| Geleitwort | 6 |
| Vorwort | 8 |
| Inhaltsverzeichnis | 10 |
| Abkürzungsverzeichnis | 15 |
| 1 Einleitung | 19 |
| 1.1 Problemaufriss | 19 |
| 1.2 Fragestellung | 24 |
| 1.3 Gang der Untersuchung | 24 |
| 2 Betriebsbeauftragtensystem als rechtlicher Hintergrund | 27 |
| 2.1 Regulierungsmöglichkeit | 29 |
| 2.2 Technikrecht als Repräsentant neuer Regulierungsstrategien | 31 |
| 2.3 Formen gesellschaftlicher Selbststeuerung | 33 |
| 2.3.1 Selbstregulierung | 33 |
| 2.3.2 Selbstkontrolle | 36 |
| 2.4 Entwicklung des Betriebsbeauftragtensystems | 38 |
| 2.5 Entwicklung des Datenschutzbeauftragten | 40 |
| 2.6 Vergleichbarkeit der verschiedenen Beauftragten | 43 |
| 2.7 Funktion der Betriebsbeauftragten | 44 |
| 2.7.1 Funktion innerhalb des Umweltschutzrechts | 45 |
| 2.7.2 Funktion innerhalb des Datenschutzrechts | 46 |
| 2.8 Funktion der Konzernbeauftragten | 48 |
| 3 Rechtliche Bedeutung des Datenschutzbeauftragten | 53 |
| 3.1 Bestellung | 53 |
| 3.2 Stellung im Unternehmen | 55 |
| 3.2.1 Formen des Datenschutzbeauftragten | 56 |
| 3.2.1.1 Interner oder externer Datenschutzbeauftragter | 56 |
| 3.2.1.2 Hauptoder nebenamtlicher Datenschutzbeauftragter | 57 |
| 3.2.2 Kontrollorgan im eigenen Unternehmen | 59 |
| 3.2.2.1 Unmittelbare Unterstellung des Datenschutzbeauftragten | 60 |
| 3.2.2.2 Weisungsfreiheit des Datenschutzbeauftragten | 63 |
| 3.2.2.3 Benachteiligungsverbot des Datenschutzbeauftragten | 64 |
| 3.2.2.4 Kündigungsschutz des Datenschutzbeauftragten | 65 |
| 3.2.2.5 Unterstützungspflicht der verantwortlichen Stelle | 67 |
| 3.2.2.6 Verschwiegenheitspflicht des Datenschutzbeauftragten | 70 |
| 3.3 Aufgaben | 71 |
| 3.3.1 Aufgabenkatalog gemäß § 4g BDSG | 71 |
| 3.3.1.1 Hinwirkungsaufgabe | 72 |
| 3.3.1.2 Kontrolle der Datenverarbeitung | 74 |
| 3.3.1.4 Verfahrensverzeichnis | 76 |
| 3.3.1.3 Schulung | 75 |
| 3.3.2 Vorabkontrolle gemäß § 4d Abs. 5 BDSG | 78 |
| 3.4 Persönliche Anforderungen | 79 |
| 3.4.1 Fachkunde | 80 |
| 3.4.1.1 Kenntnisse | 81 |
| 3.4.1.2 Fähigkeiten | 83 |
| 3.4.2 Zuverlässigkeit | 84 |
| 3.4.2.1 Persönliche und fachliche Zuverlässigkeit | 84 |
| 3.4.2.2 Interessenkollision | 85 |
| 3.5 Haftung des Datenschutzbeauftragten | 87 |
| 3.5.1 Haftung gegenüber dem Betroffenen | 88 |
| 3.5.2 Haftung gegenüber dem Unternehmen | 89 |
| 3.5.2.1 Haftung des internen Datenschutzbeauftragten | 90 |
| 3.5.2.2 Besonderheiten bei der Haftung des externen Datenschutzbeauftragten | 94 |
| 3.6 Datenschutzbeauftragter und Betriebsrat | 94 |
| 3.6.1 Verhältnis von Bundesdatenschutzgesetz und Betriebsverfassungsgesetz | 95 |
| 3.6.2 Gegenseitige Kontrollbefugnisse | 96 |
| 3.6.2.1 Mitwirkung bei der Anstellung | 96 |
| 3.6.2.2 Kontrolle der Tätigkeit des Datenschutzbeauftragten | 98 |
| 3.6.2.3 Überwachung des Betriebsrats durch den Datenschutzbeauftragten | 99 |
| 3.7 Regelungen zu Datenschutzbeauftragten in anderen EU-Mitgliedstaaten | 101 |
