Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich für 2018 zu wappnen. Im zweiten Teil widmen sich die Experten den unterschiedlichen Verantwortlichkeiten und Aufgaben nach der DSGVO.

VERANTWORTLICHKEITEN UND AUFGABEN

Wer im Unternehmen hat welche Verantwortlichkeiten und Aufgaben? Der Praxisleitfaden listet diese genau auf und ordnet sie dabei den Positionen im Unternehmen zu: Fachabteilung, Mitarbeiter, der Datenschutzbeauftragte usw.
So trägt beispielsweise die „Leitung des Unternehmens (AG-Vorstand, Vereinsvorstand, Geschäftsführung etc.) bzw. der öffentlichen Stelle (…) die Gesamtverantwortung für den Datenschutz und damit auch die Verantwortung für die Umsetzung der DS-GVO.“ Den Fachabteilungen hingegen obliegt die „Verantwortung für die Vermeidung datenschutzrechtlicher Risiken durch Prozess-, Produkt- und Technikgestaltung, d.h. privacy by design/default, Löschkonzept usw.“  Aber auch jeder Mitarbeiter ist gefragt: „Vertrautmachen mit internen Regelungen und gesetzlichen Vorschriften sowie Einhaltung derselben (z.B. hinsichtlich Eskalationsmodellen bei Datenpannen)“ liegt in der Verantwortung jedes einzelnen.

DATENSCHUTZMANAGEMENT

Die DSGVO verfolgt zur Organisation des Datenschutzes ein bestimmtes Leitbild, dass der Praxisleitfaden in 9 Punkten umreisst: „

1. Die DS-GVO setzt auf – etablierte – Managementsysteme, die bereits im BDSG angelegt sind und schärft diese.
2. Art. 24 DS-GVO definiert die Organisationspflichten im Sinne des etablierten PDCA (Plan– Do–Check–Act)-Zyklus.
3. Grundsätzlich soll das Datenschutzmanagement/die Datenschutzorganisation im Bereich der Unternehmensorganisation angesiedelt sein und ist Aufgabe des gesamten Unternehmens.
4. Die Kontrolle [engl. audit] des Datenschutzes in der Phase C – Check ist durch das Unternehmen intern sicherzustellen (z. B. Internes Kontrollsystem (IKS), Compliance-Organisation).
5. (Externe) Überwachung [engl. monitoring] erfolgt durch die Aufsichtsbehörden oder (bei Zertifizierung/Verhaltensregeln) durch Auditoren – und auch durch die Betroffenen.
6. Durch Datenschutzbeauftragte muss die Organisation unterstützt (Beratung, Anknüpfungspunkt ist insbesondere die Phase P – Plan) und überwacht werden, insbesondere im Hinblick auf die Funktionalität des internen Kontrollsystems.
7. Im Bereich der Überwachung stellt der Datenschutzbeauftragte zugleich auch eine eigenständige ergänzende Überwachung zur Aufsichtsbehörde dar.
8. Insbesondere die Überwachung durch den Datenschutzbeauftragten erfolgt risikoorientiert.
9. Keine Garantenstellung des Datenschutzbeauftragten besteht durch Beratung, insbesondere im Rahmen der Phase P – Plan – und die Überwachung, insbesondere in Anknüpfung an die Phase C – Check. Die (Umsetzungs-) Verantwortung im Rahmen des vollständigen PDCA-Zyklus liegt bei der verantwortlichen Stelle.“