Datenschutzorganisation – Das magische Dreieck

Artikel von Dr. Datenschutz·12. Dezember 2022

Unternehmen müssen viele Datenschutzanforderungen einhalten. Bei der Komplexität der Materie ist das leichter gesagt als getan. Die Datenschutzorganisation hat daher eine besondere Bedeutung, denn diese bildet den Rahmen für die Umsetzung der Datenschutzvorgaben im Unternehmen. Dabei spielen drei Faktoren eine entscheidende Rolle.

Der Inhalt im Überblick

Zähmung des Komplexitätsmonsters
Das magische Dreieck
Vorhandene Datenschutzorganisation aufgreifen

Zähmung des Komplexitätsmonsters

Wo soll ich anfangen und wo aufhören? Diese Frage hat sich wohl jeder Datenschutzverantwortliche schon einmal gestellt und war versucht gleich die „Flinte ins Korn zu werfen“. Zumal Kollegen zuweilen wie ein Klavierschüler reagieren, dem ein unspielbares Musikstück zugemutet wird und der den Datenschützer mit einer allzu strengen Klavierlehrerin assoziiert. Wie und welches Profil braucht also die Datenschutzorganisation damit der Datenschutzreifen an Traktion gewinnt?

Bevor wir zu den drei Hauptfaktoren kommen, vorab eine wichtige Grundregel aus der Praxis. Sie lautet:

„Vom Groben ins Feine“

Was ist damit gemeint? Nur allzu oft verlieren wir Datenschützer uns im Tagesgeschäft und in Einzelfragen und sehen dabei „den Wald vor lauter Bäumen“ nicht. Dabei stellt sich dann irgendwann die Frage, wer ist Hase und wer Jäger. Sprich, man agiert und gestaltet nicht mehr, sondern reagiert lediglich. Es ist also wichtig die strategischen Themen und den großen Rahmen anzugehen. Das verursacht zwar einen erheblichen Initialaufwand, dieser zahlt sich dann aber in der Regel mittelfristig und langfristig aus. Ein solches strategisches Thema ist die Datenschutzorganisation.

Das magische Dreieck

Ein Bild sagt mehr als tauschend Worte. Hier also zunächst eine Grafik des Dreiecks:

Die einzelnen Faktoren beeinflussen sich gegenseitig. So haben die Regeln und Vorgaben einen Einfluss darauf, welche Werkzeuge benutzt werden sollten. Handelt es sich um eine Software (zum Beispiel zum Führen der Listen nach Art 30 DSGVO, so ist hier ein Berechtigungskonzept (WER) zu implementieren.

Einflussfaktor „WAS“

Auf dem Weg zur Datenschutzkonformität ist es von entscheidender Bedeutung erst einmal die – für das konkrete Unternehmen – einschlägigen Datenschutzanforderungen zu kennen und aufzulisten. Das sind einerseits externe Anforderungen. Hierbei kann es sich um gesetzliche, aber auch sonstige handeln, wie z.B. vertraglich festgelegte (ggf. aus einem Auftragsverarbeitungsvertrag gem. Art 28 DSGVO sofern das Unternehmen als Dienstleister tätig ist).

Aber auch interne Vorgaben (z.B. Konzerndatenschutzrichtlinien, Betriebsvereinbarungen) sind zu berücksichtigen. Auch hier gilt bei der Auflistung zunächst, vom Groben ins Feine. Zu berücksichtigen ist dann der Grundsatz der Spezialität bzw. Subsidiarität. Dies bedeutet, dass in der Regel die Spezialvorschriften die allgemeineren Vorgaben verdrängen. Interne Vorgaben sind an den externen zu messen (Abweichungen können ggf. unwirksam sein).

Eine so erstellte Anforderungsliste bietet die Grundlage für die weitere Organisation und kann als interne Audit/Check-Liste vorgehalten werden. Diese ist aktuell zu halten. Das Unternehmen kann hieraus auch eine ToDo-Liste für einen Action-Plan erstellen.

Einflussfaktor „WER“

Datenschutz muss im gesamten Unternehmen berücksichtigt und umgesetzt werden. Im Hinblick auf das Motto „Einer für Alle“ kann dies nicht für den betrieblichen Datenschutzbeauftragten gelten. Diesem kommt eine beratende und unterstützende Funktion zu. Verantwortlich für die Einhaltung und Umsetzung im Unternehmen bleiben die Geschäftsführung und die Beschäftigten. Auch hier gilt wieder „Vom Groben ins Feine“.

