Preise
Login
Demo vereinbaren

Datenschutzrollen im Konzern: Zuständigkeiten, Schnittstellen und typische Stolpersteine

13 Minuten
10. März 2026

Datenschutzrollen gibt es im Konzern viele: vom Datenschutzbeauftragten über Manager und Koordinatoren bis hin zu Data Ownern und Legal Counsel. Hinter ähnlichen Titeln verbergen sich jedoch oft sehr unterschiedliche Verantwortlichkeiten. Gerade im Konzern ist diese Abgrenzung entscheidend, denn Datenschutz ist kein einmaliges Projekt, sondern ein dauerhaftes Zusammenspiel aus Governance, Umsetzung und Kontrolle. Dieser Beitrag zeigt, welche Datenschutzrollen es im Konzern gibt, wofür sie zuständig sind und warum klare Zuständigkeiten den entscheidenden Unterschied machen.

Datenschutzorganisation im Konzern mit Ebenenmodell, Zuständigkeiten und Schnittstellen gemäß DSGVO-Konzernstruktur
    • Datenschutzrollen im Konzern funktionieren nur mit klarer Ebenenlogik: strategisch steuern, taktisch strukturieren, operativ umsetzen und zur Kontrolle prüfen.
    • Eine durchdachte Datenschutzorganisation im Konzern verhindert Reibungsverluste, Doppelarbeit und Haftungsrisiken.
    • Der Konzern-Datenschutzbeauftragte setzt den Rahmen, lokale DSB, Datenschutzmanager, Data Owner und Koordinatoren sichern die Umsetzung.
    • Typische Stolpersteine in der DSGVO-Konzernstruktur sind unklare Zuständigkeiten, fehlende Schnittstellen zu IT und Fachbereichen sowie Ressourcenengpässe.

In diesem Artikel

Das Ebenenmodell als roter Faden

Rollen im Datenschutz lassen sich am besten verstehen, wenn man sie nicht nach Titeln sortiert, sondern nach einer einfachen Frage: Auf welcher Ebene wirkt diese Rolle?

Setzt sie Leitplanken? Übersetzt sie Vorgaben in Prozesse? Arbeitet sie im Tagesgeschäft? Oder prüft sie, ob alles funktioniert?

Vier Ebenen reichen dafür meist aus.

Strategische Ebene: Rahmen, Standards, Governance

Auf dieser Ebene geht es um die Leitplanken: Welche Standards gelten konzernweit? Welche Richtlinien und Prinzipien setzen den Rahmen für alle Gesellschaften? Wie wird Datenschutz organisatorisch verankert und wie werden große Risiken eingeordnet? 

Und zu guter letzt: Welchen Datenschutzreifegrad hat der Konzern und welchen strebt er an?

Typisch sind Entscheidungen, die langfristig wirken: konzernweite Vorgaben, Prioritäten, Eskalationslogik und die Frage, wie Datenschutz als System im Unternehmen funktioniert.

Taktische Ebene: Vorgaben in Programme, Prozesse und Workflows übersetzen

Die taktische Ebene ist die Brücke zwischen Anspruch und Realität. Hier werden strategische Vorgaben in konkrete Abläufe übersetzt: Wie läuft eine Dienstleisterprüfung ab? Wie wird eine DSFA vorbereitet? Wie werden neue Tools datenschutzkonform eingeführt? Welche Workflows und Dokumentationswege braucht das Datenschutzmanagementsystem, damit Aufgaben nicht liegen bleiben?

Taktik bedeutet: Struktur schaffen, damit Umsetzung im Alltag zuverlässig möglich wird.

Operative Ebene: Tagesgeschäft und Umsetzung

Auf der operativen Ebene passiert die meiste Arbeit, die man klassisch mit Datenschutz verbindet: Prozesse aufnehmen, Informationen sammeln, Dokumentation pflegen, Fachbereiche unterstützen, Risiken im Alltag erkennen und Maßnahmen anstoßen.

Hier entscheidet sich, ob Datenschutz gelebt wird. Nicht als Zusatzaufwand, sondern als normaler Bestandteil sauberer Prozesse.

Kontroll- und Auditebene: Wirksamkeit, Überwachung, Nachweis

Die Kontroll- und Auditebene sorgt dafür, dass Datenschutz nicht nur geplant und dokumentiert ist, sondern tatsächlich funktioniert. Dazu gehören Prüfungen, Audits und die Fähigkeit, gegenüber dem Management oder der Aufsicht nachvollziehbar zu zeigen: Rollen, Prozesse und Nachweise sind im Griff.

