Was sind Datenschutzkoordinatoren?
Gleich vorweg: Eine gesetzlich festgelegte „Stellenbeschreibung“ des Datenschutzkoordinatoren gibt es nicht. Und obwohl weder DSGVO noch das BDSG den Datenschutzkoordinator definiert, möchten wir nachfolgend verdeutlichen, warum es einen Koordinatoren im Unternehmen braucht und weshalb wir auch auf die Nennung einer entsprechenden Person bestehen.
Datenschutzkoordinatoren unterstützen den Verantwortlichen, also das Unternehmen, und den/die Datenschutzbeauftragten im Bereich des Datenschutzes.
Datenschutzkoordinatoren sind die notwendige Schnittstelle zwischen Unternehmen und den Datenschutzbeauftragten. In besonders großen oder verbundenen Unternehmen kann es zudem sinnvoll sein, mehrere Datenschutzkoordinatoren zur Lastenverteilung strategisch einzusetzen.
Die DSGVO sieht in Art. 38 Abs. 2 DSGVO sogar ausdrücklich vor, dass der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen hat.
Auch wenn ein Datenschutzkoordinator ein Grundverständnis vom Datenschutz haben muss, wichtiger sind Kenntnisse über das jeweilige Unternehmen, den etablierten Prozessen, Abläufen sowie der genutzten Infrastruktur.
Welche Aufgaben übernimmt der Koordinator üblicherweise?
Aufgaben, die täglich anfallen können
Übliche Tätigkeiten des Datenschutzkoordinators, die im Allgemeinen anfallen, sind:
- Koordination bei der Wahrung der Betroffenenanfragen, insbesondere bei der Beantwortung von Auskunftsersuchen im Rahmen der Betroffenenrechte gem. Kapitel III der DSGVO.
- Koordination der Beantwortung von Auskunftsanfragen anderer Stellen, beispielsweise der Aufsichtsbehörden, oder der Polizei.
- Kurzfristige Meldung und Begleitung von Datenpannen.
- Datenschutzanfragen von Fachabteilungen sammeln, koordinieren und strukturieren.
- Mitarbeitern wichtige Informationen zum Datenschutz via E-Mail oder Intranet mitteilen. Mindestens ein benannter Ansprechpartner muss daher unsere regelmäßigen Informationen empfangen.
- Überwachung der Umsetzung von Datenschutzvorgaben.
Die ersten vier Punkte betreffen die unternehmensinterne Kommunikation. Der Informationsfluss zwischen dem Datenschutzbeauftragten, den Fachabteilungen und ggf. der Geschäftsführung wird dadurch unterstützt. Insbesondere mit Blick auf Fristen ist ein reibungsloser Ablauf wichtig, dies betrifft vor allem die potenzielle Meldung von Datenpannen bei der Aufsichtsbehörde für den Datenschutz.
Der Datenschutzkoordinator weiß in der Regel besser als der externe Datenschutzbeauftragte, welche Mitarbeiter die richtigen Ansprechpartner sind und wie diese am schnellsten erreicht werden können. Zudem fällt auch die interne Dokumentation zur Erfüllung der Rechenpflicht nach Art. 5 Abs. 2 DSGVO dem Koordinator zu.
Der Datenschutzbeauftragte ist aber auch einen aktiven Datenschutzkoordinator angewiesen. Der Datenschutzkoordinator agiert als Gehilfe des und kann schneller wahrnehmen, ob die Vorgaben vom Datenschutzbeauftragten tatsächlich betriebsintern umgesetzt werden.
Aufgaben, die regelmäßig anfallen
Vor allem zu Beginn, aber auch im Rahmen der laufenden Pflege der notwendigen Nachweise im Rahmen der Rechenschaftspflicht, sind vom Verantwortlichen Aufzeichnungen zu führen. Diese Aufgabe wird regelmäßig an den Datenschutzkoordinator übergeben. Folgende Dokumentationen sollten, z.B. jährlich, bezüglich der Aktualität überprüft werden:
- Verzeichnis über Verarbeitungstätigkeiten, gem. Art. 30 DSGVO
- Verzeichnis über Auftragsverarbeiter, gem. Art. 28 DSGVO
- Unternehmensrichtlinien, wie mit personenbezogenen Daten im Unternehmen umgegangen werden soll
- sonstige Datenschutzdokumente
Hier muss der Koordinator sich ggf. erforderliche Informationen von den Fachabteilungen einholen und mit dem Datenschutzbeauftragten abstimmen. Aber auch die Koordination von internen Datenschutzschulungen für die Mitarbeiter ist notwendig.
