Datenschutz im Konzern: Zentral oder dezentral? Zwei Wege zur erfolgreichen Datenschutzorganisation

Datenschutz im Konzern bezeichnet die organisatorische und rechtliche Umsetzung der DSGVO über mehrere rechtlich selbstständige Gesellschaften innerhalb einer Unternehmensgruppe hinweg.

Im Unterschied zu Einzelunternehmen müssen Konzerne mehrere rechtlich selbstständige Gesellschaften, internationale Standorte und oft komplexe IT-Landschaften koordinieren.

Typische Besonderheiten im Konzerndatenschutz sind:

• mehrere Verantwortliche (Mutter- und Tochtergesellschaften),
• zentrale und dezentrale Datenverarbeitungsprozesse (z. B. HR, CRM),
• unterschiedliche Aufsichtsbehörden und Rechtsräume,
• sowie die Entscheidung zwischen zentraler und dezentraler Datenschutzorganisation.

In der Praxis wird dieser Herausforderung meist durch die Wahl zwischen einem zentralen oder dezentralen Organisationsmodell begegnet.

Die Datenschutzorganisation in Konzernen ist eine strategische Führungsaufgabe. Denn je größer die Unternehmensstruktur, desto komplexer werden die Anforderungen: internationale Standorte, komplexe IT-Landschaften und unterschiedliche Rechtsräume fordern eine durchdachte Organisation, die rechtskonform und gleichzeitig praxistauglich ist.

Im Zentrum der Konzerndatenschutzstrategie steht zunächst eine strukturelle Grundsatzentscheidung: 

Sollen Datenschutzprozesse nach dem Einheitsmodell gemanagt werden, in dem ein zentraler Datenschutzbeauftragter für alle Gesellschaften tätig ist oder fällt die Entscheidung auf das Koordinationsmodell, bei dem mehrere lokale Datenschutzbeauftragte über eine Konzernkoordination zusammenarbeiten? 

In der Praxis setzen viele Unternehmen auch auf hybride Modelle, die Elemente beider Ansätze kombinieren – je nach Unternehmensgröße, Branche und Governance-Struktur.

Wichtig ist: Beide Modelle lassen sich datenschutzkonform gestalten. Dies jedoch nur, wenn grundlegende Anforderungen wie Unabhängigkeit, ausreichend vorhandene Ressourcen und klare Zuständigkeiten erfüllt sind.

Letztlich ist nicht das Modell entscheidend, sondern die Qualität der Umsetzung. Die DSGVO (insbesondere die Artikel 37 bis 39) liefert den rechtlichen Rahmen. Auch lässt sie bewusst Gestaltungsspielräume zu, setzt aber eine saubere organisatorische Umsetzung voraus, um Rechenschaft und Wirksamkeit sicherzustellen.

Laut Art. 37 Abs. 2 DSGVO kann ein Datenschutzbeauftragter für mehrere Unternehmen innerhalb eines Konzerns benannt werden – vorausgesetzt, er ist von jeder Niederlassung aus erreichbar. Eine Verpflichtung zur Zentralisierung gibt es allerdings nicht.

Art. 38 Abs. 3 DSGVO stellt zudem klar: Die Funktion des Datenschutzbeauftragten muss unabhängig ausgeübt werden. Er darf keine Weisungen erhalten und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die konkreten Aufgaben hierzu listet Art. 39 DSGVO auf. Dazu zählen unter anderem die Überwachung der Einhaltung von Datenschutzvorschriften, Beratung, Schulung sowie die Zusammenarbeit mit Aufsichtsbehörden.

Die Konzernleitung wiederum trägt die Verantwortung dafür, dass der Datenschutzbeauftragte seine Rolle auch wirksam ausfüllen kann. Dazu gehören ausreichende personelle Ressourcen, rechtssichere Strukturen und die frühzeitige Einbindung in Entscheidungsprozesse. Nur wenn diese Voraussetzungen erfüllt sind, kann der Datenschutzbeauftragte seine Rolle auch wirkungsvoll wahrnehmen.

Die Wirksamkeit einer Datenschutzorganisation steht und fällt mit der Qualität ihrer Governance. Eindeutige Zuständigkeiten, definierte Berichtslinien und dokumentierte Abläufe sind unerlässlich, um Datenschutzvorgaben nicht nur auf dem Papier, sondern auch im Arbeitsalltag wirksam umzusetzen.

Gemäß Art. 5 Abs. 2 DSGVO müssen Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Eine zentrale Rolle spielt dabei das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. 

