Datenschutz-Organisation

Article

Datenschutz-Organisation

Erster Teil der Artikelreihe: Datenschutz? Aber bitte mit System!

In wenigen Monaten wird die Datenschutz-Grundverordnung (DSGVO) endgültig verbindlich. Für viele Unternehmen ist es noch ein weiter Weg bis zur Compliance. Diese scheitert bisher vor allem an dem Umfang und der Komplexität von internen Veränderungen. Deloitte unterstützt Unternehmen regelmäßig dabei, ihre Datenschutz-Organisation zu restrukturieren oder gänzlich neu aufzubauen. Dabei orientieren sich unsere Experten eng an den rechtlichen Notwendigkeiten und kombinieren sie mit bewährter Managementmethodik.

Was ist eine Datenschutz-Organisation und warum ist sie notwendig?

Als Datenschutz-Organisation bezeichnet man die Aufbauorganisation eines Unternehmens oder einer Unternehmensgruppe, die mit der Durchsetzung von Datenschutz-Vorgaben betraut ist. Sie zieht sich durch sämtliche Ebenen und die Verantwortung für sie liegt direkt bei der Geschäftsführung. Es gibt Rollen, welche dediziert der Datenschutz-Organisation zugeordnet werden können, wie zum Beispiel der Datenschutzbeauftragte sowie Datenschutz-Koordinatoren bzw. Datenschutz-Experten. Darüber hinaus sollte sichergestellt werden, dass Datenschutzaspekte rollenspezifisch in alle Tätigkeiten im Unternehmen integriert werden, die die Verarbeitung personenbezogener Daten beinhalten.

Mit der DSGVO und weiteren rechtlichen Veränderungen, wie zum Beispiel der ePrivacy-Richtlinie, kommen viele neue Verpflichtungen auf Datenverantwortliche zu. Ohne eine effiziente Datenschutz-Organisation wird deren Umsetzung zumindest stark erschwert und somit das Risiko von Datenschutzverstößen und daraus resultierenden Haftungsfällen erhöht.

Grundlegend für die Verpflichtungen der Datenschutz-Organisation ist Artikel 24 (1) DSGVO:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Besonders wichtig sind darin die Worte: „und den Nachweis dafür erbringen zu können(…)“. Mit Blick auf die strengen Nachweispflichten unter der DSGVO besteht insofern neben der Verpflichtung zur Implementierung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen auch die Pflicht, die dahingehende Compliance jederzeit nachweisen zu können. Bei einem Blick auf die Grundsätze der Datenverarbeitung in Artikel 5 DSGVO und den Pflichten als Verantwortlicher aus den Artikeln 24 - 43 DSGVO wird klar, dass diese Nachweiserbringung je nach Art der Datenverarbeitung sehr umfangreich ausfallen kann. So muss ein Datenverantwortlicher beispielsweise nachweisen können, dass alle Daten die vorgehalten werden nach Artikel 5 (1)(b) DSGVO zweckgebunden verarbeitet werden oder eine entsprechende Ausnahme gilt. Diesen Nachweis zu erbringen bedeutet, die Verarbeitungstätigkeiten in sämtlichen Abteilungen einer Organisation mit zu Grunde liegender Rechtsgrundlage und weiteren Pflichtangaben gemäß Artikel 30 DSGVO in einem Verzeichnis von Verarbeitungstätigkeiten festzuhalten und regelmäßig zu überprüfen.

Deloitte Center for Data Privacy
Erfahren Sie mehr dazu auf Deloitte Legal

Wie lässt sich das Thema umsetzen?

Die Umsetzung der Anforderungen an die Datenschutz-Organisation in Unternehmen bedarf aufgrund der Komplexität einer effektiven Struktur mit klar definierten Rollen und Verantwortlichkeiten.

Konzeption und Aufbau der Datenschutz-Organisation

Generell gilt, dass die optimale Datenschutz-Organisation auch von den individuellen Gegebenheiten, insbesondere der Branche, des Geschäftsmodells aber auch der Unternehmensgröße und -kultur, abhängt. Diese Parameter gilt es zunächst zu analysieren und zu bewerten, um nicht eine zwar formalen Kriterien entsprechende, in der Praxis jedoch nicht effektiv funktionierende Datenschutz-Organisation zu etablieren.

In einem ersten Schritt sollten entlang der Aufbauorganisation des Unternehmens relevante Bereiche, Abteilungen oder Teams identifiziert werden, bei denen in ihren Tätigkeiten eine Relevanz für Datenschutz besteht. Je nach Umfang und Kritikalität der Verarbeitungstätigkeiten in den Bereichen wird eine angemessene Abdeckung durch einen lokalen Datenschutz-Koordinator festgelegt.

 

Rollen und Verantwortlichkeiten

Innerhalb der Datenschutz-Organisation werden verschiedene Rollen und Verantwortlichkeiten definiert, die in festgelegten Prozessen miteinander agieren. Hierzu zählen neben der Geschäftsführung und dem Datenschutzbeauftragten auch zweckmäßigerweise der „Unterbau“ des Datenschutzbeauftragten, die Datenschutzkoordinatoren.

