So gelingt der Einstieg in den Datenschutz: Ein kompakter Best-Practice-Leitfaden für mehr Ordnung im Datenschutzchaos

Datenschutz – das klingt für viele Organisationen nach lästiger Pflicht. Ein Thema, das irgendwie erledigt werden muss, aber eigentlich niemanden wirklich begeistert. Erschwerend kommt hinzu, dass die gesetzlichen Anforderungen auf viele Organisationen wie ein undurchdringlicher Dschungel wirken: komplexe juristische Begriffe, bürokratische Pflichten, zeitaufwendige Dokumentationen und über allem schwebt die Androhung von Bußgeldern oder anderen Sanktionen. Kein Wunder, dass sich gerade kleinere Organisationen oder solche ohne eigene Datenschutzabteilung fragen: „Wo fangen wir überhaupt an?“

Mit diesem Beitrag liefern wir die Antwort und zeigen Ihnen wie Sie mit einem ersten, aber entscheidenden Schritt den Grundstein für wirksamen Datenschutz legen und nachhaltige Strukturen in Ihrer Organisation aufbauen. Zugleich bildet der Beitrag den Auftakt einer Best-Practice-Reihe, in der wir das komplexe Thema Datenschutz in kleine, überschaubare Einheiten zerlegen. Von ersten Maßnahmen bis hin zu konkreten Werkzeugen und Empfehlungen aus der Praxis für die Praxis und Schritt für Schritt. Unser Ziel: Datenschutz verständlich machen, Komplexität reduzieren und Sie dabei unterstützen, aus einem Pflichtthema funktionierende Prozesse zu entwickeln, die zu Ihrer Organisation passen.

Starten wir also mit dem ersten Schritt: Verantwortlichkeiten klären und Zuständigkeiten schaffen.

Wer kümmert sich eigentlich um was?

Einen wichtigen Grundstein für ein effizientes Datenschutzmanagement bilden klare Verantwortlichkeiten und Zuständigkeiten. Denn ohne definierte Rollen bleiben Aufgaben liegen oder werden unnötigerweise doppelt gemacht.

Aus meiner Erfahrung als Senior Datenschutz-Beraterin hat sich in der Praxis folgende Dreiteilung der Zuständigkeiten besonders bewährt:

1. Die Organisationsleitung

Auch wenn Datenschutz oft als Aufgabe der IT- oder Rechtsabteilung gesehen wird, liegt die Verantwortung bei der Organisationsleitung. Je nach Rechtsform der verantwortlichen Stelle ist dies die Geschäftsführung, der Vorstand oder die Verwaltungsleitung.

Als gesetzliche Vertretung des nach Art. 4 Nr. 7 DSGVO Verantwortlichen trägt sie die Gesamtverantwortung, auch wenn sie Aufgaben intern delegiert oder Externe mit der Umsetzung beauftragt.

Ihre Rolle sollte die Organisationsleitung ernst nehmen und nicht nur für ausreichende Ressourcen, sondern auch für Unterstützung und Sichtbarkeit des Themas Datenschutz sorgen. Zu ihren Aufgaben gehört es beispielsweise darauf zu achten, dass alle Mitarbeitenden, die mit personenbezogenen Daten in Berührung kommen, mit den Vorgaben und Anforderungen der DSGVO und des Datenschutzrechts vertraut gemacht werden. Daneben muss sie sicherstellen, dass umfangreiche datenschutzrechtliche Nachweis- und Rechenschaftspflichten erfüllt werden.

2. Der bzw. die Datenschutzbeauftragte

Neben der Organisationsleitung spielen Datenschutzbeauftrage eine zentrale Rolle, wenn es darum geht, Datenschutz strukturiert, effektiv und rechtssicher umzusetzen. Ihre Benennung ist in vielen Fällen gesetzlich verpflichtend, beispielsweise, wenn eine Organisation im Rahmen ihrer Kerntätigkeit besondere Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten) verarbeitet (vgl. Art. 37 Abs. 1 lit. c DSGVO).

Doch auch wenn keine gesetzliche Pflicht besteht, hat sich die freiwillige Benennung in vielen Organisationen als äußerst sinnvoll erwiesen. Denn Datenschutzbeauftragte bringen nicht nur fachliches Know-how, sondern auch Struktur in datenschutzrelevante Prozesse. Sie unterstützen, beraten und entlasten die Organisationsleitung in Bezug auf die Einhaltung datenschutzrechtlicher Vorgaben und Pflichten und helfen gerade bei komplexen oder haftungsrelevanten Fragestellungen. Dabei agieren sie unabhängig, weisungsfrei und sind zudem gesetzlich zur Verschwiegenheit verpflichtet. Gerade diese formellen Merkmale qualifizieren Datenschutzbeauftragte besonders als neutrale Vertrauenspersonen für Mitarbeitende in datenschutzbezogenen Angelegenheiten.

