Mit Einführung der DSGVO hat der Gesetzgeber davon abgesehen, Konzerne im Rahmen der Datenverarbeitung von den strengen Vorschriften des Datenschutzes in Form eines sog. Konzernprivilegs zu befreien.
Der Begriff des Konzernprivilegs ist aus dem Bereich der Arbeitnehmerüberlassung bekannt und dort höchst umstritten. Es soll den unternehmensübergreifenden Einsatz von Mitarbeitenden vereinfachen, indem es weniger strenge Maßstäbe für die Überlassung von Mitarbeitenden zwischen Konzerngesellschaften ansetzt. Trotz zahlreicher Überlegungen und Bestrebungen wurde bei der Einführung der Datenschutzgrundverordnung letztlich darauf verzichtet, ein vergleichbares Privileg für die Datenverarbeitung in Konzernstrukturen einzuführen.
Die Existenz eines Konzerns erlaubt somit nicht ohne Weiteres den Transfer von personenbezogenen Daten über die Unternehmensgrenzen hinweg. Insbesondere in international agierenden Konzernen stellen sich weitere Fragen. Zum Beispiel, wenn Daten von Mitarbeitenden aus dem europäischen Inland in ein Land übersendet werden, das nicht den Regelungen der DSGVO unterliegt. Die Datenverarbeitung im Konzern erfordert somit besondere Beachtung.
Konzernstrukturen bieten aber auch im Datenschutzrecht Vorteile. Beispielsweise erlaubt die DSGVO, für eine Unternehmensgruppe eine*n gemeinsame*n Datenschutzbeauftragte*n zu ernennen. Voraussetzung ist, dass diese*r von jeder Niederlassung aus erreicht werden kann. Aufgrund der ohnehin starken Vernetzung der Konzernunternehmen untereinander, können Unternehmensgruppen hiervon regelmäßig leicht Gebrauch machen.