Ein Konzern, viele Gesellschaften – Wie Sie den Konzerndatenschutz effizient organisieren

In vielen Unternehmen ist der Datenschutz längst mehr als eine rechtliche Pflicht – er ist Teil einer verantwortungsvollen Unternehmensführung. Doch sobald mehrere Gesellschaften unter dem Dach eines Konzerns agieren, wird die Organisation des Konzerndatenschutzes zur echten Herausforderung. Unterschiedliche Standorte, länderspezifische Rechtslagen, geteilte IT-Infrastrukturen und zentrale Dienste wie HR oder Buchhaltung führen zu einer komplexen Datenschutzlandschaft.

Spätestens hier stellt sich die Frage: Wie lässt sich Datenschutz im Konzern effizient und rechtssicher gestalten – ohne dabei operative Prozesse zu behindern? Genau hier setzt der Konzerndatenschutz an. In diesem Blogartikel erfahren Sie, was rechtlich zu beachten ist, welche Daten besonders geschützt werden müssen, und welche typischen Fehler Unternehmen vermeiden sollten. Sie erhalten außerdem 10 praxisnahe Tipps, wie Sie den Datenschutz in Konzernstrukturen effektiv organisieren und welche Rolle ein zentraler Konzerndatenschutzbeauftragter dabei spielt.

---

Was ist ein Konzern? 

Ein Konzern ist eine Unternehmensstruktur, bei der mehrere rechtlich selbstständige Unternehmen (auch „Gesellschaften“ genannt) unter einer einheitlichen Leitung stehen. Diese Leitung wird in der Regel von einer sogenannten Muttergesellschaft oder einem herrschenden Unternehmen wahrgenommen, das auf die anderen Unternehmen – die Tochtergesellschaften – steuernden Einfluss ausübt. Obwohl die einzelnen Gesellschaften formal unabhängig agieren, bilden sie wirtschaftlich gesehen eine Einheit. Die rechtliche Grundlage für die Definition eines Konzerns findet sich im Aktiengesetz (§ 18 AktG). Demnach liegt ein Konzern dann vor, wenn ein herrschendes und ein oder mehrere abhängige Unternehmen unter der einheitlichen Leitung des herrschenden Unternehmens zusammengefasst sind. Diese einheitliche Leitung kann organisatorisch, wirtschaftlich oder personell erfolgen – typischerweise aber in einer Kombination aus allen dreien.

Welche Gesetze zum Thema Datenschutz sind im Konzern zu beachten?

Der Datenschutz im Konzernumfeld stellt eine besondere Herausforderung dar. Während Konzerne wirtschaftlich oft als Einheit agieren und einer gemeinsamen Verantwortlichkeit unterliegen, sind ihre Tochtergesellschaften, also die einzelnen Unternehmen rechtlich eigenständig – und damit jeweils für die Einhaltung der nationalen datenschutzrechtlichen Vorschriften (Konzerndatenschutz) verantwortlich.

Datenschutz-Grundverordnung (DSGVO) als zentrales Regelwerk

Im europäischen Raum ist die EU-Datenschutz-Grundverordnung (DSGVO) das maßgebliche Datenschutzgesetz für den Konzerndatenschutz. Sie gilt unmittelbar in allen Mitgliedstaaten der EU und damit auch konzernweit – sofern die Gesellschaften ihren Sitz innerhalb der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Die DSGVO legt grundlegende Prinzipien für die Verarbeitung und den Schutz personenbezogener Daten fest – darunter Transparenz, Zweckbindung, Datenminimierung und Integrität. Gleichzeitig verpflichtet sie Unternehmen zur Einrichtung geeigneter technischer und organisatorischer Maßnahmen sowie zur Dokumentation von Datenverarbeitungen.

Nationale Datenschutzgesetze

Ergänzend zur DSGVO gelten in den einzelnen EU-Mitgliedstaaten nationale Datenschutzgesetze. In Deutschland ist das Bundesdatenschutzgesetz (BDSG) zu beachten, das bestimmte Regelungen der DSGVO konkretisiert – etwa zu Beschäftigtendaten, Videoüberwachung oder zum einzelnen Datenschutzbeauftragten.  In anderen EU-Ländern gibt es vergleichbare Gesetze, die ebenfalls zusätzliche Anforderungen an den Konzerndatenschutz stellen können. Für international agierende Konzerne ist es daher unerlässlich, länderspezifische Unterschiede im Datenschutz zu kennen und zu berücksichtigen.