| 3.7.1 Niederlande | 102 |
| 3.7.2 Luxemburg | 104 |
| 3.7.3 Schweden | 105 |
| 3.7.4 Frankreich | 107 |
| 3.7.5 Slowakei und Polen | 109 |
| 3.7.6 Großbritannien | 110 |
| 3.7.7 Bedeutung der Regelungen für den Datenschutzbeauftragten gem. § 4f BDSG | 110 |
| 3.8 Exkurs: Risikomanagement und Corporate Compliance | 111 |
| 3.8.1 Funktion des Risikomanagements in Unternehmen | 113 |
| 3.8.1.1 Risikomanagementsystem | 115 |
| 3.8.1.2 Risikomanagementorganisation | 117 |
| 3.8.2 Bedeutung des Risikomanagements für den Datenschutzbeauftragten | 119 |
| 3.8.2.1 Risikomanagement und Datenschutz | 120 |
| 3.8.2.2 Position des Datenschutzbeauftragten im Risikomanagement | 122 |
| 3.8.3 Bedeutung von Corporate Compliance für den Datenschutzbeauftragten | 124 |
| 3.8.3.1 Datenschutz als Risikofeld des Compliance-Systems | 125 |
| 3.8.3.2 Compliance-Aufgabe des Datenschutzbeauftragten | 126 |
| 3.9 Stellungnahme zum Datenschutzbeauftragten | 127 |
| 4 Konzerndatenschutzbeauftragter als Sonderform | 129 |
| 4.1 Grundbegriffe | 130 |
| 4.1.1 Konzern | 130 |
| 4.1.1.1 Allgemeine Vorschriften | 131 |
| 4.1.1.1.1 Verbundene Unternehmen gem. § 15 AktG | 132 |
| 4.1.1.1.2 Mehrheitsbeteiligung gemäß § 16 AktG | 132 |
| 4.1.1.1.3 Abhängigkeit gemäß § 17 AktG | 133 |
| 4.1.1.1.4 Konzern gemäß § 18 AktG | 134 |
| 4.1.1.1.5 Wechselseitige Beteiligung gemäß § 19 AktG | 135 |
| 4.1.1.2 Aktienkonzernrecht | 136 |
| 4.1.1.2.1 Unternehmensverträge | 137 |
| 4.1.1.2.2 Leitungsmacht | 137 |
| 4.1.1.2.3 Eingliederung | 139 |
| 4.1.1.3 GmbH-Konzernrecht | 139 |
| 4.1.1.4 Konzernrecht der Personengesellschaften | 141 |
| 4.1.1.5 Auswirkung auf Konzernbeauftragte | 142 |
| 4.1.2 Konzernprivileg | 144 |
| 4.1.3 Konzerndatenschutzbeauftragter | 146 |
| 4.1.3.1 Bisherige Konzepte | 147 |
| 4.1.3.1.1 Zentralisiertes Modell | 147 |
| 4.1.3.1.2 Dezentralisiertes Modell | 149 |
| 4.1.3.1.3 Gemischtes Modell | 152 |
| 4.1.3.2 Bisherige Definitionen | 154 |
| 4.1.3.3 Eigene Definition | 158 |
| 4.2 Konzernbeauftragte anderer Rechtsgebiete | 159 |
| 4.3 Rechtliche Bedeutung des Konzerndatenschutzbeauftragten | 162 |
| 4.3.1 Bestellung | 163 |
| 4.3.2 Stellung im Konzern | 164 |
| 4.3.2.1 Formen des Konzerndatenschutzbeauftragten | 164 |
| 4.3.2.1.1 Interner oder externer Konzerndatenschutzbeauftragter | 165 |
| 4.3.2.1.2 Hauptoder nebenamtlicher Konzerndatenschutzbeauftragter | 166 |
| 4.3.2.2 Konzerndatenschutzbeauftragter als Kontrollorgan | 167 |
| 4.3.2.2.1 Unmittelbare Unterstellung des Konzerndatenschutzbeauftragten | 168 |
| 4.3.2.2.2 Weisungsfreiheit des Konzerndatenschutzbeauftragten | 169 |
| 4.3.2.2.3 Benachteiligungsverbot des Konzerndatenschutzbeauftragten | 170 |
| 4.3.2.2.4 Kündigungsschutz des Konzerndatenschutzbeauftragten | 171 |
| 4.3.2.2.5 Unterstützungspflicht aller verantwortlichen Stellen | 172 |
