GDD-Praxishilfe DS-GVO - Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD-Praxishilfe DS-GVO Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung
INHALT
Vorwort.................................................................................................................... 3
1. Einführung .................................................................... 4
2. Glossar und Abkürzungen ............................................... 5
3. Die Verantwortlichkeiten und Aufgaben nach der
DS-GVO im Detail........................................................... 6
3.1 Leitung ............................................................................................................... 6
3.2 Operative Fachabteilungen/Geschäftsbereiche ........................................................ 8
3.3 Fachabteilungen in Management- und Support-Funktionen (MSF) ............................ 9
3.4 Mitarbeiter/-innen ............................................................................................... 9
4. Operativ unterstützende Rollen im Datenschutz.............. 10
4.1 Allgemeines....................................................................................................... 10
4.2 Datenschutzteam................................................................................................ 10
4.3 Datenschutzmanager/-in (DSMgr)......................................................................... 11
4.4 Datenschutzkoodinator/-in (DSK) ........................................................................ 12
4.5 Datenschutzexperten/-expertinnen oder Datenschutzreferenten/-referentinnen....... 12
5. Datenschutzbeauftragte/-r (DSB)................................... 13
6. Besonderheiten im Konzern .......................................... 14
7. Besonderheiten im Hinblick auf kleinere und mittlere
Unternehmen (KMUs)................................................... 16
8. Zusammenfassung........................................................ 16
Synoptische Darstellung zu den Verantwortlichkeiten
und Aufgaben nach der DS-GVO...............................................................17Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung Die Datenschutz-Grundverordnung (DS-GVO) überträgt dem Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, durch organisatorische Maßnahmen die Einhaltung des Datenschutzes sicherzustellen. Wie bei der Umsetzung aller regulatorischen Vorgaben kommt dabei der klaren Definition und Zuordnung von Verantwort- lichkeiten und Aufgaben eine entscheidende Bedeutung zu. Die GDD-Praxishilfe „Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung“ versucht auf der Grundlage der gesetzlichen Vorgaben, der Entwicklungen in Unternehmen und Behörden seit Geltung der DS-GVO sowie allgemeiner Organisationsformen ein Modell hierfür aufzuzeigen. Die Herausforderung dabei besteht einerseits darin, dass die Umsetzung der Aufgaben aus der DS-GVO grundsätzlich unabhängig von Größe und Organisationsgrad der betroffenen Einheit, z.B. als kleines oder mittleres Unternehmen (KMU), Konzern oder Behörde, sicherzustellen und somit nicht disponibel ist. Andererseits unterliegt die konkrete interne Zuweisung von Kompetenzen, Rollen und operativen Verantwortlichkeiten der jeweiligen Situation im Unternehmen / in der Behörde und ist in Abhängigkeit der Größe und räumlichen Verteilung der Geschäfts- strategie, es allgemeinen Steuerungs- und Führungsmodells und der individuellen Risikosituation anzupassen. In dem nachfolgenden Modell wird hierzu zwischen Umsetzungsverantwortung (Leitung, operative Fachabtei- lungen/Geschäftsbereiche, Fachabteilungen in Management- und Support-Funktionen (MSF) und Mitarbeiter/ -innen) und operativ unterstützenden Rollen im Datenschutz (Datenschutzteam, Datenschutzmanager/-in (DSMgr), Datenschutzkoordinator/-in (DSK) Datenschutzexperten/-expertinnen oder Datenschutzreferenten/ -referentinnen) unterschieden. Sofern ein/-e Datenschutzbeauftragte/-r benannt wird, unterstützt diese/-r die vorgenannten Rollen im Rahmen seiner/ihrer gesetzlich definierten Beratungs- und Überwachungsfunk- tion. Ausgehend von dieser Aufteilung wird in gesonderten Kapiteln auf die Besonderheiten zur Anpassung des Mo- dells an die unterschiedlichen Bedürfnisse von KMU und Konzernen eingegangen. Zur besseren Übersichtlich- keit stehen die in der GDD-Praxishilfe vorgestellten Rollen und Aufgaben ab S. 17 als synoptische Darstellung zur Verfügung. GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben nach der DS-GVO Stand: August 2021 3
1. Einführung
Aus der „Rechenschaftspflicht“ (Art. 5 Abs. 2, 24 im Unternehmen verteilt bzw. ggf. auch intern gar
DS-GVO) lässt sich ableiten, dass der Verantwortli- nicht vorhanden, wenn diese auf Dienstleister aus-
che eine risikoadäquate Datenschutzorganisation gelagert sind.
und ein Datenschutz-Managementsystem (DSMS) Die Verantwortlichkeiten und Aufgaben nach
errichtet. Gemeint ist hiermit die Etablierung und der DS-GVO sowie das Verhältnis zur Stellung des/
kontinuierliche Weiterentwicklung risikoadäquater der DSB werden nachfolgend anhand von „Rollen“
Strukturen und Prozesse mit entsprechenden Ver- beschrieben. Welche konkreten Organisationsein-
antwortlichkeiten und Regelungen zur Kooperation. heiten diese Rollen im Einzelfall wahrnehmen, ist
Die Einrichtung und Weiterentwicklung einer sol- in Abhängigkeit von der Größe und Struktur des
chen Datenschutzorganisation hat dabei unabhän- Verantwortlichen und ggf. weiterer Faktoren indi-
gig von der gesetzlichen Benennungspflicht eines/ viduell festzulegen. Die Aufgabenzuweisung sollte
einer Datenschutzbeauftragten (DSB) gem. DS-GVO dabei nach dem Grundsatz der Deckungsgleichheit
bzw. nationaler Regelungen (Bundesdatenschutzge- von Aufgabe, Kompetenz und Verantwortung erfol-
setz - BDSG bzw. jeweiliges Landesdatenschutzge- gen.
setz - LDSG) zu erfolgen. Auch ohne eine/-n DSB Sofern ein/-e DSB benannt ist, sind die in
muss der Datenschutz im Unternehmen durch den Art. 38 f. DS-GVO bzw. im BDSG / im jeweiligen
Verantwortlichen organisiert werden! LDSG getroffenen Festlegungen zu dessen Stellung
Orientiert am sog. PDCA-Zyklus (Plan, Do, und Aufgaben zu beachten. Für die übrigen Rollen
Check, Act), der Bestandteil vieler Managementsys- und Verantwortlichkeiten im Rahmen der Daten-
teme ist, sowie an Art, Umfang und Zwecken der schutzorganisation gibt es keine konkreten gesetz-
Verarbeitung personenbezogener Daten ergeben lichen Vorgaben.