Im Kontext Konzerndatenschutzes stellen sich dabei folgende Fragen: 

• Wer führt das Verzeichnis von Verarbeitungstätigkeiten? 
• Wie wird sichergestellt, dass es aktuell bleibt? 
• Wie sind die datenschutzrechtlichen Verantwortlichkeiten zwischen Mutter- und Tochtergesellschaften geregelt?

Ebenso wichtig ist die Klärung der datenschutzrechtlichen Rollen: Treffen mehrere Gesellschaften gemeinsam Entscheidungen über Zwecke und Mittel der Verarbeitung, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor. Erfolgt die Verarbeitung im Auftrag einer zentralen Einheit, handelt es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Diese Unterscheidung beeinflusst sowohl interne Weisungsbefugnisse als auch externe Haftungsfragen.

Als zentrales Steuerungsinstrument kann eine interne Datenschutzrichtlinie dienen. Sie schafft Transparenz über Rollen, Berichtslinien und Eskalationswege und sollte regelmäßig überprüft und angepasst werden. Dokumentierte Governance-Strukturen gewinnen besonders bei Prüfungen und Vorfällen an Bedeutung. Aufsichtsbehörden erwarten hier belastbare Nachweise.

Für Konzerne mit Sitz außerhalb der EU empfiehlt es sich, einen zentralen Datenschutzbeauftragten innerhalb der EU zu benennen, um Erreichbarkeit und Kommunikationswege mit europäischen Aufsichtsbehörden sicherzustellen. Verstöße gegen Art. 37 bis 39 DSGVO können nach Art. 83 Abs. 4 DSGVO bußgeldbewehrt sein.

Die Wahl des passenden Datenschutzmodells im Konzern hängt in der Praxis vor allem von drei Faktoren ab: 

1. dem Grad der Zentralisierung von IT und Prozessen, 
2. der geografischen Verteilung der Gesellschaften sowie 
3. der organisatorischen Eigenständigkeit der einzelnen Einheiten. 

In den folgenden Abschnitten stellen wir zwei Modelle vor, mit denen Unternehmen den Datenschutz im Konzern rechtskonform und praxistauglich gestalten können.

Das Einheitsmodell basiert auf der Benennung eines zentralen Konzern-Datenschutzbeauftragten, der für sämtliche Konzerngesellschaften verantwortlich ist. Unterstützt wird er durch ein zentrales Datenschutzteam, das Prozesse vereinheitlicht und die Kommunikation mit Aufsichtsbehörden bündelt.

Voraussetzung ist in der Regel eine Hauptniederlassung innerhalb der EU, von der aus wesentliche Entscheidungen getroffen werden. Ziel des Modells ist ein konzernweit einheitliches Datenschutzniveau, verbunden mit klaren Abstimmungswegen, gemeinsamen Richtlinien und zentralen Tools, die die Steuerung erleichtern und so für mehr Transparenz sorgen.

Das Einheitsmodell bietet viele Vorteile: Fachwissen wird gebündelt, Synergien lassen sich besser nutzen und die interne und externe Kommunikation kann effizient gestaltet werden. Gleichzeitig bringt die starke Zentralisierung Herausforderungen mit sich: Die operative Distanz zu den einzelnen Gesellschaften kann dazu führen, dass lokale Besonderheiten nicht ausreichend berücksichtigt werden. Fehlt eine Hauptniederlassung in der EU, müssen nationale Aufsichtsbehörden einzeln einbezogen werden – was den Koordinationsaufwand bei Vorfällen oder länderspezifischen Meldepflichten deutlich erhöht.
Auch bei Ausfall des zentralen Datenschutzbeauftragten muss die Erreichbarkeit gesichert sein, um Fristen und Kommunikationspflichten zuverlässig einzuhalten.

Eine tragfähige Governance-Struktur bildet die Grundlage für den Erfolg des Einheitsmodells. Dazu gehören unter anderem dokumentierte Vertretungsregelungen, rechtssichere Meldungen gemäß Art. 37 Abs. 7 DSGVO sowie die Vermeidung von Interessenkonflikten im Sinne von Art. 38 Abs. 3 DSGVO.

Besonders gut geeignet ist das Modell für Konzerne mit stark zentralisierten IT- und Entscheidungsstrukturen – etwa in homogenen Unternehmensgruppen mit Sitz innerhalb der EU. In solchen Fällen ermöglicht das Einheitsmodell eine effiziente Steuerung und einheitliche Standards. Voraussetzung ist jedoch die konsequente operative Einbindung der Tochtergesellschaften, um die Wirksamkeit des Datenschutzes sicherzustellen.

Das Koordinationsmodell basiert auf lokalen Datenschutzbeauftragten in den einzelnen Konzerngesellschaften, ergänzt durch eine zentrale Koordinationsstelle auf Konzernebene. Diese übernimmt die Abstimmung konzernweiter Datenschutzthemen, entwickelt einheitliche Richtlinien und organisiert Austauschformate für den Wissenstransfer.

