heute habe ich eine Frage bzgl. der (Unter-)Stellung des DSB, von der ich eigentlich dachte, dass sie mir völlig klar wäre. Nun wird es aber irgendwie kompliziert…
Die Datenschutzbeauftragte ist eine interne Datenschutzbeauftragte in Firma “A Germany GmbH” (=rechtliche Einheit) und auch der Behörde gemeldet. Sie berichtete bisher an das lokale Management, also an Geschäftsführer mit einem Arbeitsvertrag bei A Germany GmbH.
Nun wurde dieses Unternehmen an eine Holding verkauft. Die A Germany GmbH (und A China, A Frankreich usw.) gehört nun zur internationalen “H Holding” (Sitz in den USA) mit mehreren angegliederten Unternehmen beispielsweise auch der Firma B Germany GmbH.
Die offiziellen Geschäftsführer der A Germany GmbH sitzen nun alle bei der Holding in den USA. Sie haben keinen Arbeitsvertrag mit der A Germany GmbH, sondern mit der Holding H. In der A Germany GmbH gibt es auch keinen HR-Leiter mehr. Diese Funktion wird von der B Germany GmbH ausgeführt (datenschutzrechtlich ebenso ein ziemlicher Dritter und auch keiner der Geschäftsführer der A Germany GmbH). Es gibt in der A Germany GmbH “nur” einen Werksleiter, der jedoch kein Geschäftsführer ist.
Wem untersteht nun die lokale, interne Datenschutzbeauftragte bei dieser Konstruktion?
Ganz einfach: einen Luftpostbrief in die USA schreiben. (Oder geht das inzwischen anders?)
Art. 38 Abs. 3 S. 3 DSGVO: “Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.”
Es kann intern festgelegt werden, dass das über den Werksleiter läuft; zu richten wären wichtige Mitteilungen aber an jemand von der Geschäftsführung. Falls es ein Organigramm gibt, sollte die DSB auch dort zugeordnet sein.
D., den es nicht stören würde, dass ein Meer dazwischen liegt.
Das Meer ist nicht das Problem, eher das Datenschutzbewußsein auf der anderen Seite des Ozeans…
Ein Organigramm würde natürlich helfen, gibt es aber noch nicht.
Vielen Dank jedoch für die schnelle Antwort. Ich muss wohl auf irgendeiner Seite des Ozeans mal um Klärung bitten…
Es ist also tatsächlich egal, ob die Geschäftsführer (höchste Managementebene) außerhalb der rechtlichen Einheit liegt, richtig ?
Ich würde die Geschäftsführer der rechtlichen Einheit des Verantwortlichen zurechnen.
Egal, ob sie zusätzlich Geschäftsführer von A, B oder C sind, in welchem Land auch immer. In Bezug auf den Verantwortlichen in der EU sind sie zuständig.
Die Sprache (bzw. das Verständnis) darf auch kein Problem werden. Das deutsche Unternehmen ist datenschutzrechtlich verantwortlich. Innerhalb werden die Weisungen (wie Daten nach Meinung des Verantwortlichen zulässig verarbeitet werden sollen) von Personen erteilt, die entsprechende Rollen (ges. Vertreter) haben. Das hätten auch Verantwortliche umzusetzen, die sich komplett außerhalb der EU befinden, aber der DSGVO unterliegen.
D., der hier erst mal nicht darauf eingehen möchte, ob die deutsche Gesellschaft Zwecke und Mittel allein festlegt oder ob das von oben verordnet wird.
Sehe ich ähnlich.
Empfehlung aus der Praxis in solchen Situationen:
Kontakt zu den GF in der USA aktiv aufnehmen und auf die Stellung des DS in der EU und in D-Land hinweisen. Hier macht es auch Sinn auf die Regelungen zu Bussgeldern, die sich am Konzernumsatz orientieren, hinzuweisen.)
Dabei ggf. den “Chief Compliance Officer” der Muttergesellschaft in ebenfalls informieren oder CC nehmen.
Ja nach Unternehmen hat dieser die Aufgabe (oder manchmal auch die Verantwortung) dafür zu sorgen, dass alles rechtskonform abläuft.
jede in Deutschland ansässige GmbH muss einen oder mehrere Geschäftsführer haben vgl. § 6 Absatz 1 GmbHG. Diese Information wird im Unternehmensregister zum Schutz des Rechtsverkehrs veröffentlicht. Auch wenn der (ursprüngliche) Geschäftsführer sein Gehalt nun von der Holding erhält, wird er als vertretungsberechtigte Person initial von der zuständigen Datenschutz-Aufsichtsbehörde im Falle von Beschwerden oder Datenschutz-Mängeln kontaktiert werden. Insofern sollte sich der formaljuristisch bestellte Geschäftsführer weiterhin für den Datenschutz verantwortlich fühlen.
Ein Hinweis bezüglich der konzernbezogenen Bußgeldbemessung unter der DSGVO an die Leitung der Matrixorganisation macht definitiv Sinn. Aus meiner Sicht braucht es eine konzernweitere Datenschutzorganisation und Datenschutzstrategie. Dazu gehört m.E.
Klärung der datenschutzrechtlichen Verantwortlichkeiten in der Matrixorganisation
Prüfung der zu beachtenden lokalen Datenschutzgesetze (auch in den Drittstaaten)
Klärung: Benennung eines externen Datenschutzbeauftragten je Konzerngesellschaft vs. Konzern-DSB mit lokalen Umsetzungsverantwortlichen
Datenschutz-Konzernrichtlinie
Prüfung des Marktortprinzips für die NON-EU-Gesellschaften, ob ein EU-Vertreter benötigt wird
Vielen lieben Dank, Euch allen.
Das hilft schon mal weiter.
Das mit dem Bußgeld habe ich sofort nachgelesen und werde es sicher als “Hintergrund-Info” verwenden können…
Liebe Grüße
Tara