Wichtig ist: Kontrolle heißt nicht blockieren. Kontrolle heißt Transparenz schaffen und bei Risiken rechtzeitig gegensteuern.

Wer Rollen sauber trennt, kommt schnell zur nächsten Grundsatzfrage: Wie wird Datenschutz im Konzern organisatorisch aufgestellt, eher zentral oder eher dezentral? Eine kompakte Gegenüberstellung von Einheitsmodell und Koordinationsmodell finden Sie im Beitrag “Zentral oder dezentral? Zwei Wege zum erfolgreichen Datenschutz im Konzern“.

Warum verschiedene Rollen nötig sind

Komplexität im Konzern: Viele Realitäten unter einem Dach

Im Konzern ist Datenverarbeitung selten einheitlich. Häufig gibt es mehrere Gesellschaften und Standorte, unterschiedliche Systemlandschaften und Tools und damit auch unterschiedliche Datenflüsse. Was in Gesellschaft A sauber dokumentiert ist, läuft in Gesellschaft B über andere Tools oder andere Dienstleister. Dazu kommen internationale Bezüge: zentrale IT, Shared Services, Cloud Anbieter, konzernweite HR- oder CRM-Systeme. Datenschutz wird damit automatisch zur Koordinationsaufgabe und nicht nur zur Einzelfallprüfung.

Unterschiedliche Kompetenzfelder: Recht, Technik, Umsetzung, Fachbereich

Datenschutz besteht aus mehreren Disziplinen, die selten sinnvoll in einer einzigen Rolle zusammenfallen, ohne dass etwas liegen bleibt.

  1. Rechtliche Bewertung: Rechtsgrundlagen, Vertragstexte, Informationspflichten, Einwilligungen, Risikoabwägungen
  2. Technische Sicherheit und Umsetzung: technische und organisatorische Maßnahmen, Zugriffe, Protokollierung, Löschroutinen, Vorfallhandling, meist eng verzahnt mit IT und Informationssicherheit
  3. Operative Umsetzung: VVT pflegen, Dienstleister-Checks organisieren, DSFA begleiten, Schulungen und Kommunikation, Aufgaben und Nachweise im Datenschutzmanagementsystem steuern
  4. Fachbereichsnahe Verantwortung: Prozesse entstehen in HR, Marketing, Vertrieb, Finance. Dort müssen Zwecke, Notwendigkeit und Prozessdesign sauber verantwortet werden, zum Beispiel über Data Owner und Koordinatoren

Wenn diese Perspektiven sauber verteilt sind, wird Datenschutz schneller, konsistenter und belastbarer.

Vorteile klar verteilter Verantwortung

Eine klare Rollenverteilung ist kein Organigramm Thema, sondern ein Risiko- und Effizienzthema.

  1. Weniger Reibung: Zuständigkeiten sind klar, Übergaben funktionieren
  2. Weniger Risiken und Vorfälle: Probleme werden früher erkannt, Maßnahmen werden konsequent nachgehalten
  3. Bessere Prozesse: Tool Einführungen, DSFA und Dienstleisterfreigaben laufen standardisiert statt ad hoc
  4. Mehr Auditfähigkeit: Verantwortliche, Entscheidungen und Nachweise sind nachvollziehbar dokumentiert
  5. Einheitliche Qualität: Konzernstandards werden lokal anwendbar, ohne jedes Mal bei null zu starten

Rollen im Datenschutz: Wer macht was und auf welcher Ebene

Die folgende Übersicht zeigt typische Datenschutzrollen im Konzern und ihre Kernaufgaben. Dazu sei gesagt: Titel und Ausprägung können je nach Organisation variieren.

Konzerndatenschutzbeauftragter (Group DPO)

Gesamtverantwortung für den Datenschutz im Konzern

  • Steuert und überwacht den Datenschutz konzernweit
  • Gibt konzernweite Richtlinien, Standards und Mindestanforderungen vor
  • Überwacht die Einhaltung der DSGVO sowie weiterer interner Vorgaben sowie Internationale Datenschutzgesetze
  • Berichtet regelmäßig an die Konzernleitung
  • Zentrale Ansprechperson für Aufsichtsbehörden auf Konzernebene
  • Trifft oder begleitet Entscheidungen bei wesentlichen Datenschutzthemen
    (z. B. DSFA, Datenschutzvorfälle mit hohem Risiko, konzernweite IT-Systeme)
  • Koordiniert und fachlich führt die lokalen Datenschutzbeauftragten
  • Setzt für die gesamte Datenschutzorganisation strategische Fokusthemen (z. B. Audit-Schwerpunkte, Verbesserung des Datenschutzreifegrads)

