Die verschiedenen Rollen des Datenschutzes – Aufgaben und Verantwortlichkeiten innerhalb eines Unternehmens
In der dynamischen Welt des Datenschutzes kann es eine Herausforderung sein, die verschiedenen Rollen und Verantwortlichkeiten zu entwirren. Datenschutzbeauftragte, -auditoren und -koordinatoren – wer macht eigentlich was?
Bereits vor dem Inkrafttreten der DSGVO existierten die Berufsbezeichnungen des Datenschutzbeauftragten, -koordinators und -auditors. Durch die Harmonisierung der Datenschutzregularien innerhalb der Europäischen Union (EU) wurden ihre Aufgaben und die Notwendigkeit ihrer Einrichtung jedoch spezifiziert und verstärkt. Insbesondere der Datenschutzbeauftragte hat eine zentrale Rolle in der Einhaltung und Umsetzung der Datenschutzgrundverordnung (DSGVO) in Unternehmen erhalten.
|
Kriterien |
Datenschutzbeauftragter |
Datenschutzauditor |
Datenschutzkoordinator |
|
Rechtliche Anforderungen |
Gesetzlich vorgeschrieben (z.B. DSGVO Art. 37) für bestimmte Unternehmen |
Keine gesetzliche Verpflichtung zur Bestellung |
Keine gesetzliche Verpflichtung zur Bestellung, aber oft in größeren Unternehmen notwendig |
|
Hauptaufgaben |
Überwachung der Einhaltung von Datenschutzvorschriften, Beratung, Schulung |
Durchführung von Datenschutz-Audits, Bewertung der Datenschutzpraktiken |
Koordinierung von Datenschutzaktivitäten, operative Unterstützung des Datenschutzbeauftragten |
|
Stellung im Unternehmen |
Oft unabhängiges Mitglied des Managements, direkte Berichterstattung an höchste Managementebene |
Externe oder interne Rolle, regelmäßig externer Dienstleister im Auftrag des Managements |
Unterstützende Rolle, oft Teil des Datenschutzteams |
|
Unabhängigkeit |
Muss unabhängig handeln können, keine Interessenkonflikte |
Sollte unabhängig agieren, um objektive Bewertungen sicherzustellen |
Abhängig von der Unternehmensstruktur, tendenziell weniger unabhängig als der Datenschutzbeauftragte |
|
Berichterstattung |
Berichtet direkt an die Geschäftsführung oder den Vorstand |
Berichterstattung variiert je nach Unternehmensstruktur |
Berichtet in der Regel an den Datenschutzbeauftragten |
|
Qualifikation |
Fachliche Qualifikation im Bereich Datenschutz, meist juristischer Hintergrund |
Fachwissen im Datenschutz, oft mit Audit-spezifischen Qualifikationen |
Verständnis für Datenschutzprinzipien, häufig technischer oder administrativer Hintergrund |
|
Mögliche Zertifizierungen |
CIPP/E, CDPO, Zertifizierter Datenschutzbeauftragter |
ISO 27001 Lead Auditor, CISA, ISO 9001; ISO-19011 |
Datenschutz-Management nach ISO/IEC 27001, Datenschutz-Zertifikate |
Wie lässt sich nun jedoch nachvollziehen, ob Personen die fachlichen Kompetenzen besitzen, um den Anforderungen der Hauptaufgaben gerecht zu werden? Zahlreiche Zertifizierungen – ob privat oder staatlich geprüft – sollen den Aus- und Weiterbildungsstand nachweisen und miteinander vergleichbar machen. Wir haben die wichtigsten Zertifikate für die jeweiligen Jobtitel sortiert:
- Datenschutzbeauftragte könnten Zertifizierungen wie CIPP/E (Certified Information Privacy Professional/Europe), CDPO (Certified Data Protection Officer) oder eine Zertifizierung als Datenschutzbeauftragter besitzen.
- Datenschutzauditoren verfügen häufig über Zertifizierungen wie ISO 27001 Lead Auditor, CISA (Certified Information Systems Auditor) oder ISO 9001.
- Datenschutzkoordinatoren könnten sich auf Zertifizierungen im Bereich Datenschutz-Management nach ISO/IEC 27001 oder allgemeine Datenschutz-Zertifikate konzentrieren.
Bei den rechtlichen Anforderungen ist sichtbar geworden, dass die Bestellung eines Datenschutzbeauftragten für einige Unternehmen verpflichtend ist. Doch welches Unternehmen ist dazu verpflichtet und welche Kriterien werden dafür überhaupt angelegt? Dies wollen wir im Folgenden aufzeigen.
Nach Artikel 37 der Datenschutz-Grundverordnung (DSGVO) ist die Bestellung eines Datenschutzbeauftragten für folgende Unternehmen oder Organisationen vorgeschrieben:
- Öffentliche Behörden und Körperschaften: Dies umfasst alle staatlichen, regionalen und lokalen Behörden, unabhängig von ihrer Größe oder der Art der Datenverarbeitung.
- Private Unternehmen mit Kernaktivitäten, die regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern: Hierzu gehören beispielsweise Unternehmen, die umfangreiche Überwachungssysteme einsetzen, wie etwa Online-Tracking-Dienste oder Datenauswertungsdienste.
- Private Unternehmen, deren Kernaktivitäten die umfangreiche Verarbeitung besonderer Kategorien von Daten beinhalten: Besondere Kategorien von Daten umfassen unter anderem Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Unternehmen, die sich beispielsweise auf Gesundheitsdienste, genetische Forschung oder soziale Dienste spezialisiert haben, fallen häufig in diese Kategorie.
Eine Beratung zu den nationalen Anforderungen kann Ihnen unser Team von Bitkom Consult geben.
Der Datenschutz hat sich zu einem essenziellen Bestandteil einer erfolgreichen Unternehmenskultur entwickelt. Die Einhaltung der datenschutzrechtlichen Vorgaben gemäß der EU-weiten Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) sind zu einem Indikator für ein erfolgreiches Geschäftsmodell geworden – schließlich sorgen Datenschutz-Vorfälle stets auch für einen öffentlichkeitswirksamen Gesichtsverlust und können zu erheblichen finanziellen Konsequenzen führen.
Entdecken Sie jetzt das umfangreiche Schulungsprogramm der Bitkom Akademie zum Thema Datenschutz.