| 4.3.2.2.6 Verschwiegenheitspflicht des Konzerndatenschutzbeauftragten | 175 |
| 4.3.3 Aufgaben | 175 |
| 4.3.3.1 Beratung | 177 |
| 4.3.3.1.1 Zielgruppe | 177 |
| 4.3.3.1.2 Umfang | 177 |
| 4.3.3.2 Koordination | 178 |
| 4.3.3.2.1 Datenschutzphilosophie als Ausgangspunkt | 179 |
| 4.3.3.2.2 Datenschutzstrategie als Konkretisierung der Datenschutzphilosophie | 180 |
| 4.3.3.2.3 Einheitliche Datenschutzorganisation als konkreter Maßnahmenkatalog | 181 |
| 4.3.3.3 Kontrolle | 182 |
| 4.3.3.3.1 Originäre Kontrollaufgaben | 183 |
| 4.3.3.3.2 Überwachung der Mitarbeiter | 185 |
| 4.3.3.3.3 Einhaltung der Datenschutzstrategie | 185 |
| 4.3.3.4 Exkurs: Selbstregulierung als Aufgabe des Konzerndatenschutzbeauftragten | 187 |
| 4.3.3.4.1 Selbstregulierungsinstrumente des Bundesdatenschutzgesetzes im Einzelnen | 188 |
| 4.3.3.4.2 Selbstregulierung am Beispiel des § 4c Abs. 2 Satz 1 BDSG | 191 |
| 4.3.3.4.3 Einhaltung und Überwachung durch den Konzerndatenschutzbeauftragten | 196 |
| 4.3.4 Persönliche Anforderungen | 198 |
| 4.3.4.1 Fachkunde | 198 |
| 4.3.4.1.1 Kenntnisse | 199 |
| 4.3.4.1.2 Fähigkeiten | 202 |
| 4.3.4.2 Zuverlässigkeit | 203 |
| 4.3.5 Haftung des Konzerndatenschutzbeauftragten | 205 |
| 4.3.5.1 Haftungsrechtliche Besonderheiten der Doppelstellung | 205 |
| 4.3.5.2 Haftung für Fehler des Hilfspersonals | 207 |
| 4.3.5.2.1 Haftung gegenüber dem Betroffenen aus zivilrechtlicher Sicht | 208 |
| 4.3.5.2.2 Haftung gegenüber dem Unternehmen aus zivilrechtlicher Sicht | 210 |
| 4.3.6 Konzerndatenschutzbeauftragter und Betriebsrat | 212 |
| 4.3.6.1 Ausgangssituation | 212 |
| 4.3.6.2 Gegenseitige Kontrollbefugnisse auf Konzernebene | 212 |
| 4.3.6.2.1 Mitwirkung bei der Anstellung des Konzerndatenschutzbeauftragten | 212 |
| 4.3.6.2.2 Kontrolle der Tätigkeit des Konzerndatenschutzbeauftragten | 214 |
| 4.3.6.2.3 Überwachung des Konzernbetriebsrats | 215 |
| 4.3.6.3 Situation anderer Konzernbeauftragter | 216 |
| 4.3.6.3.1 Verhältnis von Konzerngeldwäschebeauftragtem und Betriebsrat | 216 |
| 4.3.6.3.2 Verhältnis von Konzernumweltschutzbeauftragten und Betriebsrat | 217 |
| 4.3.7 Konzerndatenschutzbeauftragter im multinationalen Konzern | 219 |
| 4.3.7.1 Gemeinschaftsrechtlicher Bezugsrahmen | 220 |
| 4.3.7.2 Globaler Bezugsrahmen | 222 |
| 4.3.8 Risikomanagement und Compliance im Konzern | 224 |
| 4.3.8.1 Besonderheiten eines Konzernrisikomanagementsystems | 224 |
| 4.3.8.2 Position des Konzerndatenschutzbeauftragten im Risikomanagement | 226 |
| 4.3.8.3 Konzerndatenschutz und Compliance | 227 |
| 4.3.9 Stellungnahme zum Konzerndatenschutzbeauftragten | 228 |
| 5 Konzerndatenschutzbeauftragte in der Praxis | 229 |
| 5.1 Methodisches Vorgehen | 229 |
| 5.1.1 Auswahl der Interviewpartner | 230 |
| 5.1.2 Datenerhebung und -auswertung | 231 |
| 5.2 Ergebnisse | 233 |
| 5.2.1 Personelle und institutionelle Einordnung der Befragten | 234 |
| 5.2.1.1 Berufliche Laufbahn | 234 |
