Viele Unternehmen setzen neben dem Datenschutzbeauftragten auch sog. Datenschutzkoordinatoren zur internen Umsetzung der DSGVO-Pflichten ein. Deren zeitliches Kontingent ist sehr unterschiedlich, daher sollen in diesem Beitrag ein paar Hinweise zur zeitlichen Ressourcenplanung erfolgen.
Der Inhalt im Überblick
Was sind Datenschutzkoordinatoren?
Eine gesetzliche Definition gibt es nicht, da weder die DSGVO noch das BDSG den Begriff „Datenschutzkoordinator“ kennen.
Datenschutzkoordinatoren unterstützen die verantwortliche Stelle und den/die Datenschutzbeauftragten (DSB) im Bereich des Datenschutzes. Die gegenwärtige Rechtslage normiert hierzu in Art. 38 Abs. 2 DSGVO sogar ausdrücklich, dass die verantwortliche Stelle den DSB bei der Erfüllung seiner Aufgaben zu unterstützen hat.
Insbesondere beim Einsatz von externen DSB sind Datenschutzkoordinatoren die notwendige Schnittstelle zwischen Unternehmen und DSB. Aber auch bei besonders großen oder verbundenen Unternehmen ist es grundsätzlich sinnvoll, den Datenschutz nicht nur auf den Schultern eines DSB abzuladen, sondern Datenschutzkoordinatoren zur Lastenverteilung einzusetzen.
Sie verfügen in der Regel über ein gewisses Maß an Fachkunde. Wichtig ist allerdings auch, dass Datenschutzkoordinatoren mit dem jeweiligen Unternehmen und seinen Prozessen, Abläufen sowie seiner Infrastruktur eingehend vertraut sind.
Welche Aufgaben übernimmt der Koordinator üblicherweise?
Bereits in der Vergangenheit haben wir allgemein über die Stellung, Aufgaben sowie Vor- und Nachteile des Datenschutzkoordinators berichtet. Nachfolgend soll nun noch mehr auf die zeitlichen Aspekte eingegangen werden.
Aufgaben, die täglich anfallen können
Im sog. Tagesgeschäft des Koordinators können folgende Aufgaben täglich auftauchen:
- Koordination der Beantwortung von Betroffenenanfragen (Auskunft, Löschung, Widerspruch etc.)
- Koordination der Beantwortung von Auskunftsanfragen von Dritten (z. B. Polizei)
- Begleitung der Bewältigung von Datenpannen
- Datenschutzanfragen von Fachabteilungen
- Mitarbeitern wichtige Informationen zum Datenschutz via E-Mail oder Intranet mitteilen
- Überwachung der Umsetzung von Datenschutzvorgaben
Bei den ersten vier Punkten geht es vor allem darum, den Informationsfluss zwischen DSB, Fachabteilungen und ggf. Geschäftsführung zu gewährleisten. Insbesondere mit Blick auf Fristen ist ein reibungsloser Ablauf wichtig. Der Datenschutzkoordinator weiß in der Regel besser als der externe DSB, welche Mitarbeiter die richtigen Ansprechpartner sind und wie diese am schnellsten erreicht werden können. Zudem fällt auch die interne Dokumentation zur Erfüllung der Rechenpflicht nach Art. 5 Abs. 2 DSGVO dem Koordinator zu.
Bei der letzten Aufgabe geht es vor allem darum, dass der Koordinator ähnlich einem verlängerten Arm des externen DSB agiert und schneller wahrnimmt, ob die Vorgaben vom DSB tatsächlich betriebsintern umgesetzt werden.
Aufgaben, die regelmäßig anfallen
Daneben gibt es Themen, die zwar nicht täglich, aber dennoch mit einer gewissen Regelmäßigkeit z. B. von einem Jahr anfallen. Dies sind alle Tätigkeiten, bei denen die Dokumentationen auf Aktualität hin überprüft werden müssen, z. B.
- Verzeichnis über Verarbeitungstätigkeiten
- Verzeichnis über Dienstleister
- datenschutzrechtliche Prozessbeschreibungen wie der Umgang mit Betroffenenanfragen u. Ä.
- sonstige Datenschutzdokumente
Hier muss der Koordinator sich ggf. erforderliche Informationen von den Fachabteilungen einholen und mit dem DSB abstimmen. Aber auch die Koordination von internen Datenschutz-Schulungen für die Mitarbeiter läuft in der Regel über diesen.
Aufgaben, die projektbasiert anfallen
Schließlich gibt es Aufgaben, deren Arbeitsaufwand größer ist und die daher im Rahmen von Projektarbeit begleitet werden. Hierzu gehören u. a.:
- Einführung neuer Verarbeitungstätigkeiten
- Erstellung von Löschkonzept
- Unterstützung bei Datenschutz-Folgenabschätzungen
- Einführung verschiedener, datenschutz-relevanter Dokumentationen
- Überprüfung des Bedarfs von Dienstleisterkontrollen
Der Datenschutzkoordinator bindet den DSB frühzeitig ein und stimmt sich mit diesem ab. Auch hier wird die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO maßgeblich vom Koordinator erfüllt.
