Datenschutz auf mehreren Ebenen

Die Entwicklung einer konzernweiten Datenschutzstrategie ist eine Herausforderung. Hierfür gibt es verschiedene Gründe. Die Beschaffung von relevanten Informationen, die Ermittlung des datenschutzrechtlichen Umsetzungs- und Anpassungsbedarfs und natürlich auch die Kommunikation mit den jeweiligen Abteilungen und Process Domains gestalten die Einhaltung datenschutzrechtlicher Vorgaben in Konzernen schwierig. Dies bereitet nicht nur Probleme für die grundlegende Datenschutz-Compliance innerhalb des Konzerns, sondern verhindert auch innovative Projekte und die Umsetzung von neuen Geschäftsideen.

Genau an dieser Stelle setzt unsere Expertise an. Wir wissen, welche Herausforderungen Sie im Konzerndatenschutz zu bewältigen haben und leisten tatkräftig Unterstützung. Wir führen Gap-Analysen durch und ermitteln den Ist-Zustand. Auf dieser Basis definieren wir Ziele für die Erreichung eines Soll-Zustands. Wir unterstützen Sie bei der Implementierung von Datenschutzmaßnahmen und Datenschutzprozessen. Wir helfen Ihnen bei der internen und externen Kommunikation und der Dokumentation der getroffenen Maßnahmen.

Die Rechenschaftspflicht aus der DSGVO bereitet Konzernen oftmals Schwierigkeiten. Nachdem datenschutzrechtlich relevante Informationen zusammengetragen werden, müssen diese in eine verwendbare Struktur gebracht werden. Um Prozesse zu dokumentieren, ist die Aufbereitung von Informationen sehr wichtig. Je verständlicher Angaben zum Datenschutz gemacht werden, desto einfacher ist die Prüfung für eine Aufsichtsbehörde oder die Verwendung in Geschäftsunterlagen oder Verträgen.

Der Konzerndatenschutz erstreckt sich auf alle Bereiche. Der Datenschutz und Datenschutzprozesse müssen in Konzernunternehmen ebenso effizient umgesetzt werden, wie in Process Domains oder einzelnen Abteilungen. Möglichkeiten für den reibungslosen Austausch von personenbezogenen Daten zwischen den einzelnen Bereichen müssen geschaffen werden. So muss es bspw. möglich sein, von einer Niederlassung an eine andere Niederlassung Kundendaten für Vertriebszwecke weiterzuleiten. Oder Mitarbeiterdaten müssen durchaus von einer zentralisierten Datenbank für verschiedene Personalabteilungen zugänglich sein. Unter Beachtung der rechtlichen und organisatorischen Vorgaben lassen sich solche Vorgänge abbilden.

Dokumentation ist der Schlüssel zur Einhaltung der Rechenschaftspflicht. Aus Nachweisgründen muss im Datenschutz vieles dokumentiert und sicher aufbewahrt oder gespeichert werden. Dies betrifft zum einen die Grunddokumentation, etwa das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz- und Datensicherheitskonzepte, technische und organisatorische Maßnahmen, Datenschutzinformationen und -richtlinien, aber auch individuelle und einmalige Vorgänge wie Datenschutzverletzungen, Anfragen von betroffenen Personen oder auch Projekte.

Der Datenschutz ist von Natur aus eine weniger statische, sondern eher dynamische Materie. Dies wird stellenweise auch durch die DSGVO selbst deutlich, denn dort ist die Pflicht des Verantwortlichen verankert, den Datenschutz in seinem Unternehmen regelmäßig zu überprüfen und entsprechende (neue) Maßnahmen zu implementieren. Der Wortlaut von Art. 24 DSGVO bspw. ist folgendermaßen:

"Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert."

im Konzernumfeld kommt es häufig vor, dass viele Beteiligte aus unterschiedlichen Bereichen an einem Projekt oder einer Aufgabe zusammenarbeiten. Dadurch kann die Datenhaltung schnell unübersichtlich werden. Es besteht zum einen die Gefahr, dass Dateien so abgelegt werden, dass sie nicht mehr gefunden werden können. Zum anderen können datenschutzrechtliche Grundsätze, etwa die Datenminimierung oder Speicherbegrenzung, nicht eingehalten werden.

Treten Sie mit uns in Verbindung und fragen Sie unverbindlich an!

 

← zurück

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten