Letzte Änderung: 15.11.2024
Bereits 2004 haben wir uns darauf spezialisiert, dem Mittelstand und Konzernen ein Konzept anzubieten, wie Datenschutz trotz besonderer Herausforderungen angemessen und wirkungsvoll etabliert werden kann.
Den Spagat zwischen Konzern-Mutter und Tochtergesellschaften hat auch die jüngste Fassung des Bundesdatenschutzgesetzes (BDSG) nicht berücksichtigt. So haftet auch nach Ablauf der Übergangsfrist für die Umsetzung der EU Datenschutz-Grundverordnung (DSGVO) jede juristisch eigenständige Geschäftseinheit erst einmal für sich selbst.
Die seit dem 25.5.2018 geltende DSGVO enthält zum ersten Mal den Begriff Unternehmensgruppe. Ein generelles Konzernprivileg lässt auch die neue Verordnung nicht zu. Konzerne erhalten durch die DSGVO eine kleine Erleichterung: die konzerninterne Datenübermittlung personenbezogener Mitarbeiter- und Kundendaten für interne Verwaltungszwecke gilt als berechtigtes Interesse der Unternehmensgruppe (Erwägungsgrund 48).
Die zentrale Datenhaltung, die in Unternehmensgruppen häufig bereits Alltag ist, unterliegt auch unter der DSGVO den bereits bekannten Regelungen und erfordert die Umsetzung der Auftragsverarbeitungsverträge (AV-Verträge) sowie Instrumente zum internationalen Datentransfer. . Es geht auch nicht mehr nur um Vernetzung innerhalb einer Unternehmensgruppe bundesweit oder eines Konzerns international; es geht vielmehr um die inzwischen beinahe schon übliche Nutzung des "Internet of Things" und insbesondere um cloudbasierte Serviceleistungen (Software, Archivierung etc.). Spätestens an diesem Punkt muss die Datenverarbeitung im Unternehmensverbund zusätzlich den speziellen Auflagen beim grenzüberschreitenden Datenschutz gerecht werden. Die Privilegierung der Auftragsverarbeitung umfasst unsere Beratung daher ebenso wie Modelle zur Datenübermittlung in unsichere Drittstaaten.
Eine der bedeutendsten Neuerungen für Unternehmen stellt der Bußgeldrahmen dar. Er bewegt sich laut Gesetz im Rahmen von bis zu 4% des Vorjahresumsatzes des Konzerns. Er stellt damit künftig einen realen wirtschaftlichen Anreiz dar, Versäumnisse in der Datenschutzorganisation zügig nachzuholen.
Neben der gebotenen Vertraulichkeit personenbezogener Daten spielen Datenvermeidung, Archivierungspflichten sowie die Meldepflicht von Datenpannen und die Auskunftsrechte Betroffener künftig international eine Rolle, die unter wirtschaftlichen Aspekten dauerhaft nicht mehr ignoriert werden kann.