Datenschutz

DSGVO-Software für Konzerne: Multi-Entity-Vergleich

DSGVO-Software für Konzerne im Vergleich: Multi-Entity-Verwaltung, kein Konzernprivileg, Intra-Group-AVV und BCR — OneTrust gegen EU-Alternativen für 2026.

Welche DSGVO-Software passt zu einem Konzern mit mehreren Gesellschaften? Kurzantwort: eine Multi-Entity-Plattform, die pro juristischer Einheit ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führt, die konzerninternen Auftragsverarbeitungs- und Joint-Controller-Verträge (Art. 26, 28) sowie verbindliche interne Datenschutzvorschriften (BCR, Art. 47) zentral verwaltet und delegierte Mandate mit Audit-Trail abbildet. Entscheidend ist die Erkenntnis, die viele Gruppen zu spät treffen: Ein Konzernprivileg gibt es unter der DSGVO nicht. Jede Tochtergesellschaft ist ein eigener Verantwortlicher mit eigenen Pflichten — Datenflüsse zwischen Mutter und Tochter sind rechtlich Datenübermittlungen, keine internen Vorgänge.

Dieser Vergleich zeigt, worauf es bei Multi-Entity-Compliance ankommt und wie OneTrust gegen europäische Alternativen abschneidet.

Key Takeaways

  • Kein Konzernprivileg: Jede Gesellschaft ist eigener Verantwortlicher; Intra-Group-Datenflüsse brauchen eine Rechtsgrundlage.
  • Jede Einheit braucht ein eigenes Verzeichnis (Art. 30) — die Software muss pro Entity trennen und dennoch zentral auswerten.
  • Konzerninterne Datenweitergabe erfordert AVV (Art. 28), Joint-Controller-Vereinbarung (Art. 26) oder BCR (Art. 47) je nach Konstellation.
  • Multi-Entity-Kriterien: Mandats-Delegation, rollenbasierte Rechte, konsolidierte Berichte, revisionssicherer Audit-Trail.
  • OneTrust dominiert das DACH-Enterprise-Segment (30.000-100.000+ €/Jahr), doch EU-Alternativen sind bei Datenresidenz und Preis oft überlegen.

Warum das Konzernprivileg fehlt — und was das kostet

Im Kartell- und teils im Steuerrecht existiert das Konzept einer wirtschaftlichen Einheit. Im Datenschutzrecht nicht. Erwägungsgrund 48 der DSGVO erwähnt zwar ein „berechtigtes Interesse" an konzerninterner Datenübermittlung für Verwaltungszwecke — aber das ist eine mögliche Rechtsgrundlage, kein Freibrief. Jede Übermittlung von der Tochter zur Holding oder zwischen Schwestergesellschaften braucht eine eigene Grundlage nach Art. 6 DSGVO und eine vertragliche Absicherung.

Die Grundlage findet sich direkt im Verordnungstext: Erwägungsgrund 48 und Art. 6 Abs. 1 der Datenschutz-Grundverordnung behandeln die konzerninterne Übermittlung als eigenständigen Vorgang, der einer Rechtsgrundlage bedarf — nicht als bloße interne Bewegung.

In der Praxis bedeutet das drei Dinge. Erstens: Pro Gesellschaft ein Verzeichnis. Eine Gruppe mit zwölf GmbHs führt zwölf Verzeichnisse — nicht eines. Die Details dieser Pflicht erläutert unser Beitrag zum Verzeichnis nach Art. 30 im Detail. Zweitens: Verträge für jeden internen Datenfluss. Nutzt die Holding ein zentrales HR-System für alle Töchter, ist sie deren Auftragsverarbeiter — mit AVV nach Art. 28. Teilen sich zwei Gesellschaften die Kundendatenbank, ist das häufig gemeinsame Verantwortlichkeit nach Art. 26 mit entsprechender Vereinbarung. Drittens: Drittlandtransfers absichern. Sitzt eine Konzerngesellschaft außerhalb der EU, brauchen die Datenflüsse Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften (BCR).

Wer diese Struktur ignoriert, riskiert nicht nur Bußgelder, sondern auch, dass in einer Prüfung einer einzigen Tochter die Lücken der ganzen Gruppe sichtbar werden.

Die Multi-Entity-Vergleichskriterien

Bei Einzelunternehmen zählt die Funktionsbreite; bei Konzernen zählt die Architektur. Eine Plattform, die nur ein großes gemeinsames Verzeichnis kann, ist für Gruppen ungeeignet.

Kriterium Warum bei Konzernen entscheidend
Mandantentrennung Eigenes Verzeichnis und eigene Verträge je Gesellschaft
Konsolidierte Sicht Konzern-DSB braucht Gesamtüberblick über alle Einheiten
Rollen und Rechte Lokale DSB-Rechte je Tochter, zentrale Governance oben
Mandats-Delegation Aufgaben an lokale Verantwortliche mit Nachweis übertragen
Intra-Group-Verträge AVV, Joint-Controller und BCR zentral verwalten
Audit-Trail Revisionssichere Historie für jede Einheit
Datenresidenz EU-Hosting, oft vertraglich vom Betriebsrat gefordert
Sprachen Deutsche Behörden- und Betriebsratsdokumente

Der teuerste Konfigurationsfehler internationaler Gruppen: Eine US-zentral aufgesetzte Instanz kennt die deutschen Besonderheiten nicht — die VVT-Struktur nach deutschem Muster, die DSK-Muss-Liste für DSFA und den 20-Personen-Schwellenwert des § 38 BDSG. Diese Punkte müssen pro deutscher Tochter nachkonfiguriert werden.

