In Konzernstrukturen zusammengefasste Unternehmen organisieren Geschäftsprozesse über Grenzen der konzernangehörigen juristischen Personen hinweg und übermitteln personenbezogene Daten zu diesem Zweck. Konzerninterne Datenübermittlungen sind eine große datenschutzrechtliche Herausforderung. Das Datenschutzrecht kennt nämlich keine Konzerne, sondern nur verantwortliche Stelle (einzelne juristische Personen). Dieses Problem wird unter dem Schlagwort „fehlendes Konzernprivileg“ diskutiert. Faktisch bedeutet es, dass Datenübermittlungen zwischen Konzerngesellschaften – wie Übermittlungen zwischen anderen Dritten – nur zulässig sind, wenn hierfür eine datenschutzrechtliche Rechtfertigung besteht.
Soweit Konzerngesellschaften Unternehmensfunktionen insgesamt übernehmen, z.B. konzernweit die Personalverwaltung übernehmen und eigene Entscheidungsbefugnisse haben, handelt es sich um eine Funktionsübertragung. Der Zugriff auf Daten anderer Konzerngesellschaften zu diesem Zweck ist dann eine Datenübermittlung. Es bietet sich an, solche Datenzugriffe in Funktionsübertragungsverträgen abzubilden.
Die Ausführung einzelner Verarbeitungsschritte im Interesse bzw. zu (Geschäfts)zwecken anderer Konzerngesellschaften ist im Gegensatz zur Funktionsübertragung ein Fall der konzerninternen Auftragsdatenverarbeitung (z.B. Betrieb eines Rechenzentrums, Erbringung von IT-Support, Druck und Versendung von Abrechnungen). Konzerninterne Auftragsdatenverarbeitung fällt in den Anwendungsbereich von § 11 BDSG (siehe Auftragsdatenverarbeitung), so dass zwingend eine Vereinbarung über die Auftragsdatenverarbeitung abzuschließen ist.
Besondere datenschutzrechtliche Anforderungen stellen sich bei internationalen Konzernen mit Konzerngesellschaften. Hier müssen zusätzliche Anforderungen an internationale Datenübermittlungen erfüllt werden. Siehe internationaler Datenschutz.