Datenschutz ist Teamwork
Kleine und mittlere Unternehmen (KMU) stehen genauso wie Konzerne vor der Herausforderung, dass sie zahlreiche Anforderungen der DS-GVO umsetzen und dabei die Einhaltung aller gesetzlichen Vorgaben aufgrund der allgemeinen Rechenschaftspflicht auch nachweisen können müssen. Das schafft die Pflicht Datenschutz zu organisieren und zu dokumentieren.
Datenschutzbeauftragter als Beratungs- und Überwachungsinstanz
Selbst wenn das Unternehmen über einen betrieblichen Datenschutzbeauftragten verfügt, fokussieren sich seine Aufgaben gemäß Art. 39 DS-GVO auf die Beratung und Überwachung. Die operative Umsetzung der übrigen Datenschutzpflichten der DS-GVO gehört im Umkehrschluss nicht zu den Aufgaben des Datenschutzbeauftragten. Sein gesetzlicher Auftrag dient jedenfalls unmittelbar nicht dem Schutz der benennenden Stelle, sondern den von der Datenverarbeitung betroffenen Personen wie Beschäftigten, Endkunden oder sonstigen Personen, die mit dem Unternehmen Berührpunkte haben. Nach Art. 38 Abs. 4 DS-GVO kann der Datenschutzbeauftragte von betroffenen Personen bei allen Fragen zur Datenverarbeitung sowie zur Wahrnehmung ihrer Rechte konsultiert werden. Er berät aber selbstverständlich auch die Unternehmensleitung sowie die Fachabteilungen, die mit personenbezogenen Daten umgehen, und überwacht zudem die Einhaltung der bestehenden datenschutzrechtlichen Vorgaben beim Verantwortlichen bzw. Auftragsverarbeiter. Mit der Aufgabenwahrnehmung des Datenschutzbeauftragten werden nicht nur gesetzliche Anforderungen der DS-GVO und des BDSG erfüllt, sondern zugleich Unternehmensrisiken reduziert, welche sich vor dem Hintergrund der immensen Bußgeldandrohungen der DS-GVO ergeben.
Der Datenschutzbeauftragte nimmt seine Aufgaben unabhängig war und berichtet unmittelbar der höchsten Managementebene. Er hat Anspruch auf Einbindung, Unterstützung und Fortbildung, genießt Abberufungsschutz und, sofern es sich um einen internen Beauftragten handelt, zudem Kündigungsschutz. Der Datenschutzbeauftragte darf wegen Wahrnehmung seiner Aufgaben nicht benachteiligt werden.
In Deutschland ist ein Datenschutzbeauftragter von Verantwortlichen bzw. Auftragsverarbeitern zu benennen, soweit diese regelmäßig mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Zudem besteht eine schwellenwertunabhängige Pflicht zur Benennung, sofern ein Verantwortlicher oder Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Weitergehende Informationen und Muster zum Datenschutzbeauftragten:
- Praxishilfe zum DSB
- Benennung DSB
- Stellenbeschreibung DSB
Der Adressat der DS-GVO ist klar geregelt, die Umsetzung im Detail gestaltbar
Normadressat der DS-GVO ist der Verantwortliche, was regelmäßig mit dem Unternehmen (GmbH, gGmbH, AG, KG etc.) oder einer Rechtseinheit im Konzern gleichzusetzen ist. Die Verantwortung für die operative Umsetzung des Datenschutzes liegt damit grundsätzlich bei der vertretungsbefugten Leitung wie der Geschäftsführung oder dem Vorstand. Typischerweise verfügen diese allerdings nicht über die notwendigen zeitlichen Ressourcen sowie das notwendige datenschutzrechtliche Fachwissen, um diese Aufgabe kompetent wahrnehmen zu können. Es bedarf also der Delegation der Verantwortung für den operativen Datenschutz.