  • Der Datenschutzbeauftragte

    Dem oder der Datenschutzbeauftragten kommen sowohl im Datenschutz-Council (s. hierzu unten) als auch in der Datenschutz-Organisation eine Sonderrolle zu. Neben der generellen Tätigkeit als Berater in Datenschutzfragen wirkt sich insbesondere der Unabhängigkeitsgrundsatz in Artikel 38 DSGVO und die Position als Kontakt der Aufsichtsbehörden in Artikel 39 DSGVO auf die Stellung des Datenschutzbeauftragten aus. Auch die Tatsache, dass Datenschutzbeauftragte direkt an die Geschäftsführung berichten versetzt sie in eine gehobene Position. Zu den Aufgaben des Datenschutzbeauftragten zählen die Unterrichtung und Beratung der Geschäftsführung und der Mitarbeiter hinsichtlich ihrer Pflichten und die Überwachung und Beratung bei Datenschutzfolgeabschätzungen gemäß Artikel 35 DSGVO. Bei der Ausgestaltung und gegebenenfalls Kombination mit anderen Funktionen muss sichergestellt werden, dass es keinen Interessenskonflikt bei der Ausübung der Tätigkeit als Datenschutzbeauftragter auftritt.
  • Datenschutzkoordinatoren

    Im Idealfall werden Datenschutzkoordinatoren bestimmt und ausgebildet, die dann in jedem relevanten Unternehmensteil verortet sind, dem Datenschutzbeauftragten berichten und als sein verlängerter Arm in die jeweiligen Fachabteilungen und vor Ort wirken. Dies führt zu einer schnelleren Akzeptanz von Datenschutz als „Normalität“ und ermöglicht eine Beantwortung von Datenschutzthemen direkt vor Ort. Fachabteilungen können Standard-Fragestellungen direkt vor Ort mit dem Datenschutzkoordinator klären, wodurch ein Engpass für die Beantwortung von Anfragen beim zentralen Datenschutzbeauftragten verhindert werden kann. Die Verteilung und der Aufwand je Datenschutzkoordinator hängt davon ab, welche Verarbeitungstätigkeiten in den jeweiligen Verantwortungsbereichen durchgeführt werden.

    Gemeinsam mit dem Datenschutzbeauftragten kommt den Datenschutzkoordinatoren in den einzelnen Abteilungen und Unterabteilungen eine besondere Aufgabe zu. Er oder sie muss sicherstellen, dass Datenschutz-Compliance gewährleistet wird. Zudem sollten Datenschutzkoordinatoren aktiv in Datenschutzprozessen wie bei Datenschutz-Folgenabschätzungen oder Privacy by Design unterstützen. Im Fall der Fälle sollten sie eventuelle Verstöße oder mögliche Konflikte ohne Verzögerung an den Datenschutzbeauftragten und das Datenschutz-Council (s. hierzu unten) melden. Zeitgleich müssen die Datenschutzkoordinatoren als Botschafter des Datenschutzes fungieren und eine Datenschutzkultur fördern die so im gesamten Unternehmen verankert wird. Während das Datenschutz-Council und die Geschäftsführung die strategische Ausrichtung des Datenschutzes festlegen, sollen die Koordinatoren in der Breite der Organisation wirken. Dabei dienen sie auch als erster Anlaufpunkt für Kollegen mit Datenschutzfragen oder -bedenken. Konkret können die Datenschutzkoordinatoren auch beauftragt sein das Verarbeitungsverzeichnis gemäß Artikel 30 DSGVO für ihren Verantwortungsbereich zu pflegen, Informationen für den Datenschutzbeauftragten einzuholen, die Einhaltung von Richtlinien und Arbeitsanweisungen zum Datenschutz sicherzustellen oder bei Datenschutz-Audits unterstützen. Je nach Umfang der Aufgaben müssen Datenschutzkoordinatoren mehr oder weniger Datenschutz-Expertise vorweisen können. Bei leichteren Aufgaben sind betriebsinterne Weiterbildungen unter Umständen ausreichend. Bei komplexeren Organisationen oder Einsatzbereichen, wie z.B. der Produktentwicklung, sollten Datenschutzkoordinatoren ebenfalls über eine angemessene Ausbildung und entsprechendes Fachwissen verfügen.
  • Geschäftsführung

    Die Geschäftsführung ist für die Erarbeitung und Inkraftsetzung einer Datenschutzstrategie verantwortlich. Die Datenschutzstrategie sollte im besten Fall aus der Unternehmensstrategie abgeleitet werden. Dabei muss zwischen Datenschutzstrategie und Datenschutzumsetzung unterschieden werden. Eine Datenschutzstrategie enthält vor allem Leitlinien, Bekenntnisse und eine grundsätzliche Richtungsvorgabe sowie die Bedeutung von Datenschutz im Geschäftsmodell des Unternehmens. 

Abbildung 1: Schematischer Aufbau einer Datenschutz-Organisation

  • Datenschutz-Council

    Diese Datenschutzstrategie der Geschäftsführung wird dann von einem Gremium, zum Beispiel einem Datenschutz-Council, in konkrete Richtlinien übertragen, die sich an der aktuellen strategischen Ausrichtung des Unternehmens orientieren aber stärker auf die einzelnen Abteilungen und das operative Tagesgeschäft zugeschnitten sind. Diese Richtlinien werden wiederum in konkrete Handlungsanweisungen verarbeitet, die dann von den Datenschutzkoordinatoren in die Abteilungen und damit in die Breite getragen werden.

    Ein Datenschutz-Council besteht auf strategischer Ebene in der Regel aus dem Datenschutzbeauftragten, dem Bereich Informationssicherheit (CISO), der Rechtsabteilung und eventuell weiteren Stakeholdern, wie zum Beispiel dem Bereich Data Governance. Auf operativer Ebene kommen entsprechend die Datenschutzkoordinatoren hinzu. Über die Zusammenlegung von Rollen und Gremien zu Datenschutz und Informationssicherheit können sinnvolle Synergien erzielt werden. Dem Datenschutz-Council liegt eine eigene Geschäftsordnung zugrunde, die dessen Organisation und Zusammenarbeitsmodell festlegt. Darin werden Verantwortlichkeiten, Aufgaben, Hierarchien und Informationswege festgelegt. Eine solche Geschäftsordnung gibt sich das Datenschutz-Council in der Regel bei ihrer konstituierenden Sitzung selbst.