datenübermittlungen, die auf ein berechtigtes Interesse der involvierten Unternehmen gestützt werden. Nach Erwägungsgrund 48 der DSGVO können Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb dieses Verbunds für interne Verwaltungszwecke zu übermitteln. Aufgrund des fehlenden Konzernprivilegs im Bereich Datenschutz ist bei jedem konzerninternen Austausch personenbezogener Daten darauf zu achten, dass für die Übermittlungen eine Rechtsgrundlage besteht. Unsere erfahrenen Datenschutz-Berater helfen Ihnen gerne bei der Umsetzung datenschutzkonformer Datenübermittlungen im Konzerngefüge.
Das fehlende Konzernprivileg stellt Konzernunternehmen vor Herausforderungen. Eine Auslagerung bestimmter Unternehmensbereiche (z. B. Buchhaltung, Personalverwaltung oder Abrechnung) und eine Zentralisierung der Datenverarbeitung bei der Konzernmutter wird nicht ohne Weiteres möglich sein.
Bei der Einführung und Nutzung einer Konzerndatenbank ist etwa zu klären, welches Unternehmen eigentlich „verantwortlich“ ist, oder ob sogar eine „gemeinsame Verantwortlichkeit“ zwischen den beteiligten Konzernunternehmen in Betracht kommt. Unter Umständen kann auch eine Auftragsverarbeitung denkbar sein. Zusätzlich stehen Unternehmen in der Pflicht, jede konzerninterne Übermittlung personenbezogener Daten auf eine valide Rechtsgrundlage zu stützen. Befindet sich ein involviertes Konzernunternehmen in einem Drittland, sind zusätzliche Anforderungen zu beachten. Verarbeitet das Konzernunternehmen eigenverantwortlich Mitarbeiterdaten, die es von einem Konzernunternehmen aus dem EWR-Raum erhält, bedürfen die von der europäischen Kommission bereitgestellten Standard-Datenschutzklauseln ergänzender Regelungen für eine datenschutzkonforme Datenübermittlung von Mitarbeiterdaten.
Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte erreicht werden kann. Dies war schon nach dem Bundesdatenschutzgesetz (BDSG) zulässig und üblich. Die DSGVO erleichtert dies noch zusätzlich. Ein wesentlicher Vorteil bei der Bestellung eines Konzerndatenschutzbeauftragten ist die Etablierung eines gleichmäßigen Datenschutzniveaus in der Unternehmergruppe durch die zentrale Organisation.
Zur Erreichung dieses Zwecks bieten sich verschiedene Modelle an. Nach dem sogenannten Einheitsmodell kann ein und dieselbe Person die Funktion des Datenschutzbeauftragten für mehrere oder sämtliche Konzernunternehmen innehaben. Hierbei hat jede Konzerntochter diese Person ordnungsgemäß als Konzerndatenschutzbeauftragten benannt. Je größer der Konzern ist, desto mehr Ressourcen und Mitarbeiter benötigt der Konzerndatenschutzbeauftragte im Einheitsmodell.
Eine Alternative hierzu ist das sogenannte Koordinationsmodell. Hierbei benennt jedes Unternehmen der Konzerngruppe einen eigenen Datenschutzbeauftragten, wobei die konzernweite Datenschutzorganisation durch einen Konzerndatenschützer koordiniert wird. Beiden Modellen ist gemein, dass sämtliche Fäden bei einer fachkundigen Stelle zusammenlaufen, um einheitliche Lösungen für unternehmensübergreifende Fragen im Datenschutz zu finden.
Kompetenz von mehr als 70 Consultants
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download