Außereuropäische Datenschutzgesetze 

Viele Konzerne betreiben Tochtergesellschaften auch außerhalb der EU – etwa in den USA, Asien oder Südamerika. In diesen Fällen müssen auch lokale Datenschutzgesetze beachtet werden, etwa:

• California Consumer Privacy Act (CCPA) bzw. California Privacy Rights Act (CPRA) in den USA,
• Personal Information Protection Law (PIPL) in China,
• Lei Geral de Proteção de Dados (LGPD) in Brasilien.

Diese Gesetze unterscheiden sich teils deutlich von der DSGVO und können zu zusätzlichen Compliance-Anforderungen im Konzerndatenschutz führen – insbesondere bei grenzüberschreitenden Datenflüssen oder konzerninternen Transfers.

DSGVO Konzerndatenschutz: Welche Daten müssen geschützt werden?

Personenbezogene Daten umfassen alle Informationen, die Rückschlüsse auf eine bestimmte Person zulassen – direkt oder indirekt. Dazu gehören z. B.:

• Name, Anschrift, Telefonnummer, E-Mail-Adresse
• Mitarbeiterdaten (Personalnummer, Gehaltsangaben, Krankmeldungen, Leistungsbeurteilungen)
• Kunden- und Lieferantendaten (Vertragsdaten, Zahlungsinformationen)
• Online-Kennungen (z. B. IP-Adressen, Cookie-IDs)
• Standortdaten, Gerätekennungen und biometrische Informationen

Ein noch höheres Schutzniveau gilt für sogenannte besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Dazu zählen unter anderem:

• Gesundheitsdaten
• Daten zur rassischen oder ethnischen Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetische oder biometrische Daten zur eindeutigen Identifizierung
• Daten zur sexuellen Orientierung

Typische Datenübermittlungen im Konzern

Im Folgenden sind typische Szenarien aufgeführt, in denen personenbezogene Daten konzernintern übermittelt werden, also eine Verarbeitung personenbezogener Daten vorliegt – oft mit komplexen Implikationen für Verantwortlichkeit, Rechtsgrundlagen und Dokumentationspflichten:

Zentrale Personalverwaltung (HR Shared Services)

Viele Konzerne bündeln ihre Personalprozesse in zentralen HR-Systemen. Die Stammdaten von Mitarbeitenden, Bewerbungen, Urlaubsanträge oder Gehaltsdaten werden dabei konzernweit erfasst und verarbeitet. 

IT-Zentralisierung und Helpdesk

Zentrale IT-Dienste wie E-Mail, Cloud-Storage, Zugriffsverwaltung oder ein konzernweiter Helpdesk beinhalten regelmäßig den Zugriff auf personenbezogene Daten. Diese Services werden häufig von einer internen IT-Gesellschaft für alle Konzerneinheiten erbracht.

Kunden- und Vertriebsdaten

Wenn Kundendaten in einem zentralen CRM-System (z. B. Salesforce) verarbeitet werden, um globalen Vertrieb, Marketing oder Service zu koordinieren, greifen mehrere Gesellschaften auf dieselben Datensätze zu. Auch hier muss die datenschutzrechtliche Grundlage klar definiert sein – insbesondere, wenn die Daten ursprünglich bei einer anderen Konzerneinheit erhoben wurden.

Shared Services in Finanz- und Rechnungswesen

Auch Finanzdaten, Rechnungsprüfungen, Mahnläufe oder Zahlungsabwicklungen werden in vielen Konzernen zentralisiert. Wenn dabei personenbezogene Daten wie Name, Kontoverbindung oder Zahlungshistorien von Kunden und Lieferanten verarbeitet werden, ist dies datenschutzrechtlich relevant und muss im Rahmen des Konzerndatenschutzes abgesichert sein.