sich allgemein die „Aufgaben“ im Datenschutz. Die Verallgemeinernd lässt sich aber folgende Zu-
Kompetenzen, Rollen und operativen Verantwort- ordnung von Verantwortlichkeiten, Aufgaben und
lichkeiten zur Erfüllung der Aufgaben sind i.d.R. Rollen feststellen (s. Abbildung basierend auf dem
RASCI-Modell):
* Gesamtverantwortung für den Datenschutz Leitung (Vorstand, Geschäftsführung)
Accountability * Nachweis- und Rechenschaftspflicht
* Einrichtung einer DS-Organisation
* Verantwortung für risikobasierte operative * Führungskräfe der operativen Fachab-
Responsibility Umsetzung der Datenschutz-Anforderungen teilungen
* Prozess-/Organisationsverantwortung * Mitarbeiter der Fachbereiche
Unterstützung operativer Fachbereiche bei der Führungskräfte/Mitarbeiter in Fach-
Support risikobasierten operativen Umsetzung durch bereichen mit Unterstützungsfunktion
spezifisches Fach-Know-how (z.B. Einkauf, Recht, IT, Sicherheit)
* Beratung der Verantwortlichen und Mitarbeiter * Datenschutzbeauftragter
Consulting * Monitoring der Umsetzung und Einhaltung * weitere Mitarbeiter des Datenschutz-
externer und interner Vorgaben Teams
Regelmäßige und spezifische Information und alle Rollen in Abhängigkeit konkreter
Information Kommunikation über z.B. rechtliche, prozessu- datenschutzbezogener Aspekte
ale, funktionale, risikorelevante Aspekte
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 4>> umfasst die operativen Datenschutzfunktionen
Die Darstellung in dieser Praxishilfe >> institutionalisiert oder virtuell
geht von einem idealtypischen Modell >> Unterstützung der operativen Fachbereiche bei
aus, das je nach Struktur des Unter- ihren Datenschutzaufgaben
nehmens, des Konzerns bzw. der Be- >> Förderung der gemeinsamen Ausrichtung des
hörde nach Bedarf zu skalieren ist. Datenschutzes bei komplexen bzw. dezen-
Dies kann dazu führen, dass in klei- tralen Organisationen
neren Einheiten verschiedene Rollen
durch eine Person ausgefüllt werden. Gemeinsame/-r Datenschutzbeauftragte/-r
>> Personenidentische/-r Datenschutzbeauftragte
/-r einer Unternehmensgruppe bzw. mehrerer
öffentlicher Stellen
2. Glossar und Abkürzungen Konzerndatenschutzbeauftragte/-r (KDSB)
Datenschutzbeauftragte/-r (DSB) >> Bezeichnung für den/die gemeinsame/-n
>> gesetzlich definierte Rolle (Artt. 37 bis 39 Datenschutzbeauftragte/-n mehrerer Konzern-
DS-GVO; §§ 5–7, 38 BDSG bzw. LDSG) gesellschaften
>> Beratung und Überwachung als Kernaufgaben
>> keine Weisungsbefugnisse/keine operative Leitung
Datenschutzverantwortung >> gesetzliche Vertretung der datenverarbeiten-
den Stelle, z.B. der Geschäftsführung bei
Datenschutzkoordinator/-in (DSK) der GmbH oder der Vorstand beim Verein
>> keine gesetzlich definierte Rolle >> verantwortlich für den Datenschutz
>> Schnittstelle zwischen den Fachbereichen >> Delegation der Verantwortung im Innenver-
bzw. lokalen Einheiten und den Daten- hältnis möglich
schutzverantwortlichen sowie dem/der ggf.
benannten DSB Management- und Support-Funktionen (MSF)
>> dezentrale Funktion >> Organisationseinheiten, in denen spezielle
>> Unterstützung der datenverarbeitenden Ein- Kompetenzen und spezielles Knowhow gebün-
heiten bei der Umsetzung des Datenschutzes delt sind und operativen Fachbereichen unter-
stützend zur Verfügung gestellt werden, z.B. in
Datenschutzmanager/-in (DSMgr) den Bereichen Organisation, Recht, Kontrolle/
>> keine gesetzlich definierte Rolle Audit, IT-Sicherheit
>> (Weiter-)Entwicklung und Führung der
Datenschutzorganisation Verantwortlicher
>> fachbereichsübergreifende Tätigkeit >> gesetzlich definiert in Art. 4 Nr. 7 DS-GVO
>> zentrale Ansiedlung, z.B. als Leiter/-in des >> juristische Person, Verein, Behörde o.ä.
Datenschutzteams >> vertreten durch die Leitung
>> Normadressat der DS-GVO
Datenschutzorganisation
>> Gesamtheit der Maßnahmen zur Umsetzung des Verantwortlichkeiten (RASCI-Modell)
Datenschutzes >> A = Accountability – Rechenschaftspflicht; Ver-
antwortlichkeit im Sinne von „genehmigen“
Datenschutzteam oder „billigen“; Nachweis der Umsetzung und
>> nicht gesetzlich vorgesehen oder definiert Einhaltung von Maßnahmen
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 5>> R = Responsibility – Zuständigkeit für die ei- >> Die Leitung trägt die Gesamtverantwortung
gentliche Durchführung von Aufgaben (Durch- für den Datenschutz. Dies umfasst die Verant-
führungsverantwortung); Person, welche die wortung für die wirksame Umsetzung der DS-
Initiative für die Durchführung (auch durch GVO und des BDSG bzw. des jeweiligen LDSG.
andere) gibt oder die Aktivität selbst durch- >> Sie ist für die Einhaltung der Grundprinzipien
führt des Datenschutzes gem. DS-GVO verantwortlich
und muss deren Einhaltung – durch entspre-
>> S = Support – Unterstützung, z.B. durch Exper- chende Dokumentation – nachweisen können
tise oder Bereitstellung von Mitteln („Rechenschaftspflicht/Accountability“1).
>> Die Leitung trägt die Organisationsverant-
>> C = Consulting – Beratung; Person, die nicht di- wortung im Hinblick auf die nachweisbare2 Um-
rekt an der Umsetzung beteiligt ist, aber re- setzung der DS-GVO (Vermeidung von Organi-
levante Informationen für die Umsetzung hat sationsverschulden), insbesondere hinsichtlich
und deshalb befragt werden soll oder muss der Delegation/Bestimmung von Aufgaben und
Verantwortlichkeiten (Rollen):
>> I = Information – Information; Person, die In- > Delegation/Bestimmung von Aufgaben
formationen über den Verlauf bzw. das Ergebnis und Verantwortlichkeiten (Rollen) in der
der Aktivitäten erhält oder die Berechtigung Aufbau- und Ablauforganisation mittels
besitzt, Auskunft zu erhalten Anweisungen, z.B. Leitlinien, Richtlinien/
Policies, Arbeitsanweisungen (Vermeidung
von Anweisungsverschulden)
> Implementierung angemessener Daten-
3. Die Verantwortlichkeiten schutzprozesse, insbesondere der Daten-
und Aufgaben nach der DS- schutzkernprozesse „datenschutzkonforme
GVO im Detail Datenverarbeitung“, „Sicherstellung von
Betroffenenrechten und Transparenzpflich-
ten“, „Handhabung von Datenschutzvelet-
3.1 Leitung zungen“ sowie z.B. von Prozessen zur Ri-
Normadressat der DS-GVO ist der sog. „Verant- sikobewertung, zur Durchführung gesetz-
wortliche“. Dieser wird in Art. 4 Nr. 7 DS-GVO lich erforderlicher Datenschutz-Folgenab-
definiert als „juristische Person, Behörde, Einrich- schätzungen oder zur Beauftragung von
tung oder andere Stelle, die allein oder gemein- Dienstleistern bzw. zur Zusammenarbeit
sam mit anderen über die Zwecke und Mittel der mit Dritten allgemein
Verarbeitung von personenbezogenen Daten ent- > Einrichtung und Aufrechterhaltung einer
scheidet“. Die als „Verantwortliche“ in der Pflicht Datenschutzorganisation, durch die Da-
stehenden Unternehmen, Vereine oder Behörden tenschutzfachkunde mittels interner oder
werden gesetzlich vertreten durch ihre Leitung externer Ressourcen sicher verfügbar ge-
(AG-Vorstand, Vereinsvorstand, Geschäftsführung, macht wird (Vermeidung von Selektions-
Behördenleiter/-in etc.). Letztere tragen damit als verschulden); es empfiehlt sich, die er-
„Leitung des Verantwortlichen“ insbesondere die forderlichen Fachkompetenzen zur opera-
folgenden grundsätzlichen Datenschutzverantwort- tiven Unterstützung der Fachverantwort-
