Ich glaube, die Umsetzung datenschutzrechtlicher Anforderungen im Unternehmen scheitert – wie viele andere Projekte auch – an einer schlechten Organisation des Datenschutzes. Aber wie kannst du „den Datenschutz“ in deinem Unternehmen richtig organisieren?

Aufteilung der Verantwortlichkeit

Am Anfang steht dabei immer die Frage nach der Verantwortlichkeit. Damit ist nicht der bzw. die „Verantwortliche im Sinne des Datenschutzes“ gemeint. Verantwortlich im Sinne des Datenschutzes ist nach Art. 4 Abs. 7 DSGVO immer das Unternehmen selbst. Wenn du Einzelunternehmer bist, bist das du selbst. Wenn dein Unternehmen eine juristische Person (wie z. B. eine GmbH) ist, ist es die GmbH.

Für die Organisation im Unternehmen hilft dir das natürlich nicht weiter. Die GmbH kann schließlich nicht selbst organisieren. Du musst also die Verantwortlichkeiten im Unternehmen klären. Je nach Größe deines Unternehmens kannst du dabei verschiedene Rollen verteilen. Gerade wenn dein Unternehmen größer ist, kannst du vermutlich nicht mehr alles selbst machen.

Die Rollen sollten dabei streng voneinander getrennt werden, insbesondere um Interessenkonflikte zu vermeiden (Funktionstrennung).

Darüber hinaus solltest du den einzelnen Rollen genügend Ressourcen einräumen, damit diese sich um die jeweilige Aufgabe kümmern können.

Wichtig ist, dass am Ende klar ist, wer im Unternehmen für welche Prozesse verantwortlich ist. Hierfür kannst du z. B. ein Organigram erstellen oder eine Richtlinie.

Rollen

Je nach Größe deines Unternehmens kannst du verschiedene Rollen verteilen.

Geschäftsleitung

Die Geschäftsleitung oder das Topmanagement trägt innerhalb des Unternehmens die Gesamtverantwortung. Diese kann auch nicht einfach abgegeben werden. Auch wenn die Verantwortung nach außen das Unternehmen selbst trägt, bleibt die Geschäftsleitung intern verantwortlich. Als Geschäftsführer einer GmbH z. B. kommt dabei auch eine persönliche Haftung in Betracht, wenn z. B. ein Datenschutzvorfall auf ein Organisationsverschulden zurückgeführt werden kann (OLG Dresden – Urteil vom 30.11.2021 – 4 U 1158/21 ).

Datenschutzkoordinator

Ab einer gewissen Größe deines Unternehmens wird die Geschäftsleitung kaum die operativen Tätigkeiten im Bereich Datenschutz durchführen können.

Hier kannst du z. B. eine einzelne Person im Unternehmen benennen, die sich ganzheitlich um das Thema Datenschutz kümmert. Diese Person wird meistens Datenschutzkoordinatorin oder auch Datenschutzmanager genannt. Die Aufgabe der Datenschutzkoordinatorin ist es, den Datenschutz im Unternehmen ganzheitlich zu koordinieren und zu organisieren. Sie kann Aufgaben auch weiter verteilen, z. B. in Fachabteilungen. Die Datenschutzkoordinatorin berichtet in der Regel an die Geschäftsleitung. Die Rolle der Datenschutzkoordinatorin ist gesetzlich nicht vorgeschrieben und darf nicht mit der Rolle des Datenschutzbeauftragten verwechselt werden.

Datenschutzteam

Ab einer gewissen Größe kann ein Datenschutzteam für dein Unternehmen hilfreich sein. Das Datenschutzteam besteht meistens aus dem Datenschutzkoordinator, dem Informationssicherheitsmanager (oder einer vergleichbaren Position) und dem Datenschutzbeauftragten. Das Datenschutzteam ist gesetzlich ebenfalls nicht vorgeschrieben, kann aber hilfreich sein und bietet sich ab einer gewissen Größe einfach an.

Datenschutzbeauftragter

Der Datenschutzbeauftragte ist die einzige Rolle, die gesetzlich geregelt ist. Der Datenschutzbeauftragte ist selbst nicht verantwortlich für die Einhaltung oder Umsetzung Organisation des Datenschutzes. Er ist vielmehr eine interne Kontrollinstanz, die die Einhaltung des Datenschutzes überwachen soll und bei der Umsetzung unterstützt. Einen Datenschutzbeauftragten benötigst du in der Regel ab 20 Personen die regelmäßig personenbezogene Daten verarbeiten (Mehr: Ab wann benötige ich einen Datenschutzbeauftragten?). Du kannst dafür einen Mitarbeiter einsetzen. Nicht ganz unvoreingenommen, empfehle ich das gerade bei kleineren Unternehmen die keinen Datenschutzbeauftragter in Vollzeit brauche nicht unbedingt. Du kannst aber auch einen externen Datenschutzbeauftragten bestellen (10 Gründe für einen externen Datenschutzbeauftragten). Hier stehe ich gerne zur Verfügung: Leistungen als Externer Datenschutzbeauftragter.

Mitarbeiter

In der Regel wird in deinem Unternehmen keine einzelne Person einen tiefen Einblick in alle Tätigkeiten deines Unternehmens haben. Ein solcher tiefer Einblick ist aber Voraussetzung, um die datenschutzrechtlichen Anforderungen zu erfüllen. Bereits das Verzeichnis der Verarbeitungstätigkeiten erfordert einen solchen umfassenden Einblick.

Insofern solltest du auch einzelne Mitarbeiter mit einbinden. Dies kann ein einzelner Mitarbeiter pro Abteilung sein oder auch wieder mehrere Mitarbeiter.

Dreh- und Angelpunkt ist, dass jede Verarbeitungstätigkeit in deinem Unternehmen, bei der personenbezogene Daten verarbeitet werden, einem Verantwortlichen zugewiesen wird. Hierdurch stellst du sicher, dass bei einer Veränderung der Tätigkeiten eine entsprechende Anpassung in deiner Datenschutzdokumentation erfolgen kann. Es sollte auch klar geregelt werden, wie mit der Einführung neuer Tätigkeiten umgegangen wird, damit diese nicht vergessen werden.

Organisation des Datenschutzes > Fazit

Eine klare Organisation des Datenschutzes ist essenziell, um datenschutzrechtliche Anforderungen effektiv in deinem Unternehmen umzusetzen. Dabei ist es wichtig, dass du die Verantwortlichkeiten klar definierst, geeignete Rollen schaffst und ausreichend Ressourcen bereitstellst. Durch die Einrichtung von Rollen kannst du Verantwortlichkeiten strukturiert verteilen und Prozesse effizient gestaltem. Mit einer verbindlichen Richtlinie zur Datenschutzorganisation schaffst du zudem eine klare Grundlage, um die Einhaltung des Datenschutzes nachhaltig zu sichern. Eine gute Organisation ist somit der Schlüssel zu einem erfolgreichen Datenschutzmanagement. Eine Muster-Richtlinie für die Organisation im Datenschutz findest du im Downloadbereich.