Kein Konzernprivileg in der DSGVO

Ein Konzernprivileg würde bedeuten, dass personenbezogene Daten zwischen Konzerngesellschaften – also zwischen rechtlich selbstständigen Unternehmen innerhalb einer Unternehmensgruppe – ohne besondere datenschutzrechtliche Anforderungen übermittelt werden dürften. Dies ist jedoch mit der DSGVO nicht vereinbar, denn:

• Jede Gesellschaft innerhalb eines Konzerns ist eine eigenständige verantwortliche Stelle im Sinne der DSGVO.
• Eine Übermittlung personenbezogener Daten von einer Konzerngesellschaft an eine andere stellt eine Datenverarbeitung dar, die rechtlich abgesichert sein muss.
• Die DSGVO unterscheidet nicht danach, ob eine Übermittlung innerhalb eines Konzerns oder zwischen unabhängigen Dritten erfolgt – maßgeblich ist allein, ob personenbezogene Daten von einer verantwortlichen Stelle an eine andere übermittelt werden.

10 Tipps für einen effizienten Datenschutz im Konzern

1. Benennen Sie einen zentralen Konzerndatenschutzbeauftragten

Ein Konzerndatenschutzbeauftragter für die gesamte Unternehmensgruppe sorgt für einheitliche Standards und klare Zuständigkeiten für Datenschutz in Unternehmensgruppen. Er koordiniert datenschutzrechtliche Maßnahmen, vertritt den Konzern gegenüber Aufsichtsbehörden und Betroffenen und unterstützt die Gesellschaften bei der Umsetzung der DSGVO. Achten Sie darauf, dass der Konzerndatenschutzbeauftragte über ausreichend Fachwissen, Ressourcen und Unabhängigkeit verfügt – und dass seine Rolle konzernweit klar kommuniziert ist. So stellen Sie sicher, dass Datenschutz als strategisches Thema verstanden und nicht nur operativ „verwaltet“ wird.

2. Ernennen Sie lokale Ansprechpartner in jeder Gesellschaft

Konzerndatenschutz funktioniert am besten, wenn er nah an den Prozessen stattfindet. Benennen Sie daher in jeder Konzerngesellschaft einen lokalen Datenschutzkoordinator oder Ansprechpartner. Diese Personen sind das operative Rückgrat Ihres Datenschutzmanagements: Sie sorgen für Umsetzung vor Ort, dienen als Schnittstelle zum zentralen Konzerndatenschutzbeauftragten und sensibilisieren die Fachbereiche. So entsteht ein dezentrales Netzwerk, das effizient arbeitet und Ihre Datenschutzstrategie im gesamten Konzern trägt.

3. Nutzen Sie eine zentrale Plattform für die Datenschutz-Dokumentation 

Führen Sie alle datenschutzrelevanten Unterlagen – wie Verzeichnisse, Verträge, Risikoanalysen und Richtlinien – auf einer zentralen Plattform zusammen und finden Sie einheitliche Lösungen. So schaffen Sie Transparenz, vermeiden doppelte Arbeit und ermöglichen eine konsistente Dokumentation über alle Gesellschaften hinweg. Achten Sie darauf, dass die Plattform flexibel genug ist, um individuelle Unterschiede einzelner Gesellschaften abzubilden. Einheitliche Dokumentation bedeutet nicht starre Gleichmacherei – sondern effizient abgestimmte Prozesse.

4. Erarbeiten Sie eine konzernweite Datenschutz-Leitlinie

Schaffen Sie Klarheit durch eine zentrale Datenschutz-Leitlinie, die für alle Konzerngesellschaften verbindlich ist. Diese sollte Grundsätze der DSGVO praxisnah erklären, Rollen und Verantwortlichkeiten benennen und einheitliche Standards des Konzerndatenschutzes vorgeben – etwa zu Speicherfristen, Löschregeln oder der Durchführung von Datenschutz-Folgeabschätzungen. Idealerweise wird die Leitlinie regelmäßig aktualisiert und mehrsprachig bereitgestellt, um internationale Tochtergesellschaften einzubeziehen. So schaffen Sie ein gemeinsames Verständnis und vermeiden uneinheitliche Datenschutzpraktiken.

5. Je Konzerngesellschaft: Verzeichnis von Verarbeitungstätigkeiten führen

Verlangen Sie von jeder Gesellschaft im Konzern ein eigenes, aktuelles Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Auch wenn Prozesse konzernweit ähnlich sind, muss jede Einheit ihre spezifischen Datenverarbeitungen abbilden – z. B. lokale HR-Prozesse, eigene Tools oder regionale Besonderheiten. Stellen Sie Vorlagen, zentrale Unterstützung und einheitliche Strukturen bereit, um Konsistenz und Effizienz zu fördern. Das Verzeichnis ist nicht nur gesetzliche Pflicht im Konzerndatenschutz, sondern das zentrale Steuerungsinstrument für den Datenschutz in der jeweiligen Konzerngesellschaft.