lichkeiten: lichen in einem Datenschutzteam unter
Leitung eines/einer „Datenschutzmana-
1 Siehe Art. 5 Abs. 2 DS-GVO.
2 Siehe Art. 24 DS-GVO.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 6gers/-managerin (DSMgr)“ zu bündeln (zum setzung und Einhaltung der DS-GVO sowie für
Datenschutzteam vgl. auch Abschnitt 4.2) die kontinuierliche Verbesserung des Daten-
> Sicherstellung ordnungsgemäßer Über- schutzes und seiner Organisation
wachung der datenschutzrelevanten Pro- >> Initialisierung / Beauftragung von Audits
zesse durch Einrichtung ausreichender Kon- >> Sicherstellung eines Reportingsystems im
trollmechanismen und -systeme (Vermei- Rahmen der Überwachung der Einhaltung des
dung von Überwachungsverschulden) Datenschutzes
>> verantwortlicher Vertreter des Unter- >> Anweisungen zur Umsetzung von Empfehlun-
nehmens bzw. der öffentlichen Stelle gen/Feststellungen aus Kontrollen und Über-
gegenüber der Aufsichtsbehörde (Norm- wachungen zwecks Weiterentwicklung des Da-
adressat und, soweit kein/-e DSB benannt tenschutzes
ist, alleinige Anlaufstelle für die Behörde) >> Benennung eines/einer DSB, soweit gesetzlich
> auskunftspflichtig erforderlich3 bzw. unternehmerisch sinnvoll
> verantwortlich für die Umsetzung auf- (Achtung: Auch bei Nichtbestehen einer Benen-
sichtsbehördlicher Anweisungen nungspflicht muss trotzdem Datenschutzfach-
kunde vorhanden sein oder eingekauft wer-
Diese grundsätzlichen Datenschutzverantwortlich- den!). Bei der Benennung ist insbesondere Fol-
keiten der Leitung konkretisieren sich im Einzel- gendes sicherzustellen:
nen wie folgt: > Publizität des/der DSB4: Veröffentlichung
>> Bestimmung, ggf. gestuft, eines/einer verant- der Kontaktdaten des/der DSB und Mittei-
wortlichen Bereichs/Führungskraft/Mitarbei- lung der Daten an die Aufsichtsbehörde
ters/Mitarbeiterin (Verarbeitungsverantwort- > Bereitstellung erforderlicher Ressourcen5
licher) für jeden Fall der Verarbeitung perso-
für den/die DSB, z.B. durch ausreichende
nenbezogener Daten Freistellung des/der internen DSB von an-
>> Sicherstellung, dass alle internen und externen deren Tätigkeiten
Mitarbeiter/-innen der Organisationseinheit, > Gewährleistung einer Vertretung des/der
die mit der Verarbeitung personenbezogener DSB für den Fall der Abwesenheit
Daten betraut sind, zur Vertraulichkeit ver- > organisatorische Sicherstellung, dass der/
pflichtet und über ihre datenschutz- die DSB seine/ihre gesetzlichen Aufgaben
rechtlichen Pflichten informiert sind erfüllen kann,6 insbesondere Unterstellung
sowie regelmäßig geschult werden des/der DSB unter die Leitung im Hinblick
>> Sicherstellung, dass in der Organisationseinheit auf dessen/deren Informations-, Reporting-
und nachgeordneten Einheiten in hinreichen- und Überwachungsaufgaben
dem Umfang kompetente Mitarbeiter vorhan- > organisatorische Sicherstellung der unab-
den sind, die angemessen und fokussiert die da- hängigen, weisungsfreien und vertrauli-
tenschutzrechtlichen Anforderungen umset- chen Wahrnehmung der Aufgaben durch
zen bzw. die Umsetzung koordinieren können, den/die DSB7
z.B. durch Einsatz von Datenschutzkoordina- > klare Abgrenzung und Regelung der
toren Zusammenarbeit zwischen operativen
>> Bereitstellung erforderlicher finanzieller, Datenschutzrollen und dem/der DSB
sachlicher und personeller Ressourcen zur Um-
3 Art. 37 Abs. 1, 4 DS-GVO i.V.m. § 38 BDSG.
4 Art. 37 Abs. 7 DS-GVO.
5 Art. 38 Abs. 2 DS-GVO.
6 Art. 38 Abs. 3 DS-GVO.
7 Art. 38 Abs. 3, 5 DS-GVO; Erwägungsgrund 97 S. 4 DS-GVO.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 7> regelmäßiger Informationsaustausch der >> Prozessverantwortung; diese umfasst insbeson-
Leitung mit dem/der DSB und Ergreifen von dere:
geeigneten Maßnahmen, sofern erforder- > Definition der organisatorischen Schnitt-
lich stellen (auch zum Datenschutz), ins-
bes. Anbindung an die Datenschutzkern-
prozesse wie „datenschutzkonforme
Ein Mangel in der Wahrnehmung der Datenverarbeitung“, „Handhabung von
Organisationsverantwortung durch Datenschutzverletzungen“ etc.
die Leitungsorgane ist ein z.B. nach > Erfüllung von Dokumentationspflichten,
OWiG (Ordnungswidrigkeitengesetz) z.B. Dokumentation von Zwecken und
sanktionierbares Organisationsver- Mitteln der Verarbeitung personenbezogener
schulden. Dies kann bestehen in: Daten, Verzeichnis der Verarbeitungstätig-
>> Anweisungsverschulden: keiten, Datenschutz-Folgenabschätzung,
Anweisungen fehlen, sind fehler- Nachweis der Einwilligung
oder lückenhaft; > Verantwortung für die datenschutzrecht-
>> Selektionsverschulden: liche Risikobewertung und, sofern mög-
Verantwortung wird an ungeeig- lich, für die Vermeidung datenschutzrecht-
nete Mitarbeiter delegiert; licher Risiken durch Prozess-, Produkt- und
>> Überwachungsverschulden: Technikgestaltung, d.h. data protection
Kontrollen werden gar nicht oder by design/default, Löschkonzept usw.; so-
lückenhaft durchgeführt. fern notwendig, Durchführung einer Daten-
schutz-Folgenabschätzung (Art. 35
DS-GVO)
> Erfüllung von Transparenz- und Infor-
mationspflichten sowie Gewährleistung
3.2 Operative Fachabteilungen/Geschäfts- der Betroffenenrechte (Anbindung an die
vorgesehenen Prozesse bzw. Entwicklung
bereiche
eigener Prozesse für Information, Auskunft,
Die operativen Fachabteilungen/Geschäftsbereiche Löschung, Berichtigung, Recht auf Verges-
sind die Organisationseinheiten, die maßgeblich senwerden, Datenportabilität, Einwilli-
für die Umsetzung und Einhaltung der datenschutz- gungswiderruf, Widerspruch und Daten-
rechtlichen Anforderungen verantwortlich sind. Im pannen)
Rahmen der von ihnen verantworteten Prozesse > Sicherstellung von wirksamen und da-
und Verarbeitungen tragen sie Sorge für einen an- tenschutzkonformen Vertragsbeziehun-
gemessenen Schutz der personenbezogenen Daten. gen mit den ausgewählten Verarbeitern
Ihnen obliegen dabei folgende Rollen und Auf- personenbezogener Daten, z.B. Auftrags-
gaben: verarbeiter, Geschäftspartner im Rahmen
>> Durchführungsverantwortung: Ausführung der gemeinsamen Verantwortlichkeit nach
der Anweisungen der Leitung zur Um- Art. 26 DS-GVO
setzung der DS-GVO (Responsibility), z.B. > Kontrolle der Auftragsverarbeiter
> arbeitsplatzbezogene Instruktion der ein- > frühzeitige Einbindung des/der DSB (er-
zelnen Mitarbeiter folgskritischer Faktor!)