Hat sich der Arbeitsaufwand für Datenschutz erhöht?
Diese Frage kann man eindeutig mit „ja“ beantworten. Der Arbeitsumfang für den Datenschutz ist seit 2018 erheblich gestiegen. Nachfolgend sollen ein paar Gründe hierfür genannt werden:
- mehr Pflichten im Bereich Dokumentation und Rechenschaft aus der DSGVO;
- Aufsichtsbehörden kontrollieren mehr (aufgrund von Beschwerden) und erlassen vermehrt Bußgelder;
- Datenschutz ist im Bewusstsein der gesamten Bevölkerung gerückt, sodass auch mehr kritisch hinterfragt wird;
- Betroffene kennen ihre Rechte nun besser und üben diese daher auch öfter aus;
- die Anzahl von Klagen auf Schadensersatz durch Betroffene ist ebenfalls gestiegen;
- durch diverse Gerichtsurteile wurden die Anforderungen an Informationspflichten und Einwilligungserklärungen erhöht (z. B. bei Cookies);
- seit 2019 gilt das EU-US-Privacy-Shield nicht mehr, sodass mehr vertragliche, technische und organisatorische Maßnahmen ergriffen werden müssen;
- Brexit von UK wirkt sich dieses Jahr ebenfalls aus und erfordert auch hier, dass Verantwortliche die politische Entwicklung im Auge behalten müssen;
- eigene Mitarbeiter sind verunsichert und fragen lieber einmal mehr, als zu wenig.
Und wie sieht es mit der Zeit für Fortbildung des Datenschutzkoordinators aus?
Damit der Datenschutz optimal im Unternehmen umgesetzt wird, muss der Datenschutzkoordinator einerseits die Vorgänge im Unternehmen gut kennen und selbst frühzeitig involviert werden. Andererseits muss der Koordinator selbst hinreichend sensibilisiert für den Datenschutz sein. Die Grundlagen zum Datenschutz muss er also in und auswendig kennen. Falls nicht, sollte dem Koordinatoren die Möglichkeit einer entsprechenden Fortbildung oder Selbststudium eingeräumt werden.
Juristische (Grund-) Kenntnisse und technisches Grundverständnisse sind zwar nicht zwingend erforderlich, können aber ebenfalls sehr hilfreich sein.
Schließlich braucht der Koordinator auch ausreichend Zeit dafür, um die teilweise umfassenden Informationen des Datenschutzbeauftragten lesen und verstehen zu können. Denn meist landen die ersten Rückfragen von Mitarbeitern und Geschäftsführung beim Datenschutzkoordinator.
Bitte ausreichend Zeit einplanen!
Der Datenschutzkoordinator ist letztlich das notwendige Bindeglied zwischen dem Unternehmen und dem externen DSB. Wenn der DSB keine Kenntnisse von den Vorgängen im Unternehmen erhält, dann kann er das Unternehmen nicht umfassend risikobasiert beraten. Andersherum nützt die beste Beratung nichts, wenn es intern niemanden gibt, der die Umsetzung wirklich vorantreibt.
Dieser Beitrag gibt nur einen kleinen Überblick davon, welchen Aufgaben der Datenschutzkoordinator tagtäglich gegenübersteht. Wie viel Arbeitszeit hierfür notwendig ist, lässt sich nicht pauschal beziffern, da dies neben den Umfang der Verarbeitungsprozesse mit Personenbezug und der generellen Sensibilisierung im Unternehmen auch davon abhängt, wie häufig Arbeitsprozesse geändert werden.
Aus meiner Beratungserfahrung kann ich allerdings mitteilen, dass Mitarbeiter die Datenschutzkoordination nicht mal so nebenher übernehmen können. Falls dies doch zugemutet wird, besteht die Gefahr, dass Aufgaben lange unerledigt bleiben und auch die Zufriedenheit der Mitarbeiter leidet.
Vielen Dank für diesen mal wieder hervorragnden, praxiorientierten Beitrag. Viele Untrenehmen/Unternehmer erkennen die Notwendigkeit der Datenschutz-Compliance immer noch nicht an und verharren in der Sparmentalität. Dabei ist dies kein teueres und personalintensaives Bürokratiemonster, sondern intelligent eingesetzt zusätzlich zur Rechtssicherheit auch ein wirksames Marketinginstrument. Also eher als Investition zu betrachten denn als unproduktive Gemeinkosten. Die Argumente helfen bei Mandatsgesprächen