6. Abschluss konzerninterne Datenschutzverträge

Stellen Sie sicher, dass alle konzerninternen Datenübermittlungen rechtlich abgesichert sind – durch Auftragsverarbeitungsverträge (Art. 28 DSGVO) oder Vereinbarungen über gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Verwenden Sie geprüfte, standardisierte Vertragsmuster und dokumentieren Sie sie zentral. So vermeiden Sie Unsicherheiten bei Audits und sorgen für rechtliche Klarheit, insbesondere bei grenzüberschreitenden Transfers, zentralen IT-Diensten oder gemeinsamen Kundenplattformen. 

7. Etablieren Sie ein einheitliches IT-Sicherheitsniveau im gesamten Konzern

Definieren Sie verbindliche Mindeststandards für technische und organisatorische Maßnahmen (TOM) – z. B. zu Passwortsicherheit, Zugriffsrechten, Verschlüsselung und Patch-Management. Orientieren Sie sich an dem Stand der Technik und ggf. an Normen zur Informationssicherheit wie ISO 27001 oder BSI-Grundschutz und passen Sie die Vorgaben an lokale Gegebenheiten an. Sorgen Sie dafür, dass alle Gesellschaften die Vorgaben umsetzen und regelmäßig überprüfen. Eine konzernweit abgestimmte IT-Sicherheitsstrategie schützt nicht nur personenbezogene Daten, sondern reduziert auch das Risiko für wirtschaftliche Schäden und Reputationsverluste.

8. Schulen Sie Ihre Mitarbeiter regelmäßig und fördern Sie Datenschutzbewusstsein

Führen Sie konzernweit verpflichtende Datenschutz-Schulungen ein – digital, mehrsprachig und rollenbasiert. Ergänzen Sie diese durch Awareness-Kampagnen, z. B. mit E-Mails, Intranet-Inhalten oder kleinen Erinnerungen im Alltag. Je besser Ihre Mitarbeiter informiert sind, desto sicherer gehen sie mit Daten um. Sensibilisierung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess – und oft die beste Prävention gegen Datenschutzverstöße durch Unachtsamkeit.

9.Auf Datenschutzverletzungen im Konzern vorbereiten

Trotz aller Vorsicht kann es zu Datenschutzvorfällen kommen – ob durch Cyberangriffe, Fehlversand oder technische Störungen. Wichtig ist, dass der Konzern vorher klare Prozesse definiert, wie in solchen Fällen zu handeln ist. Dazu gehören interne Meldewege, Zuständigkeiten, Zeitvorgaben (72-Stunden-Frist!), Vorlagen zur Behördenmeldung und Kommunikationspläne. Besonders effektiv ist ein konzernweiter Notfallplan (Incident Response), der regelmäßig getestet und geübt wird. So können Schäden begrenzt, regulatorische Vorgaben eingehalten und das Vertrauen in die Unternehmensgruppe erhalten werden.

10.Auf Betroffenenanfragen im Konzern vorbereiten

Betroffene haben das Recht, Auskunft über ihre Daten zu erhalten oder deren Berichtigung, Löschung oder Einschränkung zu verlangen. Im Konzern kann eine Anfrage bei einer Gesellschaft jedoch Auswirkungen auf mehrere Einheiten haben – insbesondere bei zentralisierten Systemen. Daher sollten klare Prozesse existieren, wie solche Anfragen erfasst, geprüft und beantwortet werden – auch bei komplexen Verantwortlichkeiten oder gemeinsamen Verarbeitungen. Ein zentrales Ticket-System, abgestimmte Textbausteine und ein konzernweiter Ansprechpartner für Betroffenenrechte helfen, Anfragen fristgerecht und vollständig zu bearbeiten.

Wer kann Konzerndatenschutzbeauftragter sein?