> Durchführung fachbereichsspezifischer > Implementierung und Durchführung ge-
Schulungs- und Awarenessmaßnahmen eigneter prozessimmanenter Kontrollen
zur Gewährleistung der Einhaltung der ge-
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 8setzlichen und internen Vorgaben zum Da- Kompetenzen auf andere Weise sicherzustellen,
tenschutz z.B. durch Einschaltung externer Dienstleister. So-
>> regelmäßige Prüfung und ggf. Anpassung der fern eigene Fachabteilungen mit Management- und
Datenschutzmaßnahmen mit dem Ziel der kon- Support-Funktionen betraut werden, obliegen die-
tinuierlichen Verbesserung sen folgende Rollen und Aufgaben:
>> Unterstützung insbes. des/der DSMgr und des/ >> Verantwortung für im Unternehmen bzw. bei
der DSB bei Berichts- und Reportingmaßnah- der öffentlichen Stelle gebündelte Quer-
men schnittsprozesse inkl. der damit verbundenen
>> Unterstützung der Datenschutzorganisa- Dokumentations- und Transparenzpflichten so-
tion bei der Zusammenarbeit mit der wie der Gewährleistung von Betroffenenrechten
Aufsichtsbehörde; verantwortlich insbes. für >> Unterstützung der operativen Fachabtei-
Sachverhaltsaufklärung/-darstellung sowie für lungen bei der Umsetzung der DS-GVO mit spe-
relevante Dokumentationen zur Zusammenar- zifischem Knowhow, z.B. Einkauf in Beschaf-
beit mit der Behörde fungs- und Lieferantenmanagementprozessen;
Recht bei der Vertragsprüfung und Datenschutz-
rechtsfragen; IT-Sicherheit bei der Festlegung
Es empfiehlt sich die Benennung
und Prüfung von technischen Maßnahmen; Re-
von „Datenschutzmanagern/-ma-
vision bei der Durchführung von (Datenschutz-)
nagerinnen (DSMgr)“ und/oder
Audits; Compliance, Qualitäts- und Risikoma-
„Datenschutzkoordinatoren/-koordi-
nagement beim Managementsystem
natorinnen (DSK)“ mit ausreichenden
zeitlichen wie fachlichen Ressourcen
in den Fach-/Geschäftsbereichen, Bezogen auf die eigenen Tätigkeiten der MSF tref-
welche die diesbezüglichen daten- fen diese im Übrigen die datenschutzrechtlichen
schutzrechtlichen Anforderungen Verpflichtungen als Fachbereich, vgl. dazu „Punkt
angemessen und fokussiert umset- 3.2 Operative Fachabteilungen/Geschäftsbereiche“.
zen bzw. die Umsetzung koordinieren
können. 3.4 Mitarbeiter/-innen
Alle Mitarbeiter/-innen des Unternehmens, der Un-
ternehmensgruppe bzw. der Behörde sind im Rah-
3.3 Fachabteilungen in Management- und men ihres Tagesgeschäfts verpflichtet, die gesetz-
lichen und internen Regelungen zum Datenschutz
Support-Funktionen (MSF)
einzuhalten und einen angemessenen Schutz per-
Zur effektiven Wahrnehmung ihrer datenschutz- sonenbezogener Daten zu gewährleisten.
rechtlichen Verantwortung benötigen die opera-
tiven Bereiche spezielle fachliche Unterstüt- Im Einzelnen obliegen ihnen folgende Pflichten:
zung, insbesondere Kompetenzen in den Bereichen >> Vertrautmachen mit den internen Regelun-
Organisation, Recht, Kontrolle/Audit, IT-Sicherheit. gen und gesetzlichen Vorschriften zum Da-
Soweit im Unternehmen, in der Unternehmensgrup- tenschutz sowie Einhaltung derselben, z.B.
pe, im Konzern bzw. in der Behörde Personen und/ hinsichtlich Eskalationsmodellen bei Datenpan-
oder Abteilungen mit entsprechenden Fähigkeiten nen
vorhanden sind, können ihnen entsprechende Auf- >> Verpflichtung zur Teilnahme an allen relevanten
gaben zugewiesen werden. In dieser Rolle können Schulungs- und Awarenessmaßnahmen
diese Personen auch Teil eines Datenschutzteams >> effektiver und effizienter Schutz personenbe-
(siehe unten) sein. Ansonsten sind die benötigten zogener Daten i.R. des Tagesgeschäfts auf
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 9Grundlage der geltenden internen Regelungen sich – wie im Folgenden dargestellt – auf interne
>> Löschung von strukturierten und unstrukturier- Rollen mit speziellen Datenschutzaufgaben vertei-
ten Daten entsprechend der Löschkonzepte des len. Sie können aber auch – quasi im „Nebenjob“ –
Geschäftsbereichs bzw. der Fachabteilung bestehenden internen Ressourcen übertragen wer-
>> unverzügliche Information der Führungskraft den, wie z.B. die Behandlung von Verträgen oder
und der vorgesehenen Meldestellen bei poten- Datenschutzrechtsfragen der Rechtsabteilung (vgl.
ziellen oder tatsächlichen Verstößen gegen dazu auch oben Abschnitt 3.3). Möglich ist auch
den Datenschutz, z.B. bei unrechtmäßiger Wei- die Unterstützung durch externe Ressourcen, wie
tergabe oder Missbrauch personenbezogener z.B. betreuende Anwaltskanzleien.
Daten
>> in datenschutzrechtlichen Zweifelsfällen stets
- und möglichst frühzeitig - die intern vorge- Die im Folgenden dargestellten Rol-
sehenen Datenschutzansprechpartner bzw. den/ len orientieren sich an den Rollen-
die DSB zurate ziehen modellen in der Unternehmens- und
Behördenpraxis. Da es für die Rollen
zwar einen praktischen Bedarf, aber
keine gesetzliche Regelung gibt, sind
4. Operativ unterstützende die Bezeichnungen nicht verbindlich.
Rollen im Datenschutz
4.1 Allgemeines 4.2 Datenschutzteam
Die Verantwortung für die operative Umsetzung des Um die operativen Fachbereiche bei ihren Daten-
Datenschutzes liegt vornehmlich bei der Leitung schutzaufgaben zu unterstützen und insbesondere
bzw. den Fachbereichen (siehe Abschnitte 3.1 und bei komplexen bzw. dezentralen Organisationsein-
3.2). In der Regel verfügen diese allerdings nicht heiten eine gemeinsame Ausrichtung des Daten-
in vollem Umfang über die notwendigen Ressourcen schutzes, den Informationsaustausch und die Kom-
bzw. das notwendige datenschutzrechtliche Fach- munikation zu unterstützen und zu fördern, kann
wissen, um diese Aufgabe kompetent wahrnehmen ein „Datenschutzteam“ gebildet werden. Dieses ist
zu können. Soweit die Organisationseinheit über gesetzlich nicht definiert und auch eine klar defi-
eine/-n DSB verfügt, steht diese/-r mit seinem/ih- nierte Bezeichnung hat sich bislang nicht etabliert.
rem Expertenwissen zwar beratend zur Verfügung,
die operative Unterstützung oder Umsetzung bleibt Je nach Bedarf können dem Team
ihm/ihr aber im Hinblick auf den gesetzlichen Auf- >> ein/-e zentrale/-r Datenschutzmanager/-in
trag verwehrt. Es ist also unabhängig von der (DSMgr),
Existenz eines/einer DSB sicherzustellen, dass >> unterstützende Datenschutzexperten/-exper-
die Anforderungen des Datenschutzes operativ tinnen mit spezieller Fachkompetenz,
umgesetzt werden. >> dezentral agierende Datenschutzkoordinatoren/
Daher ist es wichtig, dass insbesondere den -koordinatorinnen (DSK) sowie
Fachbereichen im Hinblick auf die Koordination >> ggf. weitere unmittelbar mit der Steuerung und
und Umsetzung ihrer operativen Datenschutzauf- Umsetzung von Datenschutzanforderungen be-
gaben Hilfestellung gegeben wird. Hierzu sind im fasste Funktionsträger/-innen (z.B. aus dem
Einzelfall insbesondere Kompetenzen aus den Be- Bereich Informationssicherheit)
reichen Organisation, Recht, IT-Sicherheit und angehören.