Um ihre Aufgaben erfüllen zu können, müssen zum*zur Datenschutzbeauftragten benannte Personen über nachgewiesene datenschutzrechtliche Qualifikationen und Fachkenntnisse verfügen. Zudem sollten sie frühzeitig in datenschutzrelevante Entscheidungs- und Informationsprozesse eingebunden werden. Dies betrifft beispielsweise die Anschaffung neuer datenschutzrelevanter Soft- und Hardware, die Auswahl von Dienstleistern, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten, den Abschluss datenschutzrelevanter Verträge oder die Installation von Videoüberwachungssystemen.

3. Datenschutzkoordinator*innen (intern)

Um Datenschutz in der Organisation praktikabel umzusetzen, empfiehlt es sich, zudem interne Datenschutzkoordinator*innen zu bestimmen. Die Funktion ist zwar nicht gesetzlich vorgeschrieben, hat sich jedoch in der Praxis als sehr nützlich erwiesen.

Interne Datenschutzkoordinator*innen dienen innerhalb von Organisationen als erste interne Ansprechpersonen für Datenschutzfragen und bilden die Schnittstelle zwischen Mitarbeitenden, Fachabteilungen und den Datenschutzbeauftragten. In ihrer Funktion bündeln sie beispielsweise interne (Rück-)Fragen, koordinieren die Umsetzung empfohlener Maßnahmen, pflegen datenschutzbezogene Dokumentationen wie Verarbeitungsverzeichnisse oder Auftragsverarbeitungsverträge und achten darauf, dass Datenschutzprozesse kontinuierlich weitergeführt und aktualisiert werden.

Wer die Funktion übernimmt, sollte mit den Grundlagen des Datenschutzrechts vertraut sein, über ein gutes Organisationsverständnis verfügen und idealerweise regelmäßig zum Thema Datenschutz geschult werden.

Fazit: Klarheit schafft Verbindlichkeit

Zusammenfassend lässt sich festhalten, dass der Einstieg in den Datenschutz nicht mit Formularen oder juristischen Definitionen beginnt, sondern mit der Frage: „Wer ist bei uns wofür verantwortlich?“

Eine klare Rollenverteilung zwischen Organisationsleitung, Datenschutzbeauftragten und interner Koordination ist die Grundlage dafür, dass Datenschutz nicht nur formal erfüllt, sondern auch im Alltag gelebt werden kann. Dabei gilt: Je klarer Zuständigkeiten definiert und kommuniziert sind, desto leichter lassen sich Prozesse etablieren, Maßnahmen umsetzen und Haftungsrisiken minimieren.

Konkrete Tipps aus der Praxis für die Praxis:

1.      Erstellen Sie eine klare Zuständigkeitsübersicht.

Wer ist wofür verantwortlich? Wer entscheidet? Wer muss informiert werden? Je klarer diese Regeln sind, desto reibungsloser funktioniert die Zusammenarbeit, insbesondere zwischen Organisationsleitung, Fachbereichen und Datenschutzbeauftragten. Nutzen Sie hierfür gerne unser Muster „Verantwortlichkeiten und Zuständigkeiten“, das Sie an die Bedürfnisse Ihrer Organisation anpassen können.

2.      Benennen Sie eine*n Datenschutzbeauftragte*n – auch freiwillig.

Auch wenn, bspw. aufgrund der Organisationsgröße, keine gesetzliche Pflicht zur Benennung besteht, lohnt sich eine freiwillige Benennung in vielen Fällen. Datenschutzbeauftragte bringen nicht nur Struktur und Fachwissen mit, sondern fungieren auch als unabhängige Ansprech- und Vertrauenspersonen für die Organisationsleitung ebenso wie für Mitarbeitende.

Falls Sie die Funktion extern besetzen möchten, unterstützen wir Sie gerne im Rahmen unserer Dienstleistung als externer Datenschutzbeauftragter mit über 20 Jahren Beratungserfahrung. Soll die Funktion intern übernommen werden, empfehlen wir Ihnen die Datenschutzkurse unserer DSN Akademie, mit denen (zukünftige) Datenschutzbeauftragte die gesetzlich geforderten Qualifikationen und Fachkenntnisse erwerben können.

3.      Benennen Sie eine*n Datenschutzkoordinator*in als interne Schnittstelle und bereiten Sie diese auf ihre Rolle vor.

Um den Datenschutzalltag strukturiert zu organisieren, empfiehlt sich die Benennung einer internen Ansprechperson, insbesondere in Organisationen ohne eigene Datenschutzabteilung. Sie bilden die Schnittstelle zwischen Fachbereichen, Mitarbeitenden und dem Datenschutzbeauftragten, koordinieren interne Abläufe, pflegen relevante Dokumentationen und unterstützen die Umsetzung datenschutzrechtlicher Anforderungen im Arbeitsalltag.

Als Vorbereitung auf die Rolle bieten sich fachspezifische Weiterbildungen, wie die der  DSN Akademie zum*zur geprüften Datenschutzkoordinator*in an. Hier lernen Teilnehmende kompakt und praxisnah, wie sie die Rolle strukturiert und wirkungsvoll gestalten können.

Download: Muster „Verantwortlichkeiten und Zuständigkeiten“