Ein einzelner Datenschutzbeauftragter kann für mehrere Konzerngesellschaften benannt werden – vorausgesetzt, er ist unabhängig, qualifiziert und organisatorisch so aufgestellt, dass er seine Aufgaben in allen Gesellschaften effektiv wahrnehmen kann. Ein Konzerndatenschutzbeauftragter muss laut DSGVO über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Dies umfasst u. a.:

• Kenntnis der DSGVO, nationaler Datenschutzgesetze und relevanter branchenspezifischer Vorgaben
• Verständnis für technische und organisatorische Maßnahmen der Datensicherheit
• Erfahrung in der Kommunikation mit Aufsichtsbehörden
• Fähigkeit, datenschutzrechtliche Risiken einzuschätzen und Handlungsempfehlungen zu geben

Gerade im Konzernkontext sind darüber hinaus Kenntnisse in Organisationsentwicklung, Change Management und interkultureller Kommunikation von Vorteil. Nur so lässt sich ein konzernweiter Datenschutz sicher, effizient und rechtskonform gestalten.

Datenschutz im Konzern ist komplex – wir machen ihn für Sie handhabbar.

Egal ob internationaler Unternehmensverbund oder Mittelstand mit mehreren Gesellschaften: Der Konzerndatenschutz stellt Sie vor besondere Herausforderungen – unsere externen Konzerndatenschutzbeauftragten unterstützen Sie dabei, diese rechtssicher und effizient zu meistern.

✅ DSGVO-konforme Strukturen

✅ Maßgeschneiderte Konzepte für Ihre Konzernstruktur

✅ Praxisnahe Umsetzung und verständliche Beratung

Nutzen Sie jetzt ein unverbindliches Erstgespräch, um Ihr Datenschutzprojekt auf den richtigen Kurs zu bringen. Kontaktieren Sie uns – telefonisch, per E-Mail oder direkt über unser Kontaktformular. Wir freuen uns auf Ihre Anfrage.

Häufige Fehler in Konzerndatenschutz

Der Datenschutz im Konzernumfeld bringt eine Vielzahl organisatorischer, rechtlicher und technischer Herausforderungen mit sich. Die DSGVO verlangt von jeder Konzerngesellschaft eine eigenständige, rechtskonforme Datenverarbeitung – doch genau hier passieren in der Praxis häufig Fehler. Viele Verstöße entstehen nicht aus böser Absicht, sondern aus Unkenntnis oder fehlender Abstimmung. Wer typische Fallstricke kennt, kann rechtzeitig gegensteuern – und so Bußgelder, Reputationsschäden und operative Risiken vermeiden.

Annahme eines „Konzernprivilegs“

Ein weit verbreiteter Irrtum besteht darin, dass Daten innerhalb eines Konzerns frei zwischen Gesellschaften übertragen werden dürfen – quasi wie innerhalb einer einzelnen Firma. Doch die DSGVO kennt kein Konzernprivileg. Jede Gesellschaft gilt als eigenständige verantwortliche Stelle. Datenübermittlungen müssen daher immer auf eine gültige Rechtsgrundlage gestützt und vertraglich geregelt werden. Wer das ignoriert, riskiert unzulässige Datenverarbeitungen und erhebliche Sanktionen.

Fehlende oder unvollständige Datenschutzverträge zum Konzerndatenschutz

Insbesondere bei konzerninternen Leistungen – etwa durch zentrale IT-, HR- oder Finanzgesellschaften – fehlen häufig die notwendigen vertraglichen Absicherungen. Ob Auftragsverarbeitung nach Art. 28 DSGVO oder gemeinsame Verantwortlichkeit nach Art. 26 DSGVO: Ohne klare Regelungen herrscht Unsicherheit über Zuständigkeiten, Rechte und Pflichten. Im Auditfall oder bei Datenschutzverletzungen kann dies zu Haftungsproblemen und Bußgeldern führen.

Stockender Konzerndatenschutz wegen uneinheitlicher Datenschutzorganisation

In vielen Konzernen gibt es keine einheitliche Struktur für den Datenschutz. Während einige Gesellschaften gut aufgestellt sind, fehlt es anderen an Schulungen, Dokumentation oder Ansprechpartnern. Ohne übergreifendes Datenschutzmanagement drohen Inkonsistenzen, Doppelarbeit oder das völlige Fehlen notwendiger Prozesse. Besonders gefährlich wird es, wenn zentrale Systeme genutzt werden, aber niemand die datenschutzrechtliche Verantwortung übernimmt.