Audit bereitzustellen. Diese Kompetenzen können
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 10Abhängig von der konkreten Struktur und dem Be- > Zusammenarbeit mit dem/der DSB zur
darf der jeweiligen Organisationseinheit kann ein Weitentwicklung der Datenschutzorganisa-
solches Datenschutzteam institutionalisiert oder tion und zur Nutzung seines/ihres Exper-
virtuell gebildet werden. tenwissens bei Fachfragen
Soweit ein/-e DSB benannt ist, berät und >> Unterstützung bei der organisatorischen und
überwacht diese/-r das operativ agierende Gre- operativen Umsetzung der DS-GVO, z.B.
mium. Die konkrete Zusammenarbeit ist entspre- > Förderung der Einhaltung der externen
chend zu regeln und zu dokumentieren. und internen Datenschutzvorgaben
> Pflege und Weiterentwicklung der Da-
tenschutzorganisation
4.3 Datenschutzmanager/-in (DSMgr) > Ermittlung potenzieller Datenschutzrisi-
ken und Entwicklung entsprechender Lö-
Der/die DSMgr ist keine gesetzlich definierte Rol- sungsvorschläge; Begleitung der Umset-
le, insofern finden sich in der Praxis verschiedene zung
Ausgestaltungen. Typischerweise delegiert die Lei- > Erstellung von Vorgaben zur Erfüllung der
tung an den/die DSMgr die Wahrnehmung ihrer da- Transparenzpflichten und Betroffenenrech-
tenschutzrechtlichen Pflichten. Die Delegation der te, zur/zum Dienstleisterauswahl, -einsatz
Datenschutzverantwortung wirkt sich allerdings und -kontrolle etc.
nur im Innenverhältnis aus. Im Außenverhältnis, > frühzeitige Einbindung des/der DSB
also im Verhältnis zur betroffenen Person bzw. zur >> Kontrolle/Überwachung und kontinuierliche
Aufsichtsbehörde bleibt es bei der Verantwortlich- Verbesserung des Datenschutzes
keit der Leitung. Der Funktion als DSMgr können, > Unterstützung bei Überwachung des Daten-
müssen aber nicht, datenschutzrechtliche Wei- schutzes durch die Leitung bzw. den/die
sungsbefugnisse zugeordnet sein. DSB, z.B. durch Erstellen von Berichten,
In der Abgrenzung zum/zur Daten- Analysen etc.
schutzkoordinator/-in (DSK) (vgl. dazu im Einzel- > Unterstützung bei der Implementierung
nen nachstehend unter 4.4) zeichnet sich der/die und Durchführung prozessimmanenter Kon-
DSMgr durch eine übergeordnete, fachbereichs- trollen
übergreifende Aufgabenstellung aus. Typischer- > ggf. Durchführung oder Begleitung von Da-
weise handelt es sich daher um eine zentral ange- tenschutzaudits
siedelte Position (Leitung des Datenschutzteams). > Implementierung eines kontinuierlichen
Der/die DSMgr hat keine Stellung als DSB. Verbesserungsprozesses und Umsetzung
von Maßnahmen
Zu seinen/ihren Aufgaben gehören im Einzelnen: >> Untersuchung datenschutzrelevanter Ereig-
>> fachliche Führung, Steuerung und Weiterent- nisse und Initiierung bzw. Umsetzung erforder-
wicklung der jeweiligen Datenschutzorgani- licher Maßnahmen sowie Information des/der
sation, insbesondere DSB über Feststellungen
> Verantwortung für die in den Fachberei- >> Koordination der Zusammenarbeit mit der
chen/MSF geltenden Regelwerke, Prozes- Aufsichtsbehörde
se und Tools für den Datenschutz >> Organisation, ggf. auch Durchführung von
> Koordination der fachlichen Unterstüt- Schulungen zum Datenschutz
zung der Fachbereiche/MSF in Daten-
schutzfragen
> Steuerung und Unterstützung der DSK
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 114.4 Datenschutzkoordinator/-in (DSK) >> operative Unterstützung der Fachbereiche/
Organisationseinheiten bei der Wahrneh-
Der/die DSK ist keine gesetzlich definierte Rolle. mung ihrer Datenschutzverantwortung, z.B.
Die Rolle des/der DSK wird in der Praxis mit un- > bei der Dokumentation und Risikobewer-
terschiedlicher organisatorischer Anbindung, Fach- tung der jeweiligen Verarbeitungstätigkei-
kunde und unterschiedlichem Aufgabenzuschnitt ten
ausgestaltet. DSK haben keine Stellung als DSB und > bei der Erfüllung der Transparenz-, Aus-
ihre Einrichtung ist unabhängig von der Benen- kunfts-, Melde- und Rechenschafts-/Nach-
nung eines/einer DSB. DSK bilden die Schnittstelle weispflichten sowie bei der Umsetzung von
zwischen den Fachbereichen bzw. lokalen Einhei- Betroffenenrechten
ten und den Datenschutzverantwortlichen (Leitung, > bei Dienstleisterauswahl, -einsatz und
Fachbereichsverantwortliche, DSMger/-in) sowie -kontrolle
dem/der ggf. benannten DSB. >> frühzeitige Einbindung des/der DSB
Die DSK-Funktion leitet sich ab aus der dezen- >> Unterstützung bei Kontroll- und Überwa-
tralen Verantwortung für den Datenschutz in den chungsmaßnahmen
Fach-/Geschäftsbereichen, Standorten, Gesell- > Durchführung von bzw. Unterstützung bei
schaften einer Unternehmensgruppe bzw. den Ab- prozessimmanenten Kontrollen
teilungen von Behörden. Auf Basis von Checklisten > Unterstützung bei der Durchführung von
und Mustern unterstützen DSK die datenverarbei- Datenschutzaudits, z.B. durch die Revision
tenden Einheiten und sorgen dafür, dass der Daten- oder ähnliche Stellen
schutz bis in diese Bereiche hinein umgesetzt wird. > Erstellen von Berichten und Analysen, Er-
Der/die DSK kann Mitarbeiter/-in der jewei- mittlung von Kennzahlen etc.
