Datenschutzkoordinator im Unternehmen – Rechte, Pflichten und der Unterschied zum Datenschutzbeauftragten
13.07.2023 | J. Morelli – Online Redaktion, Forum Verlag Herkert GmbH
Datenschutzbeauftragter oder Datenschutzkoordinator, das ist hier die Frage. Beide Positionen können zwar von ein und derselben Person besetzt sein, aber oft gibt es entweder einen Datenschutzbeauftragten oder einen Datenschutzkoordinator, der primär mit externen Datenschutzbeauftragten kommuniziert. Immer mehr setzt sich jedoch bei größeren Unternehmen die Kombination aus beiden durch. Wie eine derartige Datenschutzorganisation aussehen könnte und was die Vor- und Nachteile sind, lesen Sie in unserem Fachartikel.Inhaltsverzeichnis
- Dezentraler Datenschutz: Organisationsmodell DSB mit Datenschutzkoordinatoren
- Projektbezogener Datenschutz: Koordinator stellvertretend für DSB
- Aufgaben, Rechte und Pflichten eines Datenschutzkoordinators
Dezentraler Datenschutz: Organisationsmodell DSB mit Datenschutzkoordinatoren
Gängige Praxis ist dieses Datenschutzmodell bei öffentlichen Stellen, die wiederum über Zweigstellen verfügen. Hier kann gemäß Art 37. Abs. 3 DSGVO ein gemeinsamer Datenschutzbeauftragter bestellt werden, der mit Datenschutzkoordinatoren in den einzelnen Niederlassungen zusammenarbeitet. Die wichtigsten Faktoren bei derartigen Datenschutzstrukturen sind die betriebseigene Organisation und Größe. Denn die DSGVO-Ansprüche an den Datenschutzbeauftragten und den betrieblichen Datenschutz müssen dabei umfassend gewährleistet sein. Wenn dies der Fall sein sollte, wäre es rechtlich kein Problem (Art. 37 Abs. 2 und 3 DSGVO), auch eine externe Benennung des übergeordneten Datenschutzbeauftragten durchzuführen. Dementsprechend wären die Datenschutzkoordinatoren eigene Mitarbeiter, der verantwortliche Datenschutzbeauftragte jedoch extern.
Operative Entlastung des Datenschutzbeauftragten
Spätestens im Schadensfall ist schnelles und organisiertes Reagieren unabdingbar. Bei größeren Unternehmen können z. B. die Beauskunftung der Betroffenen Personen (Informationspflicht), die Dokumentation des Verfahrens (Dokumentationspflicht), die Meldung (Meldepflicht) und Schutz- sowie Reparaturmaßnahmen nicht alleine von einem Datenschutzbeauftragten erledigt werden. Würde dann erst in einem derartigen Fall ad hoc auf Datenschutzkoordinatoren zurückgegriffen werden, stünden die erfolgreiche Bewältigung und DSGVO-konformes Vorgehen unter einem schlechten Stern.
Betroffenenanfragen
Zur Bewältigung einer großen Anzahl von Betroffenenanfragen ist es in größeren Unternehmen gang und gäbe, dass elektronische Formate durch direkten Kontakt mit der betroffenen Abteilung ergänzt werden. Hier kann es einen Datenschutzkoordinator geben, da ihm wichtige Insights zur Panne, zum Verstoß und zu den Kundendaten selbst vorliegen und er schnell und regelkonform reagieren kann. Auch in puncto Rechenschaftspflicht (Art. 5 abs. 2 DSGVO) kann der Datenschutzkoordinator die Dokumentation aller datenschutzrelevanten Vorgängen übernehmen und gebündelt an den internen oder externen Datenschutzbeauftragten weitergeben.
Kontrollfragen für Datenschutzkoordinatoren, eine Checkliste
Um die Arbeit der Datenschutzkoordinatoren in Sachen Betroffenenanfragen zu vereinfachen, bietet sich der Einsatz einer Kontrollfragen-Checkliste an. Eine abgespeckte Variation könnte, wie folgt, aussehen:
❏ | Gibt es verbindliche Vorgaben für den Umgang mit Auskunftsanfragen von Betroffenen? |
❏ | Wurde das Verfahren bzw. der Prozess auf die Anforderungen der DSGVO, v.a. im Hinblick auf die zeitlichen Vorgaben überprüft? |
❏ | Erfolgt die Beantwortung von Betroffenenanfragen auf Basis von standardisierten Vorlagen bzw. Textbausteinen und sind dort die Pflichtinformationen nach DSGVO enthalten? |
❏ | Ist bei der Verwendung von elektronischen Formaten btw. bei Nutzung eines Fernzugangs sichergestellt, dass der unbefugte Zugriff durch Dritte auf Inhalte der Auskunft wirksam verhindert wird? |
❏ | Ist sichergestellt, dass die Geltendmachung von gesetzlichen Ausnahmen und Einschränkungen der Betroffenenauskunft intern dokumentiert wird? |
❏ | Ist bei einer dezentralen Umsetzung der Betroffenenauskunft, d. h. unmittelbar durch die Fachbereiche, eine (zentrale) Unterstützung sichergestellt? |
❏ | Sind die Rechenschafts- und Nachweispflichten gem. Art. 5 Abs. 2 DSGVO ("Accountability") gewährleistet? |
Produktempfehlung
Diese Checkliste ist Teil des Buches „Datenschutz 2024“. Darin werden alle relevanten Gesetzesgrundlagen auf europäischer und nationaler Ebene zusammengefasst und kommentiert. Denn nur wenn die Datenschutzbeauftragten im Datenschutzrecht – aber auch im Bereich der IT-Sicherheit – informiert bleiben, können kostenintensive Fehler vermieden werden.