Datenschutz im Team meistern
Soweit die Organisationseinheit aufgrund der gesetzlichen Vorgaben (Art. 37 DS-GVO, § 38 BDSG) oder auch freiwillig einen Datenschutzbeauftragten benannt hat (Benennung zum DSB), steht dieser mit seiner Expertise beratend und überwachend zur Verfügung, die operative Unterstützung oder Umsetzung obliegt ihm aber nicht. Daher wird die operative Umsetzung der datenschutzrechtlichen Vorgaben meist delegiert und zentral oder dezentral organisiert. Um die Fachbereiche bei ihren operativen Datenschutzaufgaben zu unterstützen und insbesondere bei komplexen oder dezentralen Organisationseinheiten eine einheitliche Ausrichtung des Datenschutzes zu unterstützen und zu fördern, kann ein „Datenschutzteam“ gebildet werden. Ein solches Team lebt vom Informationsaustausch und steht für die Kommunikation des Themas Datenschutz innerhalb der datenverarbeitenden Stelle.
Welche Rollen gibt es im Datenschutzteam?
Im Gesetz existiert nur die Rolle des Datenschutzbeauftragten. Bei den operativ tätigen Akteuren im Datenschutz haben sich in Ermangelung von gesetzlichen Vorgaben eine Reihe von Rollen herauskristallisiert: Datenschutzmanager, Datenschutzkoordinatoren, Datenschutzexperten und Datenschutzreferenten (zu deren Aufgaben im Detail siehe Praxishilfe Verantwortlichkeiten und Aufgaben). Der Datenschutzbeauftragte unterstützt die vorgenannten Funktionsträger im Rahmen seiner gesetzlich definierten Beratungs- und Überwachungsfunktion.
Der Datenschutzkoordinator als Schnittstelle
Besondere Bedeutung in der Praxis haben u.a. Datenschutzkoordinatoren gewonnen. Kennzeichnend für Datenschutzkoordinatoren allgemein ist, dass sie entweder dezentral angebunden sind oder zumindest dezentral zum Einsatz kommen. Datenschutzkoordinatoren bilden die Schnittstelle zwischen den Fachbereichen oder lokalen Einheiten (Filialen, Werke, Niederlassungen etc.) und den datenschutzrechtlichen Know-how- bzw. Verantwortungsträgern. Sie dienen als dezentrale Ansprechpartner innerhalb des jeweiligen Fachbereichs oder der Abteilung und unterstützen die dezentrale Einheit im Rahmen der Ablauforganisation bei allen Datenschutzprozessen. Auf Basis entsprechender Vorgaben in Form von Checklisten und Mustern unterstützen Koordinatoren die Fachbereiche als datenverarbeitende Einheiten und sorgen dafür, dass der Datenschutz bis in diese Bereiche hinein effektiv umgesetzt wird (siehe Aufgabenbeschreibung Datenschutzkoordinator).
Vielseitiges Aufgabenfeld wartet auf Koordinatoren
Zudem übernehmen Koordinatoren häufig auch die Aufgabe der Sensibilisierung und Schulung der Beschäftigten vor Ort. Einfach gelagerte datenschutzrechtliche Fragestellungen beantworten Koordinatoren selbst. Komplexe Fragestellungen werden an eine zentrale Datenschutzeinheit im Unternehmen bzw. Konzern oder an den zuständigen Verantwortungsträger eskaliert oder zur Beantwortung mit dem Datenschutzbeauftragten abgestimmt.
Aufgabe verlangt Kommunikation
Zur Förderung von Synergien und zur Entwicklung von Best Practices ist ein regelmäßiger Austausch der Koordinatoren untereinander sinnvoll ebenso wie ein Austausch zwischen den zahlreichen Datenschutzkoordinatoren und dem Datenschutzbeauftragten. Gleichermaßen sollten der zuständige (Abteilungs-)Leiter der dezentralen Einheit und der Datenschutzkoordinator in regelmäßigem Austausch stehen.