ligen Organisationseinheit, z.B. aber auch in der > Unterstützung bei der Umsetzung und
zentralen Datenschutzeinheit (Datenschutzteam, Nachverfolgung von kontinuierlichen Ver-
vgl. Abschnitt 4.2) angesiedelt sein. DSK aus dem besserungsmaßnahmen, z.B. aus einem Ma-
Fachbereich haben den Vorteil, dass diese die Pro- nagement Review
zesse, in denen personenbezogene Daten verar- >> regelmäßige Berichterstattung über die Ri-
beitet werden, von fachlicher Seite kennen und sikosituation in den Fachbereichen an DSMgr
mögliche Datenschutzthemen qualifiziert erkennen und DSB; ggf. Kennzahlen bezüglich aufgetre-
können. Je nach Komplexität und Heterogenität der tener Datenschutzvorgänge/-vorfälle
Geschäftsprozesse können mehrere DSK benannt >> Unterstützung bei bzw. Durchführung von
werden. Schulungen und Awarenessmaßnahmen zum
Datenschutz
Wesentliche Aufgaben: >> Unterstützung der Fachbereiche bei Anfragen
>> (dezentraler) Ansprechpartner/-in der jewei- der Aufsichtsbehörde
ligen Gesellschaften/Fachbereiche/Abteilungen
zu Datenschutzfragestellungen 4.5 Datenschutzexperten/-expertinnen oder
>> Unterstützung der Fachbereiche etc. im
Datenschschutzreferenten/-referentin-
Rahmen der Ablauforganisation, insbes. bei
den Schnittstellen zu den Datenschutzprozes- nen
sen Je nach Geschäftsausrichtung und Komplexität der
>> Annahme und Koordination von Anfragen so- Verarbeitungen benennt der Verantwortliche im er-
wie Weiterleitung von Datenschutzfragestel- forderlichen Umfang „Datenschutzexperten/-exper-
lungen zwecks sachgerechter Unterstützung an tinnen“ oder „Referenten/Referentinnen“, die das
die MSF, den/die DSMgr oder den/die DSB Datenschutzteam unterstützen. Diese weisen eine
entsprechende Fachkompetenz auf.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 12Datenschutzexperten/-expertinnen oder Referen- über Leitung (Accountability), Fachabteilung
ten/Referentinnen besitzen ebenfalls keine ge- (Responsibility) sowie Datenschutzteam,
setzlich definierte Rolle. In der Praxis gibt es DSMgr, DSK 11
verschiedene Ausgestaltungen hinsichtlich der or- >> Unterrichtung und Beratung der Leitung, des
ga-nisatorischen Anbindung. Datenschutzexperten/ Datenschutzteams, des/der DSMgr, der DSK, der
-expertinnen oder Referenten/Referentinnen kön- Fachbereiche/MSF und allgemein aller
nen gleichzeitig Mitarbeiter/-innen eines spezi- Mitarbeiter/-innen, die mit der Verarbeitung
fischen Fachbereichs sein wie auch fachlich und personenbezogener Daten betraut sind, zu ih-
disziplinarisch vom bzw. von der DSMgr geführte ren datenschutzrechtlichen Pflichten12
Mitarbeiter/-innen im Rahmen einer Datenschutz- >> Initiierung und Überwachung von Maßnah-
organisation. men zur Sensibilisierung und Schulung von
Mitarbeitern, ggf. auch Konzeption von ent-
sprechenden Maßnahmen (wenn zusätzlich zu
5. Datenschutzbeauftragte/-r den Pflichtaufgaben übertragen)
>> Beratung bei Fragen im Zusammenhang mit Ri-
(DSB) sikobewertungen von Datenverarbeitungen
und Datenschutz-Folgenabschätzungen sowie
Eine Pflicht zur Benennung eines/einer DSB ergibt Überwachung ihrer Durchführung13
sich dann, wenn die Kriterien des Art. 37 DS-GVO >> Beratung der Leitung zur risikoorientierten Be-
bzw. § 38 BDSG erfüllt sind. Unabhängig vom Be- auftragung von Datenschutzaudits
stehen einer Verpflichtung kann der Verantwortli- >> Initiierung und Beratung bezüglich des Auf-
che freiwillig eine/-n DSB benennen.8 baus und der Weiterentwicklung eines Da-
Der/die DSB kann Beschäftigte/-r des Verant- tenschutzmanagements, Koordination von
wortlichen sein (sog. „interne/-r“ DSB) oder seine/ Verbesserungsmaßnahmen
ihre Aufgaben auf der Grundlage eines Dienstleis- >> Überwachung der Einhaltung der gesetz-
tungsvertrags erfüllen (sog. „externe/-r“ DSB)9. lichen Vorgaben, der internen Strategien und
Eine Unternehmensgruppe bzw. mehrere öffentliche Vorschriften sowie der Funktionsfähigkeit
Stellen dürfen unter bestimmten Voraussetzungen des Datenschutzmanagements14, z.B. durch
eine/-n gemeinsame/-n DSB benennen.10 Nutzung/Auswertung implementierter Kontroll-
Stellung und (Mindest-)Aufgaben des/der DSB instrumente
ergeben sich aus Artt. 38 und 39 DS-GVO. Der/ >> regelmäßige Berichterstattung über Daten-
die DSB kann andere Aufgaben und Pflichten wahr- schutzthemen und -risiken an die Leitung, z.B.
nehmen, solange diese nicht zu einem Interessen- quartalsweises Reporting, bzw. bei Ad-hoc-An-
konflikt führen. fragen zu bestimmten Sachverhalten
>> Anlaufstelle für die Aufsichtsbehörde15 und
Der/die DSB hat u.a. folgende Aufgaben: Zusammenarbeit mit dieser bei allen Fra-
>> adressatengerechte Information und Kommu- gen der Verarbeitung personenbezogener Da-
nikation über Umsetzungs- und Anpassungs- ten16 (Anm.: Der/die DSB wiederum hat An-
erfordernisse aus europäischen und nationa- spruch auf kostenlose Beratung durch die Be-
len Gesetzgebungen zum Datenschutz gegen- hörde.17)
11 Art. 39 Abs. 1 lit. a DS-GVO.
12 Art. 39 Abs. 1 lit. a DS-GVO.
13 Art. 39 Abs. 1 lit. c DS-GVO.
14 Art. 39 Abs. 1 lit. b DS-GVO.
8 Art. 37 Abs. 4 S. 1 Hs. 1 DS-GVO.
15 Art. 39 Abs. 1 lit. e DS-GVO.
9 Art. 37 Abs. 6 DS-GVO.
16 Art. 39 Abs. 1 lit. d DS-GVO.
10 Art. 37 Abs. 2 und 3 DS-GVO.
17 Art. 39 Abs. 1 lit. e i.V.m. Art. 57 Abs. 3 DS-GVO.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 13>> Anlaufstelle18 für die betroffenen Personen
zu allen mit der Verarbeitung ihrer personen- wortlichen und Auftragsverarbeitern“
bezogenen Daten und mit der Wahrnehmung (Stand: 17.12.2018), aktuell in Überar-
ihrer Rechte gemäß der DS-GVO im Zusammen- beitung
hang stehenden Fragen
>> organisatorische und operative Unterstützung Leitlinien der Art-29-Datenschutzgruppe
der Fachbereiche/MSF sowie fachliche Unter- in Bezug auf Datenschutzbeauftragte
stützung des/der DSMgr und der DSK bei Be- („DSB“), WP 243 rev. 01 (bestätigt durch
darf und vorhandenen zeitlichen Ressourcen den EDSA am 25.05.2018), abrufbar etwa
des/der DSB unter https://datenschutz-hamburg.de/
assets/pdf/wp243rev01_de.pdf.
Der/die DSB ist nicht für die Einhal-
tung der datenschutzrechtlichen Vor-
schriften verantwortlich. Die Verant-
wortung für den Datenschutz kann 6. Besonderheiten im Kon-
dem/der DSB auch nicht übertragen
werden, da sich dieser dann selbst
zern
überwachen müsste und es ihm inso-
fern als internem Überwachungsorgan In Konzernen und Unternehmensgruppen mit
an der notwendigen Unabhängigkeit mehreren juristisch selbstständigen Unternehmen
(ErwGr 97 S. 3 DS-GVO) fehlen würde. empfiehlt sich die Einrichtung eines zentralen
konzernweit zuständigen Datenschutzteams
und die Einrichtung eines „Konzerndatenschutzes“
mit Benennung eines/-r „Konzerndatenschutz-
Zu den Voraussetzungen der Benen- beauftragten (KDSB)“ (in der Terminologie der
nungspflicht, Aufgaben und Stellung DS-GVO: „gemeinsamer DSB“ ), um eine konzern-
des/der DSB nach der DS-GVO vgl. etwa weite Datenschutzpolitik/-strategie sowie einheit-
liche Empfehlungen, Vorgaben und Prozesse in Form
GDD-Praxishilfe DS-GVO: „Der Daten- von Mindeststandards zu etablieren. Insbesondere
schutzbeauftragte nach der Daten- vor dem Hintergrund der Bußgeldregelungen der
schutz-Grundverordnung“: https://www. DS-GVO und der Bemessungsgrundlage für die Buß-
gdd.de/downloads/praxishilfen/gdd- geldhöhe ist eine konzernweite gemeinsame Aus-
praxishilfe_i_dsb-nach-ds-gvo_versi- richtung im Datenschutz risikominimierend.