OneTrust versus EU-Alternativen

Im Enterprise-Segment ist OneTrust die Referenz — der breiteste Modulkatalog, die meisten Integrationen, eine große Beratungsökonomie. Für einen global aufgestellten Konzern mit Dutzenden Jurisdiktionen ist das oft die richtige Wahl. Die Kosten sind entsprechend: üblich 30.000 bis über 100.000 € pro Jahr, plus Onboarding-Gebühren von 2.000-15.000 €, plus zertifizierte Berater für die Implementierung, die Monate dauert.

Für europäisch geprägte Gruppen — etwa eine deutsche Unternehmensgruppe mit Töchtern in der EU — lohnt der Blick auf Alternativen. Die Gründe sind selten der Funktionsumfang, sondern drei andere Faktoren: Datenresidenz (nach Schrems II bevorzugen deutsche Betriebsräte und öffentliche Kunden EU-Hosting bei einem EU-Anbieter), Preis (EU-Plattformen liegen deutlich unter US-Enterprise-Tarifen) und Implementierungsaufwand (schlankere Plattformen sind in Wochen statt Monaten produktiv). Eine faire Gegenüberstellung liefern unsere OneTrust-Alternativen sowie der direkte Head-to-Head Legiscope vs. OneTrust für deutsche Firmen.

Ehrlich bleibt: OneTrust gewinnt, wenn ein Konzern in 50+ Ländern reguliert ist, hunderte Integrationen braucht und ein eigenes Privacy-Team zur Pflege der Suite unterhält. Unterhalb dieser Komplexität ist die Suite oft überdimensioniert — bezahlte Module, die nie geöffnet werden. Die vollständige Marktübersicht mit allen relevanten Anbietern bietet unser DSGVO-Software-Vergleich.

Binding Corporate Rules als Konzerninstrument

Für Gruppen mit dauerhaften konzerninternen Datenflüssen in Drittländer sind verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) nach Art. 47 DSGVO das strategische Instrument. Statt für jeden Transfer einzelne Standardvertragsklauseln abzuschließen, etabliert der Konzern ein einheitliches, verbindliches Regelwerk, das von der zuständigen Aufsichtsbehörde im Kohärenzverfahren genehmigt wird. Der Europäische Datenschutzausschuss (EDPB) hat dafür detaillierte Anforderungskataloge veröffentlicht.

BCR lohnen sich nicht für jede Gruppe. Das Genehmigungsverfahren dauert Monate bis Jahre und bindet Ressourcen. Für einen Konzern mit vielen Töchtern außerhalb der EU und intensivem konzerninternen Datenaustausch sind sie jedoch effizienter als hunderte einzelner SCC-Verträge — und ein Reputationssignal. Die Software-Anforderung daraus: Die Plattform muss den BCR-Geltungsbereich dokumentieren, die erfassten Einheiten und Datenkategorien führen und den Nachweis der Einhaltung pro Gesellschaft ermöglichen. Ohne diese Dokumentation ist die BCR-Genehmigung in einer Prüfung wertlos, weil die praktische Umsetzung nicht belegbar ist.

Für Gruppen, die noch keine BCR haben, bleiben Standardvertragsklauseln plus Transfer-Impact-Analyse der Standardweg. Auch hier gilt: Die Software muss pro Datenfluss dokumentieren, welche Absicherung greift — sonst entsteht in der konsolidierten Sicht eine Lücke, die bei der Prüfung einer einzelnen Tochter die ganze Gruppe belastet.

Realistische Kosten für Gruppen

Der Kostentreiber Nummer eins bei Konzernen ist der Preis pro juristischer Einheit. Viele Plattformen berechnen pro Entity, sodass eine Gruppe mit zwölf Gesellschaften schnell das Zehnfache eines Einzelunternehmens zahlt. Verhandeln Sie deshalb Staffelpreise für zusätzliche Einheiten und klären Sie, ob konzerninterne Vorlagen (VVT-Struktur, AVV-Muster) einmal erstellt und dann geklont werden können. Der zweite Treiber ist die Datenmigration: Bestehende Verzeichnisse aus Excel oder einer Alt-Suite müssen pro Einheit übernommen werden — im Preis enthalten oder als Projekt berechnet? Der dritte ist die Governance-Konfiguration: Rollen, Rechte und Freigabeworkflows für eine Gruppe aufzusetzen ist Projektarbeit, nicht Self-Service.