Projektbezogener Datenschutz: Koordinator stellvertretend für DSB
Auch oder gerade bei Unternehmen mit bestehender Datenschutzorganisation kommt häufig dann ein Datenschutzkoordinator ins Spiel, wenn es sich um größere Projekte handelt, die aufgrund ihrer Struktur und Prozesse individuelle und von der Norm abweichende Datenschutzansprüche aufweisen.
→ Dabei nimmt der Datenschutzkoordinator eine Schnittstelle zwischen Datenschutzbeauftragtem und Abteilungen oder Tochtergesellschaften ein.
Kreativität ist gefragt
Bei der projektbezogenen Arbeit des Datenschutzkoordinators ist vor allem eines wichtig: Kreativität. Denn innovative Produkte bringen oft bislang unerprobte Datenschutzabläufe mit sich. So z. B. wenn ein Unternehmen von analog auf digital umstellt, neue Kundenplattformen anstrebt oder neue Werbekanäle in Betracht zieht.
→ Der rechtssichere Umgang mit personenbezogenen Daten ist oft ein entscheidender Faktor für den Erfolg eines Projekts (vgl. https://notos-xperts.de/de/datenschutz/datenschutzberatung/datenschutzkoordinator/).
Aufgaben, Rechte und Pflichten eines Datenschutzkoordinators
Vorweg muss erwähnt werden, dass der Begriff des Datenschutzkoordinators nicht explizit in der Datenschutz-Grundverordnung vorkommt. Das wiederum bedeutet, dass stets der Datenschutzbeauftragte die Verantwortung für die Handlungen der Datenschutzkoordinatoren trägt. Schwierig wird die Sache dann, wenn anstelle eines internen ein externer Datenschutzbeauftragte tritt und Handlungen der unternehmenseigenen Datenschutzkoordinatoren zu Schadensfällen führen. Grundsätzlich gilt hier die Einzelfallthese, die es zwingend notwendig macht, situationsbezogen zu beurteilen.
→ Bei Unsicherheit in Bezug auf die Haftung von Datenschutzkoordinatoren ziehen Sie bitte bereits im Vorfeld der Bestellung einen Fachanwalt zu Rate.
Schulung
Bevor jedwede datensensible Arbeit durchgeführt werden kann, müssen die Datenschutzkoordinatoren geschult und/oder unterweisen werden. Sinnvoll ist es an dieser Stelle für Unternehmen, die Personen in Frage gleich einer Fortbildung zum Datenschutzbeauftragten zu unterziehen, damit in der Zukunft die Möglichkeit bestünde, die Datenschutzorganisation zu erweitern.
In nur 3 Tagen qualifizieren Sie mit „Betriebliche/r Datenschutzbeauftragte/r“ Ihre Mitarbeiter zum kompetenten Datenschutzverantwortlichen. Rechtssicher und mit maximalem Praxisbezug gehört dieser Zertifikats-Lehrgang seit Jahren zu den beliebtesten Fortbildungen der AKADEMIE HERKERT.
Vorteil
Vor allem wenn es um die Verarbeitung von personenbezogenen Kunden- und Beschäftigtendaten geht, können Datenschutzkoordinatoren als Teil der jeweiligen Abteilung effektiver und umfassender agieren als ein übergeordneter Datenschutzbeauftragter, der in diesen Fällen wenige Anknüpfungspunkte zum operativen Geschäft mitbringt.
Nachteil
Durch den Einsatz von Datenschutzkoordinatoren steigt die Qualität des unternehmenseigenen Datenschutzes und verringern sich die möglichen Fehler- und Schadensquellen. Jedoch muss an dieser Stelle gesagt sein, dass die Datenschutzkommunikation deutlich komplexer wird, was bei mangelhaft vorliegender Kommunikationsstruktur zu einem größeren Problem führen kann. Nicht zuletzt deshalb greifen Unternehmen nicht nur bei den Datenschutzbeauftragten, sondern auch bei der Datenschutzkoordination auf externe Unterstützung zurück.