Viele Unternehmen benennen einen Datenschutzbeauftragten und sehen damit das Thema Datenschutz als personell erledigt an. Und auch wenn der Datenschutzbeauftragte nach Art. 37 DSGVO Kenntnisse in der Datenschutzpraxis und dem Datenschutzrecht haben muss (in der Praxis oft als technische und rechtliche Kenntnisse aufgefasst), ist er kein Experte in allen Bereichen. Hier kommt das Datenschutzteam (DST) ins Spiel, welches in diesem Blog genauer betrachtet wird.
Das Datenschutzteam
Die DSGVO sieht die Einrichtung eines Datenschutzteams nicht vor, jedoch hat sich in der Praxis gezeigt, dass es sich hierbei um eine sinnvolle Ergänzung für das Unternehmen handelt. Dabei gibt es verschiedene Stufen der Integration des Teams in die Abläufe des Unternehmens. Doch wer ist Mitglied im DST und welche Kompetenzen werden dem Team eingeräumt?
Mitglieder im Datenschutzteam
Das Datenschutzteam ist ein rein funktionelles Team, welches Schlüsselpositionen des Unternehmens in einem Team vereint. Aus der Praxis haben sich daher Zusammensetzungen bewährt, welche aus folgenden Personen bestanden, wobei darauf zu achten ist, dass jeweils eine Vertretungsregel getroffen wird. Diese regelt, wie bei Krankheit, Urlaub oder sonstiger Abwesenheit verfahren wird.
Mitglied im DST ist:
- Verantwortlicher für den Datenschutz
- Datenschutzbeauftragter
- Datenschutzkoordinatoren
- Leitung IT
- Leitung Legal
- Leitung PR*
- Leitung betroffene Abteilung*
- Leitung Customer Management*
- Leitung Einkauf*
* jeweils bei einem Datenschutzvorfall oder wenn Abteilung anderweitig betroffen
Es empfiehlt sich, dass ein gemeinsames E-Mail-Postfach eingerichtet wird, womit das ganze Team jederzeit erreicht werden kann. Dieses ist intern bekannt zu geben und getrennt vom Postfach des Datenschutzbeauftragten zu führen. Es bietet sich folgendes Format zum Beispiel an: [email protected]. Aus Datenschutzgründen sollte es sich dabei um keine Verteilerliste, sondern um ein eigenes Postfach handeln.
Im Falle eines Datenschutzvorfalles ist darauf zu achten, dass die Meldefrist 72 Stunden beträgt. Es muss daher sichergestellt werden, dass das Datenschutzteam schnell genug zusammentreten kann. Wie in einem solchen Fall vorzugehen ist, haben wir hier zusammengefasst: Datenschutzpanne – Keine Panik!
Kompetenzen des DST
Welche Kompetenzen dem Datenschutzteam zugesprochen werden, hängt ab von der Tiefe der Integration des Teams im Unternehmen und in den Prozessen. Nachfolgend betrachten wir zwei mögliche Integrationen. Dabei handelt es sich zuerst um die niedrigste Integrationsstufe, wo das DST als Notfallteam agiert und die höchste Stufe als Kontrollorgan. Zwischenstufen sind denkbar und die Stufe der Einbindung in das Unternehmen ist jeweils individuell zu entscheiden.
Integration als Notfallteam
Wird das Datenschutzteam als Notfallteam integriert, so tritt dies ausschließlich im Zusammenhang mit Datenschutzvorfällen zusammen, damit diese bewältigt werden können. Dies umfasst die direkte Bearbeitung des Vorfalles und die Nachbereitung. Es ist jedoch auch möglich, die vorbeugenden Maßnahmen durch das DST planen und koordinieren zu lassen. In dieser Integrationsstufe hat das DST alle Kompetenzen, die zur Bewältigung des Vorfalles notwendig sind. Dies sind z. B. Beschaffung von Ersatz-Systemen, Meldungen an die Aufsichtsbehörde, Veröffentlichung von Pressemeldungen oder Benachrichtigungen der Betroffenen, aber auch die Anordnung von Systemsperren oder ähnlichen Maßnahmen. Die Befugnisse ruhen aber außerhalb einer solchen Situation und sind nur auf die Systeme, Abteilungen und Mitarbeiter beschränkt, welche direkt mit der Datenschutzpanne zu tun haben.
Integration als zentrales Kontrollorgan
Wird das Datenschutzteam als zentrales Kontrollorgan aufgebaut, so nimmt dieses eine wichtige Rolle im Unternehmen ein. Dies zeigt sich bereits darin, dass das Team regelmäßig zusammentritt und dauerhaften Bestand hat. In diesem Fall ist das DST nicht nur zuständig im Falle von Datenschutzvorfällen, sondern übernimmt zusätzlich die Prüfung und Freigabe von neuen Prozessen und Verarbeitungen aus Sicht des Datenschutzes und die Kontrolle der Einhaltung des Datenschutzes im Unternehmen. Auch die Planung von Schulungen und anderen Sensibilisierungsmaßnahmen wird durch das Team durchgeführt. Ebenso die Bearbeitung von Betroffenenanfragen zu ihren Rechten wird durch das DST erledigt. Dies alles geschieht unter der Federführung des Datenschutzbeauftragen, wenn es in seine Tätigkeiten laut DSGVO fällt oder in den sonstigen Fällen unter der Leitung des Verantwortlichen.
Um diese Aufgaben zu erfüllen, erhält das DST weitreichende Befugnisse wie z. B. die Erlassung von verbindlichen Richtlinien, Prozessen und Verfahrensanweisungen und die Befugnis, neue Prozesse und Verarbeitungen ablehnen zu dürfen oder Nachbesserung anzuordnen. Das Datenschutzteam wird also sehr tief in die Unternehmensstruktur eingebunden.
Vorteile des Datenschutzteams
Das Datenschutzteam bringt mehrere Vorteile mit sich. Unter anderem im Falle einer Datenschutzpanne, denn in dieser Situation zählt die schnelle Bewältigung der Situation, ohne dass Entscheidungswege oder andere Verzögerungen eine Bearbeitung herauszögern. Durch die Bündelung der Fachkompetenzen in einem Team kann dies in schnellster Zeit bewältigt werden. Wird eine Integration als zentrales Organ durchgeführt, so profitiert das Unternehmen von einer laufenden Kontrolle und Bewertung des Datenschutzstandes und einer steten kompetenten Bearbeitung der Betroffenenanfragen. Ebenso gibt es für alle Mitarbeiter eine zentrale Anlaufstelle für Fragen zum Datenschutz, welche Fragen beantwortet, die Koordination der Themen übernimmt und z. B. Projekte begleitet. Es lässt sich also zusammenfassen, dass ein DST Entscheidungswege verkürzt, Bearbeitungszeiten verringert und die Einhaltung der DSGVO verbessert.
Fazit
Wie zu sehen ist, bietet ein Datenschutzteam viele Vorteile für ein Unternehmen und lässt sich individuell integrieren. Daher sollte es unserer Auffassung nach in jedem Unternehmen eingerichtet werden, da damit viele Prozesse im Datenschutz erleichtert werden können. Gerne helfen wir bei Rewion Ihnen dabei und stehen mit Rat und Tat zur Seite. Weitere Informationen erhalten Sie auf unserer Datenschutz-Seite: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.