Schwerpunkt: strategische Ebene und Kontroll und Auditebene

Datenschutzbeauftragter (lokal / Gesellschaft / Standort)

Operative Datenschutzaufsicht auf lokaler Ebene
  • Verantwortlich für die Umsetzung des Datenschutzes in einer Gesellschaft oder an einem Standort
  • Berät die lokale Geschäftsführung und Fachbereiche
  • Überwacht die Einhaltung der DSGVO und konzernweiter Vorgaben
  • Führt lokale Datenschutzprüfungen und Kontrollen durch
  • Ansprechperson für die zuständige Aufsichtsbehörde
  • Eskaliert wesentliche Risiken, Vorfälle und Abweichungen an den Konzerndatenschutzbeauftragten
Schwerpunkt: operative Ebene und Kontroll- und Auditebene

Datenschutzmanager

Operative Steuerung und tägliche Datenschutzarbeit

  • Verantwortlich für den operativen Betrieb des Datenschutzmanagementsystems (DSMS)
  • Pflegt und aktualisiert das Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Führt Datenschutz-Risikoanalysen und Audits durch
  • Unterstützt bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA)
  • Prüft und bewertet Auftragsverarbeiter und sonstige Dienstleister
  • Unterstützt Fachbereiche bei Datenschutzfragen und Umsetzungsmaßnahmen
  • Dokumentiert Maßnahmen, Entscheidungen und Nachweise zentral im DSMS

Schwerpunkt: taktische Ebene und operative Ebene

Legal Counsel – Vertragsrecht & Datenschutz

Rechtliche Bewertung und Absicherung

  • Prüft und gestaltet Verträge mit Datenschutzbezug
    (z. B. AVV, Joint Controller, Datentransfers)
  • Bewertet Datenschutzhinweise, Einwilligungen und interne Richtlinien
  • Unterstützt bei komplexen rechtlichen Fragestellungen im Datenschutz
  • Berät Datenschutzorganisation und Management bei strittigen oder risikoreichen Entscheidungen
  • Beobachtet Rechtsentwicklungen und leitet Handlungsbedarf ab

Schwerpunkt: Taktische Ebene, mit Fokus auf rechtliche Bewertung

Datenschutzkoordinator

Bindeglied zwischen Fachbereich bzw. einzelnen Gesellschaften und der Datenschutzorganisation

  • Unterstützt den Datenschutz in einzelnen Gesellschaften oder Fachbereichen
  • Meldet neue oder geänderte Verarbeitungstätigkeiten
  • Sammelt und liefert Informationen für das VVT
  • Unterstützt Fachbereiche bei DSFAs (z. B. Daten, Prozesse, Risiken)
  • Sensibilisiert Mitarbeitende für Datenschutzthemen
  • Meldet mögliche Datenschutzvorfälle frühzeitig an Datenschutzmanager / DSB

Schwerpunkt: operative Ebene

Data Owner

Fachliche Verantwortung für Daten und Prozesse

  • Verantwortlich für die Datenverarbeitung im eigenen Fachbereich
  • Entscheidet über Zweck, Umfang und Art der Datenverarbeitung
  • Stellt sicher, dass Prozesse datenschutzkonform gestaltet sind
  • Initiiert neue Verarbeitungen und Änderungen bestehender Prozesse
  • Arbeitet eng mit Datenschutzmanager, Datenschutzkoordinator und IT zusammen
  • Verantwortlich für die Umsetzung definierter Datenschutzmaßnahmen im Fachbereich

Schwerpunkt: operative Ebene

Datenschutz-Beschwerdemanager

Bearbeitung von Betroffenenrechten und Beschwerden

  • Entgegennahme und Bearbeitung von Betroffenenanfragen
    (z. B. Auskunft, Löschung, Berichtigung, Widerspruch)
  • Koordiniert die fristgerechte Beantwortung mit Fachbereichen
  • Dokumentiert Anfragen, Maßnahmen und Entscheidungen
  • Nimmt Datenschutzbeschwerden entgegen und unterstützt deren Klärung
  • Eskaliert kritische Fälle an Datenschutzbeauftragten oder Legal Counsel

Schwerpunkt: operative Ebene

Hinweis aus der Praxis: Im öffentlichen Bereich häufiger als eigene Stabsfunktion, in Unternehmen oft innerhalb des Datenschutz-Teams organisiert.