Sonderrolle: Der Datenschutzkoordinator für externe Datenschutzbeauftragte
Ist ein externer Datenschutzbeauftragter für das Unternehmen bestellt, müssen die Koordinatoren eine besonders intensive und umfängliche Kommunikation leisten. Eine Sonderrolle kommt Datenschutzkoordinatoren daher innerhalb von Organisationseinheiten mit einem externen Datenschutzbeauftragten zu. Da diese extern beauftragte Person regelmäßig nicht über die gleichen Kenntnisse hinsichtlich der betrieblichen Abläufe bei der benennenden Stelle wie deren eigene Beschäftigte verfügt, ist sie auf entsprechend kompetente Ansprechpartner innerhalb der benennenden Stelle angewiesen. Hier kommt es gerade in KMU zu einer zusätzlichen Aufwertung der Rolle des Datenschutzkoordinators, der als Bindeglied zum externen Datenschutzbeauftragten fungiert. Mit seiner täglichen Präsenz innerhalb der verantwortlichen Stelle dient der Koordinator häufig als erste Anlaufstelle für alle Datenschutzfragen und verweist dann im Bedarfsfall an den Datenschutzbeauftragten mit gesetzlicher Fachkunde.
Koordinatoren brauchen Schulung
In Bezug auf die notwendige Fachkunde und die Kompetenzen nähern sich Datenschutzkoordinatoren in der Praxis immer mehr den benannten Datenschutzbeauftragten an. Dies trifft u.a. zu, sofern der mit den Aufgaben des Datenschutzbeauftragten verbundene Aufwand im Wesentlichen lokal von den Datenschutzkoordinatoren erbracht wird und der Datenschutz innerhalb der Organisation einheitlich gehandhabt werden soll. Ein solches Erfordernis besteht etwa in sehr großen Organisationen, wo es eine Person als offiziell benannten Datenschutzbeauftragten gibt und zahlreiche dezentrale Datenschutzkoordinatoren.
Aufgaben eines Datenschutzmanagers
Datenschutzmanager unterstützen aus zentraler Position innerhalb des Unternehmens bei der Umsetzung datenschutzrechtlicher Vorgaben. Sie sind regelmäßig verantwortlich für Planung, Aufbau und Steuerung des Datenschutzmanagementsystems und dessen kontinuierliche Weiterentwicklung. Weitere typische Aufgaben sind das Erarbeiten und die regelmäßige Überprüfung (ggf. Anpassung) bestehender Datenschutzrichtlinien sowie die Identifikation potenzieller Datenschutzrisiken samt Entwicklung entsprechender Lösungsvorschläge. Auch die Untersuchung von datenschutzrelevanten Ereignissen, das Entwerfen von Berichten für die Unternehmensleitung bzw. die Leitung einer Stabsstelle Datenschutz, sofern vorhanden, können in den Aufgabenbereich des Datenschutzmanagers fallen. Teilweise führen sie auch Datenschutzaudits durch oder begleiten diese sind und/oder dafür verantwortlich, Datenschutzschulungen durchzuführen bzw. zu organisieren (siehe Aufgabenbeschreibung Datenschutzmanager).
Verantwortliche Funktion
So wie sich die tägliche Arbeit des Datenschutzmanagers durch eine übergeordnete, fachbereichsübergreifende Aufgabenstellung kennzeichnet, kommt ihm eine besonders verantwortliche Stellung zu. So übernimmt dieser im Innenverhältnis regelmäßig die an sich der Leitung als datenschutzrechtlichem Normadressaten obliegenden gesetzlichen Pflichten. Er tritt insofern in deren Pflichtenkreis ein. Mit der Funktion als Datenschutzmanager können, müssen aber nicht entsprechende Weisungsbefugnisse einhergehen.
Praxis entwickelt Aufgaben und Funktionen laufend weiter
Nur die Aufgaben sowie die Stellung des Datenschutzbeauftragten ergeben sich unmittelbar aus dem Gesetz. Alle weiteren dargestellten Akteure orientieren sich an den Rollenmodellen in der Unternehmens- und Behördenpraxis. Da es für diese Rollen zwar einen praktischen Bedarf, aber keine gesetzliche Regelung gibt, gründen die Beschreibungen auf Erkenntnissen aus der Praxis, können aber nicht als verbindlich angesehen werden.