Aufgaben, die projektbasiert anfallen
Zuletzt gibt es weitere anlassbezogene Situationen, in denen der Datenschutzkoordinator im Rahmen von Projekten die Schnittstelle zum Datenschutzbeauftragten bilden muss:
- Bei Einführung neuer Verarbeitungstätigkeiten.
- Bei der Unterstützung notwendiger Datenschutz-Folgenabschätzungen.
- Einführung verschiedener, relevanter Dokumentationen.
- Überprüfung, ob Dienstleisterkontrollen notwendig sind.
Der Datenschutzkoordinator bindet den Datenschutzbeauftragten frühzeitig ein und stimmt sich mit diesem ab. Auch hier wird die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO maßgeblich vom Koordinator erfüllt.
Braucht der Datenschutzkoordinators auch Fortbildungen?
Damit der Datenschutz optimal im Unternehmen umgesetzt wird, muss der Datenschutzkoordinator die Vorgänge im Unternehmen kennen und von den Kollegen frühzeitig involviert werden. Zudem muss der Koordinator hinreichend sensibilisiert für den Datenschutz sein. Eine gewisse Grundausbildung im Datenschutz ist also ratsam. Diese Grundlagen zum Datenschutz kann in der Regel durch den Datenschutzbeauftragten vermittelt werden.
Schließlich braucht der Koordinator auch ausreichend Zeit dafür, um die teilweise umfassenden Informationen des Datenschutzbeauftragten lesen und verstehen zu können. Denn meist landen die ersten Rückfragen von Mitarbeitern und Geschäftsführung beim Datenschutzkoordinator.
Hat sich der Arbeitsaufwand für Datenschutz erhöht?
Die Erfüllung der Aufgaben aus dem Datenschutz nehmen immer mehr Zeit in Anspruch. Der Umfang der für den Datenschutz notwendigen Arbeiten ist seit 2018 erheblich gestiegen. Dies liegt an verschiedenen Faktoren. Nachfolgend einige Beispiele:
- mehr Pflichten im Bereich Dokumentation und Rechenschaft aus der DSGVO;
- Aufsichtsbehörden kontrollieren mehr (aufgrund von Beschwerden) und erlassen vermehrt Bußgelder;
- Betroffene kennen ihre Rechte nun besser und üben diese daher auch öfter aus;
- durch diverse Gerichtsurteile wurden die Anforderungen an Informationspflichten und Einwilligungserklärungen erhöht (z. B. bei Cookies);
- die Nutzung von Drittanbietern wird durch immer neue Gerichtsurteile erschwert, gleichzeitig ist der Trend zum Out-Sourcing in Unternehmen ungebrochen;
- Der Brexit (EU-Austritt der UK) wird sich nach der aktuellen Schonfrist zukünftig ebenfalls auswirken und erfordert auch hier, dass Verantwortliche die politische Entwicklung im Auge behalten müssen;
- eigene Mitarbeiter sind verunsichert und fragen lieber einmal mehr als zu wenig.
Bitte ausreichend Zeit einplanen!
Der Datenschutzkoordinator ist das notwendige Bindeglied zwischen dem Unternehmen und dem Datenschutzbeauftragten. Wenn der Datenschutzbeauftragte keine Kenntnisse von den Vorgängen im Unternehmen erhält, kann er das Unternehmen nicht umfassend risikobasiert beraten. Und auch die beste Beratung ist nicht zielführend, wenn im Unternehmen niemand die Umsetzung wirklich vorantreibt.
Wie viel Arbeitszeit hierfür notwendig ist, lässt sich nicht pauschal beziffern, da dies neben den Umfang der Verarbeitungsprozesse mit Personenbezug und der generellen Sensibilisierung im Unternehmen auch von äußeren Faktoren abhängt.
Aus unserer Beratungserfahrung: Die Aufgabe der Datenschutzkoordination braucht Pflege und erledigt sich nicht im Vorbeigehen. Wenn kein zeitliches Budget für diese Aufgabe eingeplant wird, besteht die Gefahr, dass Aufgaben lange unerledigt bleiben und auch die Zufriedenheit der Mitarbeiter leidet.
Zur leichteren Lesbarkeit wurde bei der Verfassung des Textes auf das Gendern verzichtet. Natürlich gibt es Datenschutzkoordinatorinnen. Genau genommen sind geschätzt 2/3 aller Datenschutzkoordinatoren weiblich.