on-2.0 Abhängig vom generellen Steuerungs- und Füh-
rungsmodell, der Geschäftsstrategie und der Art,
GDD-Ratgeber: „Der betriebliche Da- Anzahl und regionalen Verteilung der Geschäfts-
tenschutzbeauftragte nach DS-GVO und einheiten finden sich in der Praxis sowohl zen-
BDSG, Arbeitshilfe für die betriebliche trale als auch dezentrale Organisationsmodelle
Praxis“, Version: 2.1 für den Konzerndatenschutz. In beiden Modellen
kann - soweit rechtlich zulässig19 - ein/-e KDSB die
Datenschutzkonferenz, Kurzpapier Nr. 12 Rolle und die Aufgaben des/der DSB in den ein-
„Datenschutzbeauftragte bei Verant- zelnen Tochterunternehmen übernehmen. Dann ist
18 Art. 38 Abs. 4 DS-GVO. 19 Vgl. Art. 37 Abs. 3 DS-GVO.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 14ihm/ihr entsprechend der oben unter Ziff. 5 aufge- >> Definition und Implementierung eines regel-
führte Aufgabenkreis zugeordnet. mäßigen Reportings zur Verfolgung des Reife-
Es können jedoch auch eigene DSB in den ein- grads des Datenschutzes, des Datenschutzma-
zelnen Tochterunternehmen benannt werden. Dann nagements und der Datenschutzorganisation
nimmt der/die KDSB primär (konzerninterne) steu- >> Koordination der Arbeit der DSBs in den Un-
ernde und koordinierende Aufgaben wahr, hat aber ternehmen und - sofern implementiert - des
für die Unternehmen mit eigenem DSB nicht die Datenschutzteams
entsprechende gesetzliche Rolle. >> Koordination eines regelmäßigen Informa-
tionsflusses und -austausches sowie einer ef-
Die Umwandlung von einer dezen- fizienten und effektiven Einbindung der dezen-
tralen Organisation mit personenver- tralen Datenschutzressourcen
schiedenen Datenschutzbeauftragten Weitere mögliche Regelungen im Rahmen des Kon-
bei den verschiedenen Unternehmen zerndatenschutzes:
hin zu einer zentralen Organisation >> Benennung eines/einer KDSB durch die Kon-
mit nur einem/einer Konzerndaten- zernholding/Gruppenleitung
schutzbeauftragten setzt regelmäßig >> ggf. Benennung des/der KDSB auch als DSB für
das Einverständnis der einzelnen be- die dezentralen Unternehmen des Konzerns-
nannten Beauftragten voraus. Nach bzw. der Unternehmensgruppe
dem BAG20 begründet allein die Or- >> bei der Benennung eines eigenen DSB durch
ganisationsentscheidung, den Daten- die dezentralen Unternehmen sinnvollerweise
schutz konzernweit vereinheitlichen vorherige Konsultation des KDSB
zu wollen, keinen wichtigen Grund >> Regelung von Steuerungs- und Koordinati-
i.S.v. § 626 BGB. onsaufgaben des/der KDSB unter Berück-
sichtigung der Weisungsfreiheit ggf. be-
nannter einzelner DSBs sowie ggf. operativen
Mögliche Aufgaben des Konzerndatenschutzes: Aufgaben im Konzern-/Gruppenkontext (z.B.
>> Koordination und Förderung von Zusammen- gesellschaftsübergreifende Projekte, IT-Syste-
arbeit und Abstimmung zu allen Fragen des me oder Dienstleisterverträge)
Datenschutzes im Konzern bzw. in der Unter- >> Der/die KDSB ist rechtzeitig zu allen Angele-
nehmensgruppe genheiten hinzuzuziehen, die sich auf den
>> Information und Beratung der Konzernhol- Schutz personenbezogener Daten mit potenzi-
ding/Gruppenleitung zu aktuellen Entwicklun- ell unternehmensübergreifender oder konzern-
gen im Datenschutzrecht, der Einhaltung und weiter Auswirkung beziehen. Dies gilt in be-
Umsetzung datenschutzrechtlicher Anforderun- sonderem Maße bei offiziellen Kontakten zu Da-
gen im Konzern bzw. in der Gruppe sowie For- tenschutzbehörden oder anderen Institutionen.
mulierung von (konzern-/gruppenweiten) >> Der/die KDSB ist unverzüglich zu informieren
Empfehlungen bzw. hinzuzuziehen, sobald sich ein Daten-
>> Etablierung und Weiterentwicklung kon- schutzverstoß oder sonstiger Vorfall mit mög-
zern-/gruppenweiter Empfehlungen zur lichen Auswirkungen auf den Datenschutz
Datenschutzpolitik/-strategie, Strukturen, Re- von größerer lokaler, übergreifender oder
gelwerken, Prozessen und Tools im Rahmen konzernweiter Bedeutung ereignet.
eines konzern-/gruppenweiten Datenschutz-
managementsystems
20 BAG v. 23.3.2011 - 10 AZR 562/09.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 157. Besonderheiten im Hin- Die Verantwortung für die Umsetzung des Da-
tenschutzes liegt im Ausgangspunkt bei der Lei-
blick auf kleinere und tung bzw. – im Wege der Delegation – bei den im
mittlere Unternehmen Einzelnen für die Verarbeitungen zuständigen
(KMUs) Fachabteilungen. Ist ein/-e DSB benannt, gehört
es zu seinen/ihren Aufgaben, Leitung und Fachab-
Die Größe einer Datenschutzorganisation und die teilungen mittels seiner/ihrer Expertise im Hinblick
Anzahl der mit dem Datenschutz befassten Perso- auf die organisatorische und operative Umsetzung
nen muss in einem angemessenen Verhältnis zur des Datenschutzes zu beraten.
Größe der Gesamtorganisation und zu der Kritika-
lität der durchgeführten Verarbeitungen personen-
bezogener Daten stehen. Selbstverständlich kann
8. Zusammenfassung
nicht jedes kleine produzierende Unternehmen ein Eine zusammenfassende synoptische Darstellung zu
eigenes Team mit der Unterstützung der operativen den Verantwortlichkeiten und Aufgaben nach der
Umsetzung des Datenschutzes betrauen. Ohnehin DS-GVO finden Sie auf den nachfolgenden Seiten.
setzt effektiver operativer Datenschutz nicht zwin- Grafisch lässt sich das in dieser Praxishilfe darge-
gend eine personelle bzw. organisatorische Verkör- stellte Konzept wie unten abgebildet zusammenfas-
perung voraus, z.B. in Form eines/einer DSMgr. sen:
Es handelt sich hierbei um ein Modell,
Entscheidend ist nicht das Ausmaß das im Hinblick auf unterschiedliche
der Datenschutzorganisation, sondern Einflüsse anzupassen ist, insbes. Grö-
das Ausmaß der Organisation des Da- ße der Organisationseinheit, Umfang
tenschutzes. und Kritikalität der Datenverarbei-
tung. Gerade in kleineren Stellen kön-
nen mehrere Rollen zusammenfallen
oder sind extern zu besetzen.
GDD-Praxishilfe DS-GVO: Verantwortlichkeiten und Aufgaben
nach der DS-GVO Stand: August 2021 16Verantwortlichkeiten und Aufgaben nach der Datenschutz‐Grundverordnung (DS‐GVO)
Nachfolgend werden die einzelnen Verantwortlichkeiten und Aufgaben zur wirksamen Umsetzung der DS‐GVO, wie sie als Modell in der GDD‐Praxishilfe DS‐GVO: "Verantwortlichkeiten und Aufgaben nach der Datenschutz‐Grundverordnung"
im Detail erläutert werden, in Form einer Tabelle dargestellt. Dabei werden die einzelnen Aufgaben nach Themenbereichen geordnet und zur Verdeutlichung der Abgrenzung je Rolle nebeneinander dargestellt.