So entsteht eine Struktur, die lokale Eigenständigkeit mit zentraler Orientierung verbindet. Mit diesem Modell können nationale und kulturelle Besonderheiten berücksichtigt werden, ohne dabei auf ein konzernweites Mindestniveau im Datenschutz zu verzichten. Regelmäßige Abstimmungen und gemeinsame Tools sorgen für eine funktionierende Balance zwischen Autonomie und Harmonisierung.

Der größte Vorteil des Koordinationsmodells liegt in der Praxisnähe: Datenschutz wird dort umgesetzt, wo Daten tatsächlich verarbeitet werden. Das erhöht nicht nur die Akzeptanz, sondern ermöglicht auch eine gezielte Berücksichtigung lokaler Rechtslagen und operativer Besonderheiten.

Gleichzeitig steigt mit der Dezentralisierung die organisatorische Komplexität. Ohne klar definierte Zuständigkeiten besteht die Gefahr von Doppelstrukturen oder widersprüchlichen Auslegungen der DSGVO. Ein hoher Abstimmungsbedarf zwischen den lokalen Datenschutzbeauftragten und der Konzernkoordination ist daher unvermeidlich und benötigt gut etablierte Kommunikationswege und Gremien, um konsistente Standards zu gewährleisten.

Damit das Koordinationsmodell wirksam funktioniert, braucht es klare Governance-Strukturen: konzernweite Richtlinien, einheitliche Reporting-Formate und regelmäßige Abstimmungsrunden. Ein dokumentiertes Rollen- und Eskalationskonzept sorgt für Transparenz, unterstützt den Informationsfluss und erhält die Unabhängigkeit der lokalen Datenschutzbeauftragten.

Besonders geeignet ist das Modell für internationale Konzerne mit unterschiedlichen Rechtsräumen und hoher lokaler Eigenständigkeit. Es bietet Flexibilität bei gleichzeitiger konzernweiter Steuerung, vorausgesetzt, die Governance-Struktur ist klar definiert und wird aktiv gelebt.

Zwischen zentralem Einheitsmodell und dezentralem Koordinationsmodell existieren in der Praxis häufig hybride Ansätze. Sie kombinieren Elemente beider Modelle, um besser zu Konzernstruktur, IT-Landschaft und Governance-Anforderungen zu passen.

Typische hybride Setups sind:

• Zentraler Konzern-Datenschutzbeauftragter mit lokalen Datenschutzkoordinatoren
• Zentrale Steuerung von Kernsystemen (z. B. HR, Finance), kombiniert mit dezentralem Datenschutz in Fachbereichen
• Matrixorganisationen, in denen Datenschutzrollen entlang von Business Units und Regionen organisiert sind

Hybride Modelle sind besonders sinnvoll, wenn:

• Konzerne stark wachsen oder sich organisatorisch verändern,
• unterschiedliche Geschäftsbereiche unterschiedliche Anforderungen haben,
• sowohl zentrale als auch lokale Steuerung notwendig ist.

Entscheidend ist, dass Rollen, Verantwortlichkeiten und Eskalationswege klar definiert und dokumentiert sind.

Datenschutz im Konzern ist kein in Stein gemeißeltes Konstrukt, sondern muss sich laufend an neue rechtliche, technologische und organisatorische Rahmenbedingungen anpassen. Ob zentral oder dezentral: Beide Modelle können funktionieren, wenn die Governance-Strukturen klar definiert und aktiv gelebt werden.

Gerade in Konzernen mit komplexen Matrixstrukturen, internationalen Standorten und differenzierten Rollenmodellen stellt sich die Frage, wie Datenschutzverantwortung effektiv verteilt und gesteuert werden kann. Die Antwort liegt nicht allein im gewählten Modell, sondern in der konsequenten Umsetzung.

Unabhängig davon, ob Sie sich für ein Einheitsmodell, ein Koordinationsmodell oder eine hybride Struktur entscheiden, stellt sich in der Praxis schnell die Frage nach der operativen Umsetzung.

Eine enterprisefähige Datenschutzsoftware wie die Plattform von caralegal unterstützt Unternehmen dabei, Datenschutzprozesse konzernweit transparent zu machen, zentral zu steuern und revisionssicher zu dokumentieren - unabhängig davon, ob ein Einheits- oder Koordinationsmodell im Konzern angewendet wird. Damit wird Datenschutz nicht nur rechtskonform umgesetzt, sondern auch konsistent und skalierbar in die operative Datenschutzpraxis der einzelnen Gesellschaften eingebettet.