| 5.2.1.2 Anstellungsverhältnis | 234 |
| 5.2.1.3 Allgemeine Arbeitsschwerpunkte | 235 |
| 5.2.2 Konzernorganisation | 236 |
| 5.2.2.1 Organisation des Unternehmens aus Sicht der Datenverarbeitung | 236 |
| 5.2.2.2 Aufbau des Datenschutzes im Unternehmen | 237 |
| 5.2.2.3 Besondere Schwerpunkte des Schutzes personenbezogener Daten | 238 |
| 5.2.3 Konzerndatenschutzorganisation | 239 |
| 5.2.3.1 Datenschutzstrategie | 239 |
| 5.2.3.2 Stellung des Konzerndatenschutzbeauftragten in der Datenschutzstrategie | 240 |
| 5.2.3.3 Zusammenarbeit mit anderen Institutionen | 241 |
| 5.2.3.4 Verhältnis zum Betriebsrat | 241 |
| 5.2.4 Spezielle Wirkungsbereiche des Konzerndatenschutzbeauftragten | 243 |
| 5.2.4.1 Beratung, Koordination und Kontrolle als Aufgabenfelder | 243 |
| 5.2.4.2 Konzernweit einheitliches Datenschutzniveau | 244 |
| 5.2.4.3 Ausgestaltung der Position des Konzerndatenschutzbeauftragten | 245 |
| 5.2.4.4 Datenübermittlung mit Schwerpunkt Auslandsdatentransfer | 245 |
| 5.2.4.5 Selbstregulative Instrumente | 246 |
| 5.2.4.6 Risikomanagement | 248 |
| 5.2.4.7 Erwägungen der Interviewten | 249 |
| 6 Gesamtsituation des Konzerndatenschutzbeauftragten | 251 |
| 6.1 Rechtliche Beurteilung | 251 |
| 6.1.1 Rechtstheoretische Gesichtspunkte | 251 |
| 6.1.2 Rechtsdogmatische Schwierigkeiten | 253 |
| 6.1.2.1 Mehrfachbestellung | 254 |
| 6.1.2.2 Zuordnung im Konzern | 254 |
| 6.1.2.3 Veränderter Aufgabenbereich | 256 |
| 6.1.2.4 Anforderungsprofil eines Konzerndatenschutzbeauftragten | 259 |
| 6.1.2.5 Haftungsrisiko | 260 |
| 6.1.2.6 Verhältnis zum Betriebsrat | 260 |
| 6.1.2.7 Internationaler Bezug | 262 |
| 6.2 Beurteilung der empirischen Erhebung | 263 |
| 6.2.1 Unternehmensspezifische Ausgestaltung des (Konzern-)Datenschutzbeauftragten | 263 |
| 6.2.2 Datenschutzrechtliche Organisationsmöglichkeiten eines Konzerns | 264 |
| 6.2.3 Strategien zur Umsetzung des Datenschutzes innerhalb von Konzernen | 265 |
| 6.2.4 Konzernweite datenschutzrechtliche Aufgaben | 266 |
| 6.3 Schlussfolgerungen | 268 |
| 6.3.1 Gesetzliche Legitimation für den Konzerndatenschutzbeauftragten | 269 |
| 6.3.2 Art der Regelung | 270 |
| 6.3.3 Kompatibilität mit anderen Normen | 271 |
| 6.3.4 Inhaltliche Ausgestaltung der Gesetzesregelung | 272 |
| 6.3.5 Normierungsvorschlag | 273 |
| 6.3.6 Konsequenzen der Normierung | 273 |
| 7 Ergebnis und Ausblick | 276 |
| Literaturverzeichnis | 280 |
| Anhang | 303 |
| I. Fragebogen Leitfadeninterview | 303 |
| 1. Person und Bestellung des (Konzern-) Datenschutzbeauftragten | 303 |
| 2. Organisation des Konzerns aus datenschutzrechtlicher Perspektive | 303 |
| 3. Umsetzung des Datenschutzes | 303 |
| 4. Konzerweite datenschutzrechtliche Aufgaben | 303 |
| 5. Spezifische Problemfelder im Aufgabenbereich | 303 |
| 6. Ergänzungen durch den Befragten und Schlusswort | 303 |
| II. Liste der Interviewpartner | 304 |