Themenbereich Leitung Fachbereich MSF DSMgr DSK DSB
Allg. Verantwortung Accountability Responsibility Support Support Support Consulting
Gesamtverantwortung Durchführungsverant‐ Verantwortung für im Fachliche Führung, Steu‐ (dezentrale/r) Ansprech‐ Gesetzlicher Auftrag zur
für den Datenschutz, wortung, d.h. Ausfüh‐ Unternehmen bzw. bei erung und Weiterent‐ partner/in im jeweiligen Unterrichtung (proaktiv)
Verantwortung insbes. rung der Anweisungen der öffentlichen Stelle wicklung der Daten‐ Unternehmen/Fachbe‐ und Beratung (idR reak‐
für der Leitung zur Umset‐ gebündelte Quer‐ schutzorganisation, ins‐ reich zu tiv) über Umsetzungs‐
zung der DS‐GVO schnittsprozesse inkl. bes. Datenschutzfragestel‐ und Anpassungserfor‐
- wirksame Umsetzung der damit verbundenen lungen dernisse aus der europä‐
von DS‐GVO/BDSG - Verantwortung für in
datenschutzrechtlichen den Fachbereichen/ ischen und nationalen
- Einhaltung der Grund‐ Anforderungen (Doku‐ MSF geltende Regel‐ Gesetzgebung zum Da‐
prinzipien des Daten‐ mentations‐ und Trans‐ werke, Prozesse und tenschutz, insbes. gegen‐
schutzes gem. DS‐GVO parenzpflichten sowie Tools für den Daten‐ über
- Nachweis der Einhal‐ Gewährleistung von Be‐ schutz inkl. deren kon‐ - Leitung
tung durch entspre‐ troffenenrechten) tinuierlicher Weiter‐ - DSMgr
chende Dokumenta‐ entwicklung
tion („Rechenschafts‐ - Fachbereichen/MSF
- Koordination der fach‐
pflicht“ gemäß Art. 5 lichen Unterstützung Überwachung der Ein‐
Abs. 2, Art. 24 DS‐ der Fachbereiche/MSF haltung der gesetzlichen
GVO) in Datenschutzfragen Vorgaben, internen
- Vertretung des Unter‐ Strategien und Vor‐
- Steuerung und Unter‐ schriften sowie der
nehmens / der öffent‐ stützung der DSK
lichen Stelle nach au‐ Funktionsfähigkeit des
ßen - Zusammenarbeit mit Datenschutzmanage‐
dem/der DSB zwecks ments, z.B. durch Nut‐
- Bereitstellung erfor‐ Weitentwicklung der zung/Auswertung imple‐
derlicher finanzieller, Datenschutzorganisa‐ mentierter Kontrollin‐
sachlicher und perso‐ tion und Nutzung sei‐ strumente
neller Ressourcen nes/ihres Experten‐
wissens bei Fachfra‐
gen
Datenschutz‐ Einrichtung/Aufrechter‐ Arbeitsplatzbezogene Soweit selbst als Fachbe‐ Pflege/Weiterentwick‐ Unterstützung der Fach‐ Fachliche Unterstützung
organisation haltung einer Daten‐ Instruktion der einzel‐ reich betroffen, siehe lung der Regelungen zur bereiche im Rahmen – insbes. des/der
schutzorganisation, nen Mitarbeiter Spalte „Fachbereich“ Datenschutzorganisa‐ der Ablauforganisation, DSMgr – bei der
durch die Datenschutz‐ tion (Weiter‐)Entwicklung der
fachkunde mittels inter‐ Datenschutzorganisation
ner oder externer
GDD‐Praxishilfe DS‐GVO: Verantwortlichkeiten und Aufgaben
nach der DS‐GVO Stand: August 2021 17 17Verantwortlichkeiten und Aufgaben nach der Datenschutz‐Grundverordnung (DS‐GVO)
Themenbereich Leitung Fachbereich MSF DSMgr DSK DSB
Ressourcen sicher ver‐ Förderung der Einhal‐ insbes. bei den Schnitt‐
fügbar gemacht wird tung der im Unterneh‐ stellen zu den Daten‐
(Vermeidung von Selek‐ men bzw. bei der öffent‐ schutzprozessen
tionsverschulden) lichen Stelle geltenden
Benennung eines/einer externen und internen
DSB, soweit gesetzlich Vorgaben
erforderlich bzw. sinn‐
voll
Allg. operative Aufga‐ Delegation/Bestimmung Der Fachbereich trägt Unterstützung der ope‐ Unterstützung bei der Unterstützung der Fach‐ Unterrichtung/Beratung
ben von Aufgaben und Ver‐ die Prozessverantwor‐ rativen Fachbereiche bei organisatorischen und bereiche bei der Wahr‐ der Leitung und aller
antwortlichkeiten (Rol‐ tung, woraus insbes. fol‐ der Umsetzung der DS‐ operativen Umsetzung nehmung ihrer Daten‐ Mitarbeiter/‐innen, die
len) in der Aufbau‐ und gende Aufgaben resultie‐ GVO mit spezifischem der DS‐GVO: schutzverantwortung, mit der Verarbeitung
Ablauforganisation mit‐ ren: Knowhow, z.B.: - Ermittlung potenziel‐ insbes. durch personenbezogener Da‐
tels Anweisungen, z.B. - Definition der organi‐ - Einkauf in Beschaf‐ ler Datenschutzrisiken - Annahme und Koordi‐ ten betraut sind, zu da‐
- Leitlinien satorischen Schnitt‐ fungs‐ und Lieferan‐ nation von Anfragen tenschutzrechtlichen
- Entwicklung entspre‐ Pflichten
- Richtlinien/Policies stellen (auch zum Da‐ tenmanagementpro‐ chender Lösungsvor‐ sowie Weiterleitung
tenschutz), insbes. An‐ zessen schläge und Beglei‐ von Datenschutzfrage‐ Beratung bei Fragen im
- Arbeitsanweisungen bindung an Daten‐ stellungen der Fachbe‐ Zusammenhang mit Risi‐
- Recht bei der Ver‐ tung der Umsetzung
(Vermeidung von Anwei‐ schutzprozesse tragsprüfung und bei reiche zwecks sachge‐ kobewertungen von Da‐
sungsverschulden) - Koordination der DSK rechter Unterstützung tenverarbeitungen und
- Erfüllung von Doku‐ Datenschutzrechtsfra‐ sowie unterstützen‐
mentationspflichten, gen an die MSF, den/die Datenschutz‐Folgenab‐
der Datenschutzex‐ DSMgr oder den/die schätzungen (sowie
Implementierung ange‐ z.B. Erstellung/Pflege - IT‐Sicherheit bei der perten/‐expertinnen
des Verzeichnisses der DSB Überwachung ihrer
messener Datenschutz‐ Festlegung/Prüfung - frühzeitige Einbindung Durchführung)
prozesse Verarbeitungstätigkei‐ von technischen Maß‐ - operative Unterstüt‐
ten (VVT) und Nach‐ des/der DSB zung bei der Doku‐ Fachliche Unterstützung
nahmen
weis der Einwilligung mentation und Risiko‐ des/der DSMgr und der
- Revision bei der bewertung von Verar‐ DSK bei Bedarf
- Verantwortung für da‐ Durchführung von (Da‐
tenschutzrechtliche beitungstätigkeiten
tenschutz‐)Audits der jeweiligen Ge‐
Risikobewertung (inkl.
der Datenschutz‐Fol‐ - Compliance, Quali‐ schäftseinheit bzw.
genabschätzung, so‐ täts‐ und Risikoma‐ des jeweiligen Fachbe‐
fern erforderlich) nagement beim Mana‐ reichs
gementsystem - frühzeitige Einbindung
- Vermeidung daten‐
schutzrechtlicher Risi‐ des/der DSB
ken durch Prozess‐,
GDD‐Praxishilfe DS‐GVO: Verantwortlichkeiten und Aufgaben
17 18
nach der DS‐GVO Stand: August 2021 18Sie können auch lesen