Hier muss ein Unternehmen Maßnahmen ergreifen (z.B. Richtlinien, Schulungen, Arbeitsanweisungen, Templates, Informationen), welche die Handlungspflichten aller Beschäftigter betreffen. Sodann muss der Verantwortliche spezielle Zuständigkeiten für Rollen im Datenschutz etablieren (z.B. Mitarbeiter einer Datenschutzabteilung, Datenschutzkoordinatoren etc.). Zur Dokumentation dient ein entsprechendes Organigramm. Wichtig ist hierbei, klare Zuständigkeiten zu definieren und insbesondere im Falle von Koordinatoren für eine fortlaufende vollständige Besetzung zu sorgen. Und auch die Geschäftsführung ist hier gut beraten, den Aufgabenträgern hinreichende Ressourcen – insbesondere Arbeitszeit – zu gewähren.

Als hilfreich erweisen sich in diesem Zusammenhang auch – im Vorgriff auf den Einflussfaktor „WIE“ Prozessmanagement und RACI-Matrix.

Einflussfaktor „WIE“

Der Faktor „WIE“ betrifft zum einen die Prozess-Sicht. Hier kann ein Unternehmen das oben schon erwähnte Prozessmanagement nutzen und so einen effektiven Ablauf von Datenschutzprozessen planen sowie stetig verbessern. Ein Beispiel hierfür wäre der Prozess bei Verletzungen des Schutzes personenbezogener Daten im Sinne von Art 33 DSGVO. Hier kommt es wegen der kurzen Frist zur Meldung an die Datenschutzbehörde auf eine festgelegte und effektive Abarbeitung unter Einbeziehung aller notwendigen Beteiligten an.

Zum anderen betrifft dieser Faktor auch die „Werkzeuge“, welche zur Umsetzung genutzt werden.

Im Hinblick auf die Dokumentationspflicht nach Art 5 II DSGVO, kommt dem Bereich der elektronischen Verwaltung besondere Bedeutung zu. Als Mittel der Wahl bietet sich hier der Einsatz einer Datenschutzsoftware an. Die Pflege von Textvorlagen im Datenschutz (z.B. Standardschreiben an Betroffene etc.) kann hierbei zur Reduzierung des Arbeitsaufwandes beitragen.

Vorhandene Datenschutzorganisation aufgreifen

Bei Nutzung des magischen Dreiecks gilt allerdings auch, dass bereits vorhandene Strukturen im Unternehmen erkannt und sofern möglich genutzt werden sollten. Existiert z.B. bereits ein System zur elektronischen Verwaltung von Unternehmensprozessen, so kann dieses auch für die Dokumentation von Datenschutzprozessen genutzt werden. Die Nutzung vorhandener Strukturen erhöht in der Regel die Akzeptanz des angeflanschten Datenschutzteiles.

Nimmt das Unternehmen sich also die Zeit, um einmal aus dem Alltagstrott auf eine größere Flughöhe zu wechseln und sich der strategischen Aufgabe der Datenschutzorganisation anhand des hier dargestellten magischen Dreiecks zu widmen, so verpufft nicht alle Energie ohne wirklich vorzeigbares Ergebnis. Vielmehr macht sich dies nach einem gewissen Initialaufwand auf Dauer bezahlt.

- Auftragsverarbeitungsvertrag
  Frühjahrsputz: Die 5 größten DatenschutzirrtümerFachbeitrag·20. März 2024
- Abgrenzung zwischen Verantwortlichkeit und AuftragsverarbeitungFachbeitrag·18. Oktober 2023
- AVV online abschließen: Elektronische Signatur erforderlich?Fachbeitrag·18. September 2023
Mehr zum Thema
- Datenschutzbeauftragter
  Folgen von Datenschutzverstößen im AngestelltenverhältnisFachbeitrag·29. Februar 2024
- Verantwortliche sind für die Umsetzung der DSGVO zuständigFachbeitrag·3. November 2023
- Betriebsrat: Unterrichtung und Einsichtnahme vs. DatenschutzFachbeitrag·26. September 2023
Mehr zum Thema
- Datenschutzorganisation
  Die Informationspflichten der DSGVO: Wer, Wann, Worüber, Wie?Fachbeitrag·7. Mai 2021
- Datenschutz umsetzen – Zuständigkeiten klar regelnFachbeitrag·24. Oktober 2018
- Die interne Datenschutzrichtlinie – Tipps zur ErstellungFachbeitrag·11. Oktober 2018
Mehr zum Thema
- Verantwortlicher
  Freelancer und ihre datenschutzrechtliche VerantwortungFachbeitrag·31. Januar 2024
- EuGH zur Einstufung als (gemeinsam) Verantwortlicher qua nationalem RechtUrteil·15. Januar 2024
- Verantwortliche sind für die Umsetzung der DSGVO zuständigFachbeitrag·3. November 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.