Abo
Über das Event Programm Referenten Partner Organisation Blog Rückblick
Veröffentlicht am 17. April 2026
Artikel

Konzerninterne Datenflüsse rechtskonform steuern: Wie Inter Company Agreements und Smart Contracting den Datenschutz skalierbar machen

Die Realität in Konzernen: Datenflüsse überall – Vertragsmanagement an seine Grenzen gebracht

Gastbeitrag von Stephan Fabrizek, CIO, IT-Leiter und Informationssicherheits-Beauftragter, Proxora GmbH

In Konzernen sind personenbezogene Daten selten in nur einer Gesellschaft verarbeitet. Shared Services, zentrale IT-Infrastrukturen, gruppenweite CRM- und HR-Systeme oder ausgelagerte Supportfunktionen sorgen dafür, dass Datenflüsse kontinuierlich zwischen Konzerngesellschaften stattfinden. Was operativ längst gelebte Praxis ist, bringt selbst gut aufgestellte Datenschutzorganisationen an ihre Grenzen:

Für jede konkrete Verarbeitungskonstellation müssen Rollen, Verantwortlichkeiten und die passenden Datenverarbeitungsverträge nachvollziehbar geregelt sein – effizient, revisionssicher und skalierbar.

Genau hier liegt die Schwachstelle vieler Konzerne: Das Verzeichnis der Verarbeitungstätigkeiten (ROPA) existiert isoliert, Intercompany Agreements werden manuell in Word-Dokumenten gepflegt, und Data Processing Agreements entstehen jedes Mal neu – ohne systematischen Bezug zur Datenbasis. Das kostet Zeit, erzeugt Inkonsistenzen und schafft Angriffsflächen bei Audits.


Das Inter Company Agreement als Rahmenwerk für konzerninterne Datenflüsse

Ein konzernweites Inter Company Agreement (ICA) löst dieses Problem strukturell: Als Rahmenvertrag definiert es die „Spielregeln“ für den konzerninternen Austausch personenbezogener Daten – einmalig verhandelt, konzernweit gültig.

Das Prinzip ist einfach und wirkungsvoll:

  1. Alle relevanten Konzerngesellschaften treten dem ICA bei – dokumentiert, gesteuert und revisionssicher
  2. Auf Basis konkreter Verarbeitungstätigkeiten entstehen daraus Data Processing Descriptions, ohne jedes Mal bei null zu beginnen
  3. Je nach Ausgestaltung des Rahmenvertrags lässt sich daraus Smart Contracting ableiten: standardisierte, automatisierte Vertragsschlüsse entlang definierter Parameter

Länderspezifische Anforderungen werden dabei über ein Side-Agreement-Konzept z.B. auf DPA-Ebene abgebildet, ohne die konzernweite Struktur zu gefährden.

Das Ergebnis ist eine lückenlose Dokumentationskette – vom ROPA-Eintrag bis zum rechtssicher abgeschlossenen Vertrag.


Smart Contracting: Wenn Verarbeitungstätigkeiten automatisch Verträge erzeugen

Der Begriff Smart Contracting – im Sinne des Data Act die automatisierte Ausführung von Vereinbarungen – beschreibt im Datenschutzkontext einen Paradigmenwechsel: Statt Verträge manuell zu erstellen, werden sie systemisch aus den erfassten Verarbeitungstätigkeiten abgeleitet.

Konkret funktioniert das so:


Neue Konzerngesellschaft in Stammdaten erfasst

Automatisierte Prüfung & CEO-Benachrichtigung zum ICA-Beitritt

ICA-Beitritt dokumentiert & revisionssicher hinterlegt

Neue Verarbeitungstätigkeit erfasst

DPA ausrollen: Nur ICA-Mitglieder zur Auswahl verfügbar

Data Processing Description automatisch ableiten

Vertrag versioniert, freigegeben, dokumentiert


Für Datenschutzverantwortliche bedeutet das: weniger Vertragsaufwand, schnellere Abstimmungen, mehr Transparenz – und ein Ansatz, der mit der Komplexität des Konzerns skaliert, statt gegen sie zu arbeiten.


Die entscheidenden Bausteine in der Praxis

Eine leistungsfähige Datenschutzmanagement-Lösung stellt dafür vier integrierte Prozesse bereit:

  1. Erfassung von Verarbeitungstätigkeiten
    Strukturierte Aufnahme, Pflege und Qualitätssicherung der Data Processing Activities als belastbare Datenbasis für Verträge und Nachweise. Nicht nur Pflichterfüllung nach Art. 30 DSGVO – sondern aktives Steuerungsinstrument.
  2. Ausrollen und Beitreten zum ICA
    Gesteuertes Onboarding der Konzerngesellschaften inklusive dokumentierter Beitritts- und Governance-Schritte. Jede Gesellschaft, jeder Beitritt, jede Änderung – nachvollziehbar und auditfest.
  3. Ausrollen von Verarbeitungstätigkeiten innerhalb des Konzerns
    Konzernweite Verteilung relevanter Verarbeitungstätigkeiten, klare Zuordnung von Rollen (Verantwortlicher vs. Auftragsverarbeiter) und konsistente Vertragsableitung – ohne Medienbrüche.
  4. Management der Datenschutzorganisation
    Abbildung von Zuständigkeiten, Freigaben, Eskalationen und Kontrollmechanismen. Das ICA existiert nicht nur – es wird gelebt.

Zukunftssicher: ICA-Strukturen als Fundament für AI Act und Data Act

Mit dem AI Act entstehen neue Dokumentations- und Transparenzpflichten für KI-Systeme, die konzernübergreifend eingesetzt werden. Wer heute eine belastbare ICA-Struktur aufbaut, schafft damit gleichzeitig die Grundlage, um diese neuen Anforderungen nahtlos zu integrieren – ohne Systemwechsel, ohne Neustart.

Ein zukunftsfähiges System zeichnet sich dabei durch drei Merkmale aus:

  • Low-Code-Konfigurierbarkeit: Datenschutzbeauftragte passen neue Anforderungen selbstständig an
  • Mandantenfähigkeit: Konzerntauglicher Einsatz über Jurisdiktionen hinweg
  • Modulare Erweiterbarkeit: Neue Anforderungen (AI Act, Data Act) werden als Module ergänzt


Fazit: Datenschutz vom Bremsklotz zum steuerbaren Enabler

Für Datenschutzverantwortliche in Großkonzernen und im gehobenen Mittelstand gilt: Ein konsistentes ICA-Framework, das mit Smart Contracting verbunden ist, verwandelt Datenschutz von einer reaktiven Compliance-Pflicht in einen steuerbaren, effizienten Prozess.

PROXORA unterstützt Unternehmen dabei mit einer integrierten Datenschutzmanagement-Plattform – von der ROPA-Erfassung über das ICA-Management bis zum automatisierten Data Processing Agreement.

Besuchen Sie uns am Stand – wir zeigen Ihnen live, wie Smart Contracting in der Praxis funktioniert.

www.proxora.com