5 Schnittstellen zu anderen Bereichen

Datenschutz funktioniert nicht als Insel. Rollen werden erst wirksam, wenn Schnittstellen klar sind, fachlich und organisatorisch.

IT und Informationssicherheit

Hier geht es um Umsetzung und Machbarkeit: technische und organisatorische Maßnahmen, Zugriffskonzepte, Löschroutinen, Protokollierung, Vorfallmanagement und Security by Design in Projekten.

Recht, Compliance, Risk und Interne Revision

Diese Bereiche sind zentral für Bewertung, Kontrolle und Nachweis: Rechtsgrundlagen, Vertragslogik, Risikobewertungen, Auditfragen und Eskalationsmechanismen.

Fachbereiche wie HR, Marketing, Sales, Finance

Fachbereiche sind Ursprung und Treiber von Prozessen. Dort entstehen neue Tools, neue Datenfelder, neue Zwecke. Ohne Data Owner und Koordinatoren bleibt Datenschutz reaktiv statt gestaltend.

Einkauf und Supplier Management

Dienstleister zählen zu den häufigsten Risikoquellen. Deshalb braucht es saubere Übergaben für Due Diligence, Verträge zur Auftragsverarbeitung, Abfragen zu technischen und organisatorischen Maßnahmen, Freigabeprozesse und laufende Re-Evaluierungen.

Geschäftsführung und Management

Schnittstellen zum Management sind entscheidend für Ressourcen, Prioritäten und Risikoakzeptanz. Gerade bei der Umsetzung konzernweiter Datenschutzstandards, der Verbesserung des Datenschutzmanagement-Systems sowie der konzernweiten Datenschutzreife braucht es klare Eskalationswege, ausreichend Ressourcen und echte Entscheidungsfähigkeit.

Typische Herausforderungen in der Praxis

Selbst wenn Rollen formal definiert sind, scheitert die Umsetzung oft an alltäglichen Missverständnissen und unscharfen Übergaben. Die häufigsten Stolpersteine lassen sich gut entlang der Ebenen erklären.

Unklare Zuständigkeiten und graue Zonen

Wenn nicht eindeutig ist, wer Prozesse anmeldet, wer Informationen liefert und wer dokumentiert, entstehen Lücken oder doppelte Arbeit. Typische Beispiele:

  1. Niemand fühlt sich zuständig, einen neuen Prozess fürs VVT zu melden
  2. DSFA Inputs kommen zu spät oder unvollständig, weil Rollen im Projekt nicht sauber eingebunden sind
  3. Dienstleister werden beauftragt, bevor Datenschutz und Informationssicherheit eingebunden wurden

Fehlende Abstimmung zwischen Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit greifen ineinander, haben aber unterschiedliche Perspektiven. Wenn beide Bereiche nicht abgestimmt arbeiten, wird es entweder zu technisch oder zu juristisch.

  1. Technische Maßnahmen sind vorhanden, passen aber nicht zum konkreten Verarbeitungsszenario
  2. Lösch- oder Berechtigungskonzepte sind geplant, aber im Betrieb nicht verankert
  3. Vorfälle werden als reines Security-Thema behandelt, ohne Datenschutzpflichten mitzudenken

Unterschiedliches Rollenverständnis, besonders beim Datenschutzbeauftragten

Ein Klassiker: Der Datenschutzbeauftragte wird als Entscheider verstanden. Tatsächlich ist die Rolle in vielen Konstellationen primär beratend und überwachend. Wenn diese Erwartungshaltung nicht klar ist, führt das zu Eskalationen, Verantwortungsdiffusion und Verzögerungen, weil Entscheidungen an die falsche Stelle delegiert werden.

Ressourcenmangel und Überladung einzelner Rollen

Im Konzern steigt die Anzahl an Prozessen, Tools, Projekten und Dienstleistern oft schneller als die Kapazität im Datenschutz. Dann passiert eines von zwei Dingen: Aufgaben werden nur noch reaktiv bearbeitet oder die Dokumentation leidet. Beides wirkt sich direkt auf die Einhaltung der Rechenschaftspflicht aus.

Konzernkomplexität: Einheitlichkeit und lokale Realität

Konzernweite Standards sind sinnvoll, müssen aber lokal praktikabel bleiben. Herausforderungen entstehen, wenn lokale Teams andere Systeme oder Abläufe haben, Verantwortlichkeiten über Gesellschaften hinweg unterschiedlich gelebt werden oder zentrale Vorgaben ohne klare Workflows und Tools unterstützt werden.

Fazit

Je komplexer die Organisation, desto weniger funktioniert Datenschutz über einzelne Allrounder. Was wirklich hilft, ist eine saubere Rollenlogik und ein gemeinsames Verständnis, auf welcher Ebene eine Rolle wirkt: strategisch steuern, taktisch strukturieren, operativ umsetzen oder kontrollierend prüfen.

In diesem Kontext ist die Rolle des Konzern-Datenschutzbeauftragten von besonderer Bedeutung, denn nur er bzw. sie kann für eine klare Rollenverteilung mit positiven Effekten für den gesamten Konzern sorgen: Prozesse werden schneller, Übergaben sauberer, Risiken früher erkannt und die Nachweisfähigkeit steigt, weil Zuständigkeiten und Entscheidungen nachvollziehbar dokumentiert sind.

Genau hier kann eine konzernfähige Datenschutzmanagement-Software unterstützen. Nicht als zusätzliches Tool, sondern als verbindender Rahmen, der Workflows, Verantwortlichkeiten und Dokumentation so zusammenführt, dass Datenschutz im Konzern nicht von Einzelpersonen abhängt, sondern als System funktioniert.

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

FAQ – Häufig gestellte Fragen

  • Im Konzern umfasst die Datenschutzorganisation mehrere klar definierte Rollen auf strategischer, taktischer, operativer und kontrollierender Ebene. Typische Datenschutzrollen sind der Konzerndatenschutzbeauftragte (Group DPO), lokale Datenschutzbeauftragte, Datenschutzmanager, Legal Counsel mit Datenschutzfokus, Datenschutzkoordinatoren, Data Owner sowie ein Beschwerdemanager für Betroffenenanfragen. Entscheidend ist weniger der Titel als die Frage, auf welcher Ebene die Rolle wirkt und welche Verantwortung sie konkret trägt.

  • Der Konzerndatenschutzbeauftragte steuert und überwacht den Datenschutz konzernweit. Er definiert Richtlinien, Standards und Mindestanforderungen, überwacht die Einhaltung der DSGVO und berichtet an die Konzernleitung. Zudem ist er zentrale Ansprechperson für Aufsichtsbehörden und begleitet wesentliche Entscheidungen, etwa bei Datenschutz-Folgenabschätzungen oder schwerwiegenden Vorfällen. Sein Schwerpunkt liegt auf strategischer Steuerung sowie Kontrolle und Audit.

  • In Konzernstrukturen mit mehreren Gesellschaften braucht es eine klare Rollenlogik entlang eines Ebenenmodells: strategisch steuern, taktisch strukturieren, operativ umsetzen und kontrollierend prüfen. Der Konzerndatenschutzbeauftragte setzt den Rahmen, Datenschutzmanager und Legal Counsel übersetzen Vorgaben in Prozesse, während lokale Datenschutzbeauftragte, Koordinatoren und Data Owner die Umsetzung im Tagesgeschäft verantworten. Die Abgrenzung erfolgt über Aufgaben, Entscheidungsbefugnisse und Eskalationswege und nicht allein über Funktionsbezeichnungen.

  • Ein Konzern-Datenschutzkonzept sollte strategische Steuerung (Group DPO), operative Aufsicht (lokale DSB), das Management des Datenschutzmanagementsystems (Datenschutzmanager), rechtliche Bewertung (Legal Counsel), fachliche Prozessverantwortung (Data Owner) sowie Schnittstellenfunktionen wie Datenschutzkoordinatoren und Beschwerdemanager klar regeln. Wesentlich sind eindeutig definierte Zuständigkeiten, dokumentierte Entscheidungswege und transparente Eskalationsmechanismen, um Rechenschaftspflichten und Auditfähigkeit sicherzustellen.

Artikel verfasst von

Leah Klees, Legal Content & Compliance Specialist, Portraitfoto
Leah Klees Legal & Compliance Specialist

Leah Klees ist Unternehmensjuristin bei der caralegal GmbH mit Schwerpunkt auf KI-Governance und Datenschutzrecht. Zuvor war sie unter anderem bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie in der IT-Rechtskanzlei Schürmann Rosenthal Dreyer tätig und verfügt darüber hinaus über mehrjährige Erfahrung als Unternehmensberaterin bei Deloitte. Durch diese breite Erfahrung vereint sie regulatorisches Fachwissen, behördliche Perspektive und Beratungskompetenz.

Dafür fehlt mir die Zeit caralegal

In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2026 caralegal GmbH
DatenschutzerklärungImpressum
change-name-in-attribute