10 Schritte zum Aufbau eines Datenschutzmanagementsystems –Teil 2
Für die Benennung und Zuteilung von Verantwortlichkeiten im Datenschutz muss zuerst die gesetzlichen Anforderungen berücksichtigt werden. In der DSGVO gibt es immer einen „Verantwortlichen“ als juristischer Vertreter der Organisation. Dabei sind die natürlichen oder juristischen Personen mit Entscheidungsgewalt gemeint. Laut der DSGVO heißt es:
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
(Art. 4 DS-GVO)
Für die effektive Umsetzung des Datenschutzes macht es Sinn eine gewisse Verteilung der Verantwortung anzustreben. Dabei sollten Mitarbeiter oder externe Dienstleister mit Befugnissen und Verantwortung betraut werden, um den Datenschutz im Unternehmen zu realisieren. Die Überwachung, Steuerung und Umsetzung des Datenschutzes im Unternehmen kann
durch eine klare Aufgabenverteilung strukturiert werden. Dabei können die Verantwortung auf folgende Parteien verteilt werden:
- den Verantwortlicher / Geschäftsführung
- den Datenschutzbeauftragten
- alle verantwortliche Mitarbeiter im Bereich der Datenverarbeitung
- alle Subunternehmen und Auftragnehmer des Verantwortlichen
Die Verantwortlichkeiten im Datenschutzmanagement teilen sich in verschiedene Bereiche entsprechend den vorgesehenen Aufgaben. Die Zuständigkeiten sollten in klare Positionen und Funktionen getrennt werden. Für Zuteilung der Mitarbeiter zu diesen vorgesehenen Verantwortlichkeiten sollte eine Übersicht der vorhandenen Kompetenzen und Interessen dienen, um eine sinnvolle Zuteilung zu gestalten. Über allem sollte die oberste Leitung bzw. das Top Management stehen, dass die Einhaltung der Anforderungen vorlebt und vorgibt.
Für eine effektive Gestaltung der benötigten Arbeitsschritte sollte es eine klare Aufgabenverteilung geben, die sich an der Organisationsstruktur des Unternehmens orientiert. Anhand dessen ist eine eindeutige Zuordnung der Verantwortlichen zu benötigten Berechtigungen und Weisungsbefugnissen zuerkennen. Diese Art von Aufteilung und struktureller Darstellung der Organisation kann mit Hilfe eines Organigramms sehr gut veranschaulicht werden.
In der Praxis hat sich gezeigt, dass sich eine solche Strukturierung der Unternehmensorganisation am besten in regelmäßigen Besprechungen zu den Punkten persönliche Kompetenzen, äußere Anforderungen und die eigenen Interessen und Affinitäten. Eine reine Zuteilung durch entsprechende Führungskräfte kann eine gute Grundordnung reinbringen, ist aber für die persönliche Einbringung des Mitarbeiters in die vorgesehene Position nicht immer optimal. In diesen Besprechungen kann eine sehr starke Struktur entstehen, wenn sich jeder mit seinen Stärken und persönlichen Interessen an den Aufgabengebieten einbringen kann.