Konzerndatenschutz: Unklare Rollenverteilung zwischen den Gesellschaften

Ein häufiger Fehler ist, dass die datenschutzrechtlichen Rollen (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche) nicht eindeutig definiert sind. Gerade bei konzernweiten Tools, CRM-Systemen oder Datenanalysen ist oft unklar, wer für was zuständig ist. Diese Unklarheit kann dazu führen, dass Betroffenenrechte nicht erfüllt werden oder Datenschutzverletzungen zu spät erkannt werden.

Mangelhafte oder veraltete Verzeichnisse von Verarbeitungstätigkeiten

Viele Konzerne führen keine konsistenten Verzeichnisse von Verarbeitungstätigkeiten oder überlassen die Dokumentation den Gesellschaften vollständig selbst – ohne zentrale Unterstützung oder Kontrolle. Das führt oft zu Lücken, Widersprüchen oder veralteten Informationen. Dabei ist das Verzeichnis nicht nur gesetzlich vorgeschrieben, sondern auch die Basis für Risikoanalysen, Datenschutzfolgeabschätzungen und Auskünfte an Betroffene.

Fehlende Vorbereitung auf Datenschutzvorfälle im Konzern

Trotz zunehmender Bedrohungen durch Cyberangriffe und menschliches Versagen fehlt es in vielen Konzernen an klaren Prozessen für den Umgang mit Datenschutzverletzungen. Es gibt keine Meldeketten, keine Verantwortlichen, keine Vorlagen für die Behördenmeldung. Dadurch verstreicht im Ernstfall wertvolle Zeit – und die gesetzliche 72-Stunden-Frist wird überschritten. Das kann teuer werden und die Glaubwürdigkeit des Unternehmens nachhaltig beschädigen.

Unzureichende Schulung und Sensibilisierung

Konzerndatenschutz ist nicht nur eine rechtliche, sondern auch eine kulturelle Frage. Dennoch werden Mitarbeitende in vielen Konzernen nur sporadisch oder gar nicht geschult. Ohne regelmäßige Schulungen fehlt das notwendige Bewusstsein – und einfache Fehler wie ein Fehlversand von E-Mails oder die Nutzung unsicherer Tools häufen sich. Besonders kritisch: Führungskräfte sind oft nicht ausreichend eingebunden, obwohl sie Verantwortung tragen.

Unkoordinierte Bearbeitung von Betroffenenanfragen

Betroffenenanfragen – etwa auf Auskunft oder Löschung – sind nach der DSGVO innerhalb eines Monats zu beantworten. In Konzernen, in denen Daten konzernweit verarbeitet werden, ist das eine organisatorische Herausforderung. Häufig fehlt ein zentrales Verfahren zur Erfassung und Koordination solcher Anfragen. Das Resultat: Fristen werden versäumt, Anfragen bleiben unbeantwortet oder es entstehen Widersprüche. Hier drohen Beschwerden bei Aufsichtsbehörden und rechtliche Auseinandersetzungen.

Ignorieren internationaler Datenschutzanforderungen

Viele Konzerne agieren global – doch beim Datenschutz bleibt der Blick oft auf Europa beschränkt. Das führt zu Problemen bei Datenübermittlungen in Drittländer, etwa wenn keine Standardvertragsklauseln oder Binding Corporate Rules vorliegen. Auch lokale Datenschutzgesetze außerhalb der EU (z. B. CCPA, PIPL, LGPD) werden häufig nicht ausreichend berücksichtigt. Das kann zu gravierenden Compliance-Lücken und rechtlichen Risiken im Konzerndatenschutz führen.

Keine strategische Einbettung des Konzerndatenschutzes

Datenschutz wird in vielen Konzernen rein operativ betrachtet – als Pflichtaufgabe der Rechts- oder IT-Abteilung. Doch ohne strategische Einbindung in die Unternehmensführung fehlt der Rückhalt für notwendige Investitionen, personelle Ressourcen oder konzernweite Programme. Konzerndatenschutz sollte als integraler Bestandteil von Governance, Risk und Compliance (GRC) begriffen und mit dem Top-Management abgestimmt werden. Nur so wird er nachhaltig wirksam.

FAQ: Konzerndatenschutz