Die Suche nach externen Datenschutzbeauftragten ist aus meiner Erfahrung immer wieder mit einer falschen Erwartungshaltung bzgl. dessen Aufgaben verbunden. Insbesondere kleinere Unternehmen denken häufig, der externen Datenschutzbeauftragte würde die Compliance zur DSGVO herstellen und pflegen.

Der Datenschutzbeauftragte ist Berater

Dabei hat es mit der Einführung der DSGVO eine klare Abgrenzung der Tätigkeiten des Datenschutzbeauftragten gegeben, die z.B. die bisherige Unterstützung im operativen Bereich zur Pflege des Verarbeitungsverzeichnisses nicht mehr enthält. Die nach Artikel 39 DSGVO aufgeführten Aufgaben sind primär beratender und prüfender Natur.

Der Datenschutzbeauftragte behebt daher die von ihm identifizierten Risiken nicht selber, sondern macht Vorschläge für eine Umsetzung. Die Umsetzung obliegt in allen Punkten dem Verantwortlichen d.h. der Unternehmensleitung.

Würde der Datenschutzbeauftragte tatsächlich die von ihm gefundenen Sachverhalte operativ umsetzen, so würde dies im schlimmsten Fall im Widerspruch zu seinem Beratungs- und Prüfauftrag stehen, denn dann würde er sich ja selber prüfen.

Der Datenschutzkoordinator unterstützt die operative Umsetzung

Um das Thema sorgfältig anzugehen ist es daher sehr empfehlenswert, einen internen Datenschutzkoordinator zu benennen. Diese Rolle beinhaltet keine rechtlichen Hoheiten im Sinne der DSGVO oder des BDSG (neu), dient aber allen Mitarbeitern und dem Datenschutzbeauftragten als zentrales und operatives Bindeglied in der Kommunikation.

Diese Datenschutzkoordinator sollte auf der einen Seite alle Themen, die mit Datenschutz zu tun haben bündeln und bei Bedarf den Datenschutzbeauftragten hinzuziehen. Ebenso ist diese Rolle ideal geeignet, um sämtliche Aktivitäten des Unternehmens im Rahmen der Rechenschaftspflicht zu dokumentieren. Im Gegenzug kann diese Rolle dazu genutzt werden, operative Tätigkeiten, die sich aus einer Analyse und Beratung des Datenschutzbeauftragten ergeben umzusetzen.

Die Erfahrung zeigt, dass eine Umsetzung des Datenschutzes in einem Unternehmen deutlich besser funktioniert, wenn es neben einem externen Datenschutzbeauftragten mindestens auch einen internen Datenschutzkoordinator gibt.