Ein realistischer Vergleich zwischen Anbietern gelingt nur über die Gesamtkosten pro Einheit über drei Jahre — Abonnement, Onboarding, Zusatzmodule und die pro Gesellschaft anfallenden Setup-Kosten zusammengerechnet. Erst diese Zahl macht sichtbar, ob eine vermeintlich günstige Per-Entity-Lizenz bei zwölf Töchtern am Ende teurer ist als eine Plattform mit Konzernstaffel. Fordern Sie außerdem eine klare Antwort auf die Exit-Frage: Ein Konzern, der seine Verzeichnisse und Verträge nicht vollständig und strukturiert aus der Plattform exportieren kann, bindet sich auf Jahre an einen Anbieter — mit entsprechendem Verhandlungsnachteil bei jeder Vertragsverlängerung.

Governance: die eigentliche Konzern-Herausforderung

Der Unterschied zwischen einem Einzelunternehmen und einem Konzern liegt weniger in der Menge der Verarbeitungen als in der Governance. In einer Gruppe gibt es fast immer eine Rollenteilung: einen Konzern-Datenschutzbeauftragten oder eine zentrale Datenschutzabteilung an der Spitze und lokale Verantwortliche in den Töchtern. Diese Struktur muss die Software abbilden — sonst entsteht entweder ein Flaschenhals (alles läuft über die Zentrale) oder ein Kontrollverlust (jede Tochter macht, was sie will).

Die drei Governance-Funktionen, an denen eine Multi-Entity-Plattform sich beweist, sind: Delegation (die Zentrale überträgt die Pflege des lokalen Verzeichnisses an die Tochter, behält aber die Aufsicht), Standardisierung (Konzernvorlagen für VVT-Struktur, AVV und DSFA werden zentral definiert und an alle Einheiten ausgerollt) und Konsolidierung (der Konzern-DSB sieht auf einen Blick, welche Tochter im Rückstand ist). Ohne diese drei Funktionen wird Multi-Entity-Compliance zur E-Mail-Verwaltung — und genau das ist bei Gruppen die häufigste Realität.

Ein zusätzlicher deutscher Faktor: Betriebsräte. In Konzernen mit mehreren mitbestimmten Gesellschaften verhandelt oft jeder lokale Betriebsrat eigene Betriebsvereinbarungen zum Beschäftigtendatenschutz. Die Software muss deshalb pro Einheit unterschiedliche Regelwerke abbilden können, statt eine konzernweite Einheitslösung zu erzwingen, die vor keinem einzelnen Betriebsrat Bestand hätte.

FAQ

Gibt es unter der DSGVO ein Konzernprivileg?

Nein. Anders als im Kartellrecht kennt die DSGVO keine wirtschaftliche Einheit. Jede Konzerngesellschaft ist eigener Verantwortlicher, und Datenflüsse zwischen den Einheiten sind Übermittlungen, die eine Rechtsgrundlage nach Art. 6 und eine vertragliche Absicherung (AVV, Joint-Controller-Vereinbarung oder BCR) benötigen.

Braucht jede Tochtergesellschaft ein eigenes Verzeichnis?

Ja. Art. 30 DSGVO verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter zu einem eigenen Verzeichnis. Eine Gruppe mit zwölf Gesellschaften führt zwölf Verzeichnisse. Multi-Entity-Software muss diese trennen und dennoch eine konsolidierte Sicht für den Konzern-DSB liefern.

Wann lohnt OneTrust für einen Konzern und wann eine EU-Alternative?

OneTrust lohnt bei globaler Regulierung in vielen Jurisdiktionen, hohem Integrationsbedarf und einem eigenen Privacy-Team. Für europäisch geprägte Gruppen sind EU-Alternativen bei Datenresidenz, Preis und Implementierungsaufwand meist überlegen — ohne funktionalen Nachteil im DSGVO-Kernbereich.

Wie werden konzerninterne Datentransfers ins Ausland abgesichert?

Über Standardvertragsklauseln mit ergänzender Transfer-Impact-Analyse oder über verbindliche interne Datenschutzvorschriften (BCR) nach Art. 47 DSGVO. BCR lohnen sich für größere Gruppen mit dauerhaften konzerninternen Drittlandflüssen, brauchen aber eine Genehmigung der zuständigen Aufsichtsbehörde und Zeit.

Fazit

Für Konzerne ist DSGVO-Software eine Frage der Architektur, nicht des Funktionskatalogs: Sie muss pro Gesellschaft trennen, konzerninterne Verträge zentral verwalten, Mandate mit Audit-Trail delegieren und dem Konzern-DSB eine konsolidierte Sicht geben — im Bewusstsein, dass es kein Konzernprivileg gibt. OneTrust bleibt die Wahl für global regulierte Gruppen; für europäisch geprägte Konzerne sind EU-Alternativen bei Datenresidenz und Preis überlegen. Vertiefen Sie den direkten Vergleich unter Legiscope vs. OneTrust und den Marktüberblick im DSGVO-Software-Vergleich.

Siehe auch: Angrenzende Szenarien behandeln wir in der Hinweisgeberschutz-Software, in DSGVO-Software in Österreich und im Leitfaden DSGVO für Kommunen und öffentliche Verwaltung.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →