Читать книгу: «Datenschutz mit bewährten Methoden des Risikomanagements», страница 2

1. Prozessdesign
a) Datenschutzmanagementsystem

Der Begriff „Managementsystem“ kann wie folgt definiert werden:

Managementsysteme können als ein systematisches, gezieltes und geplantes Herangehen an die Umsetzung der Unternehmenspolitik und von Unternehmenszielen bezeichnet werden. Dies geschieht, indem die Managementsysteme die betrieblichen Prozesse steuern, eine Prozess strukturierung in die Wege leiten und die im Unternehmen bestehenden Abläufe und Prozesse optimieren. 1

Abbildung 6: Datenschutzmanagement eines klassischen Implementierungsprojektes

In der Informationssicherheit wird nahezu nur noch in dieser Denkweise gearbeitet (Informationssicherheitsmanagementsystem). Das BSI spricht in dem IT lastigen Datenschutzbaustein M 2.501 von „Datenschutzmanagement“ (Quelle abgerufen am 2. Juni 2019: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02501.html

Managementsysteme behandeln Themenkomplexe aus dem Blickwinkel des gesamtheitlichen „Orchestrierens“ und unter Berücksichtigung des „Lifecycles“.

Der Aspekt des „Lifecycles“ kommt mit dem Demingkreis2 (Plan, Do, Check, Act) besonders gut zum Ausdruck.

Der „Orchestrierungsgedanke“ für Compliance-Themen wie Datenschutz kann hingegen aus dem Standard des Instituts der Deutschen Wirtschaftsprüfer IDW PS 980 interpretiert werden.3 Ein Compliance Managementsystem besteht demnach aus

 ○ Compliance-Kultur

 ○ Compliance-Zielen

 ○ Compliance-Risiken

 ○ Compliance-Programm

 ○ Compliance-Organisation

 ○ Compliance-Kommunikation

 ○ Compliance-Überwachung

Ist die Compliance-Organisation in einem Unternehmen nach diesem Standard ausgerichtet, so kann es sinnvoll sein, auch die datenschutzrechtliche Organisation nach diesem Standard auszurichten.4

Mit dem IDW PS 9.860.1 gibt es mittlerweile auch einen eigenen Prüfungsstandard der Wirtschaftsprüfer für Datenschutz. Allerdings eignet sich auch dieser weniger als Organisationsgerüst, da dieser schwerpunktmäßig aus dem Blickwinkel einer Prüfung verfasst ist.

Es gibt jedoch eine Vielzahl weiterer passender Standards, die als Organisationsgerüst genutzt werden können. Hat sich z.B. ein Unternehmen nach COBIT 5 ausgerichtet (Framework zur IT-Governance) – so lohnt sich die Prüfung, inwieweit diese Strukturen für den Datenschutz (mit)genutzt werden können.

Dies gilt auch für andere Strukturen, die im Unternehmen bereits bestehen und ggf. umgewidmet werden können.

Abbildung 7: Konvergenzen von Compliance Management Systemen, Datenschutzverwaltungsprogrammen und Informationssicherheitsmanagementsystemen

Besteht die Wahl, so erscheinen aus Sicht eines operativ ausgerichteten Datenschutzmanagements jedoch andere Strukturierungsmodelle für den Datenschutz passender.

b) Datenschutzkonzept

Das Datenschutzkonzept ist der planerische Bestandteil des Datenschutzmanagements. Aus dem Datenschutzkonzept sollte sich das Organisationsmodell für den Betrieb des Datenschutzmanagements ergeben.

Als Einstieg für ein Datenschutzkonzept bietet sich initial eine umfassende Gap-Analyse der Datenschutzorganisation an. Diese sollte alle Fragen aufwerfen, die sich unter Berücksichtigung des Geschäftsmodells und der konkreten Bedürfnisse hinsichtlich des Datenschutzes an das jeweilige Unternehmen ergeben.

c) Aufgaben, Rollen & Verantwortlichkeiten
aa) Allgemein

Die Klärung personeller und finanzieller Ressourcen wird meist hintenangestellt und somit auf das Ende einer Projektmaßnahme verlegt. Rollen und Verantwortlichkeiten der Ziellösung haben aber in der Regel erheblichen Einfluss auf die Gestaltung der Arbeitsorganisation.

Daher sind Rollen und Verantwortlichkeiten im Idealfall bei Beginn einer Umstrukturierung zu definieren. Ansonsten kann weder die Arbeitsorganisation noch das Arbeitsmaterial zielgruppengerecht ausgestaltet werden.

bb) Welche Aufgabenverteilung besteht?

Oftmals haben die involvierten Akteure eine unterschiedliche Sichtweise auf das Thema „Datenschutz im Unternehmen“. Zur Verdeutlichung soll ein Auszug der Stimmen der relevanten Akteure aus dem Bereich Geschäftsleitung, Fachbereich und Datenschutz widergegeben werden:

Stimmen aus dem Fachbereich:

 • Datenschutz, macht bei uns der Datenschützer.

 • Allein der Datenschutz hat dafür Sorge zu tragen, dass wir datenschutzrechtlich sauber sind.

 • Ich verstehe nicht, was aus datenschutzrechtlicher Sicht zu tun ist. Klare Leitlinien sind für mich nicht greifbar. Der Bereich Datenschutz kann uns auch kein geeignetes Material zur Verfügung stellen.

 • Datenschutz macht doch die IT?

Stimmen aus dem Bereich Datenschutz:

 • Die Abteilung Datenschutz hat nur beratende und prüfende Funktion.

 • Der Bereich Datenschutz hat nicht genügend Ressourcen.

 • Die Geschäftsführung ist die verantwortliche Stelle. Sie ist somit auch für das Datenschutzmanagement verantwortlich.

 • Die Fachbereiche sind für den operativen Datenschutz verantwortlich.

 • Der Fachbereich muss das für ihn relevante datenschutzrechtliche Material selbst erstellen und dem Bereich Datenschutz zur Prüfung vorlegen.

Stimmen der Geschäftsleitung:

 • Ich kann den Mehrwert von Datenschutz noch immer nicht erkennen.

 • Datenschutz bremst nur die Geschäftsentwicklung.

 • Die DSGVO war nur ein Sturm im Wasserglas. Bedrohliche Strafen werden weiterhin nicht verhängt. Entsprechend widme ich mich wichtigeren Themen.

Diese Stimmen zeigen den häufig initialen Klärungsbedarf im Bereich Sinn und Zweck, Aufgaben sowie Rollen und Verantwortlichkeiten. Damit sind insbesondere folgende Fragen zu klären:

 • Wer betreibt operativ das Datenschutzmanagement?

 • Welche datenschutzrechtlichen Aufgaben haben jeweils die Akteure Geschäftsleitung, Fachbereich und Datenschutzbeauftragter?

 • Welche Verantwortung (und welche Haftung) haben die Akteure Geschäftsleitung, Fachbereich und Datenschutzbeauftragter?

 • Welche Dokumentation ist von welchem Akteur zu erstellen?

 • Inwieweit muss ein Akteur den anderen zu dessen Aufgaben befähigen?

Der Themenpunkt der Aufgabenverteilung benötigt besondere Beachtung, weil Art. 38 DSGVO und Art. 39 DSGVO insbesondere die beratende und prüfende Funktion des Datenschutzbeauftragten beinhalten. Weitere Organisationspflichten ergeben sich hieraus nicht. Die Datenschutzkonferenz schreibt mit dem Kurzpapier Nr. 12:

„Verantwortung für die Einhaltung der DS-GVO

Die DS-GVO stellt in Art. 24 Abs. 1 DS-GVO ausdrücklich klar, dass es die Pflicht des Verantwortlichen bzw. des Auftragsverarbeiters – und nicht des DSB – bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DS-GVO stehen. Gleichwohl sollte der DSB seine Tätigkeiten in angemessener Weise dokumentieren, um ggf. nachweisen zu können, dass er seinen Aufgaben (insbesondere Unterrichtung und Beratung) ordnungsgemäß nachgekommen ist.“

Liest man Gesetz und Kurzpapier, kann der Eindruck entstehen, dass der Datenschutzbeauftragte nur prüfende und beratende Funktion hat und nicht auch für den Betrieb des Datenschutzmanagements zuständig ist. Dann drängt sich aber die Frage auf, wer das Datenschutzmanagement denn eigentlich betreibt.

 • Die Geschäftsführung ist ausweislich Art. 24 DSGVO die „Verantwortliche Stelle“. Sie kann aber hinsichtlich des Datenschutzmanagements nicht handelnder Akteur sein. Die Geschäftsleitung ist kein operativ agierender Akteur. Die Geschäftsleitung trägt die Verantwortung und nimmt strategische und kontrollierende Aufgaben wahr (ggf. nach Vorstandsressourcen unterteilt). In den entsprechenden Kompetenzlinien werden die Aufgaben auf hierarchisch nachrangig gelagerte Abteilungen delegiert.

 • Die operativen Fachbereiche (also aus Datenschutzsicht die Fachbereiche der 1. Verteidigungslinie) können ebenfalls kein übergreifendes Datenschutzmanagement betreiben. Als Teilverantwortliche des fachbereichsspezifischen Datenschutzmanagements ist für die Fachbereiche im Schwerpunkt der eigene Beitrag relevant.

 • Es müsste also ein zusätzlicher zweiter Fachbereich Datenschutz eigens für den Betrieb des Datenschutzmanagements geschaffen werden. Darin würde aber in stringenter Fortführung der skizzierten Aufgaben von Prüfung und Beratung der DSB keine Funktion haben. Das würde zu dem Ergebnis führen, dass der höchste datenschutzrechtliche Knowhow-Träger im Unternehmen quasi im „Maschinenraum“ des Datenschutzes – nämlich dem Datenschutzmanagement – keine Aufgabe inne hat.

Auch in einigen Unterlagen zur Durchführung eines DSGVO Projektes war zu lesen, dass der DSB keine gestalterische Funktion einnehmen soll. Das war gleich aus 2 Gründen optimierbar:

 • Das wichtige Know-How des DSB fehlt in diesen Fällen.

 • Die DSB versäumen ihre „historische“ Chance, die eigene Arbeitswelt nach ihren Vorstellungen maßgeblich mitzugestalten.

In der Praxis hat sich diese Herangehensweise als nicht erfolgreich erwiesen. Fachfremd besetzte DSGVO Projekte wirkten fachlich immer überfordert. Auch die fachfremde Besetzung des Linienbetriebes war nie ein Erfolgsmodell.

cc) Lösung durch Anwendung des 3LoDM

Die Anwendung des Modells der „3 Verteidigungslinien“ führt übertragen auf den Datenschutz zu folgendem Ergebnis:

Die erste Verteidigungslinie (VL) bilden die operativ tätigen Fachbereiche bei der Verarbeitung personenbezogener Daten im Rahmen ihrer Fachbereichsarbeit. Übertragen auf den Datenschutz sind die Fachbereiche für die unmittelbare Beachtung und Umsetzung der Anforderungen des Datenschutzes im operativen Geschäftsbetrieb des jeweiligen Fachbereichs zuständig. Das ist insofern sachgerecht, weil die Fachbereiche die fachbereichsspezifischen Risiken meist am besten einschätzen können und die Fachbereichsarbeit das datenschutzrechtliche Risiko i.d.R. auch überwiegend einfärbt. Graubereiche sind über die genaue Aufteilung von Aufgaben und Verantwortlichkeiten im Datenschutzmanagement unter dem Thema „Rollen und Verantwortlichkeiten“ abzustecken.

Die zweite Verteidigungslinie besteht aus dem Datenschutzbeauftragten bzw. dem Fachbereich Datenschutz mit den folgenden Aufgaben:

 • Aufbau und Betrieb des Datenschutzmanagements. Das Datenschutzmanagement muss die Aufbau- und Ablauforganisation und die schriftlich fixierte Ordnung der jeweiligen Organisation berücksichtigen.

 • Datenschutzrechtliche Vorgaben müssen in Form von Standards für die Organisation in die schriftlich fixierte Ordnung überführt werden.

 • Verbesserung und Weiterentwicklung des Datenschutzmanagements (Im Sinne des Deming-Kreises).

 • Ferner hat die zweite Verteidigungslinie folgende Aufgaben:○ Überwachungsfunktion des Datenschutzes○ Beratungsfunktion zu Fragen des Datenschutzes

Die dritte Verteidigungslinie ist auch im Fall des Datenschutzes die Interne Revision. Diese muss die Umsetzung des Datenschutzes regelmäßig auf Angemessenheit und Wirksamkeit hin überprüfen. Für die Interne Revision gelten dabei die allgemeinen Prüfungspflichten. Weitergehende spezifische Prüfungspflichten – insbesondere aufgrund spezieller gesetzlicher Anforderungen – bestehen allerdings nicht. Daher wird die Arbeit der Internen Revision in dieser Handreichung auch nicht weiter konkretisiert.

Datenschutzkoordinatoren: Eine gute Lösung ist die Benennung von Datenschutzkoordinatoren. Die dezentrale Ansiedlung der Koordinatoren ermöglicht eine breite fachliche Abdeckung des Themas.

Diese sind in der 1. VL angesiedelt. Bei diesem Organisationsmodell wird in den Fachbereichen ein Hauptansprechpartner für Datenschutz geschaffen. Dieser wird mit den datenschutzrechtlichen Aufgaben betraut. Er ist dann sowohl Ansprechpartner für die Mitarbeiter des jeweiligen Fachbereiches zu allen Belangen des Datenschutzes, als auch Ansprechpartner für den Datenschutzbeauftragten/ Fachbereich Datenschutz. Dieses Arbeitsmodell ist bereits aus anderen regulatorischen Themen bekannt und bewährt.

Beim Thema Datenschutz ist noch immer das Thema „Personalknappheit“ Dauerthema. Die vorbenannte Erweiterung des Aufgabenspektrums müsste sich in den Ressourcen widerspiegeln.

Wurde nicht ohnehin in den DSGVO Projekten eine Personal-Bedarfsplanung durchgeführt, so kann diese nachgeholt werden. Aus aufsichtsrechtlicher Sicht müssen im Ergebnis auch die Ressourcen für die Erledigung der Aufgaben plausibel erscheinen.

d) Problemfelder bei Anwendung des 3LoDM

Die standardgebende Einheit Datenschutz trägt häufig vor, nicht zu operativ tätig werden zu dürfen (und zu müssen5) und ferner gar nicht die Ressourcenausstattung dafür zu haben.

Müssen also die Fachbereiche den Datenschutz in operativer Hinsicht maßgeblich organisieren und betreiben? Die Fachbereiche sind am Rande Anwender der datenschutzrechtlichen Vorgaben – so wie sie auch Anwender zahlreicher weiterer regulatorischer Vorgaben sind (z.B. Informationssicherheit, Geldwäsche etc.). Aufgrund der Vielfältigkeit der Compliance-Themen können bzw. sollen (unter dem Gesichtspunkt der Ressourcenschonung) Fachbereiche erst gar nicht tiefere Expertise in den für sie peripheren Themen aufbauen.

Als Faustformel kann gelten: je mehr die Fachbereiche mit für sie fachfremder Arbeit betraut werden, desto mehr benötigen sie operationalisierte und detaillierte Vorgaben, Hilfsmittel und Schulungen. Im „Proof of Concept“ können neu erstellte Strukturen und Maßnahmen vor der Überführung in die Linientätigkeit verprobt werden. Entsprechend müssen die Fachbereiche bei ihren datenschutzrechtlichen Tätigkeiten unterstützt werden.

Welcher Beitrag kann realistischer Weise von den Fachbereichen erwartet werden?

Welche Aufgaben müssen die Fachbereiche bei einer Gesamtbetrachtung sinnvollerweise noch durchführen?

Selbst die Befähigung hoch lernbereiter Fachbereiche hat ihre Grenzen. Eine richtig durchgeführte Datenschutzfolgenabschätzung zum Beispiel erfordert tieferes datenschutzrechtliches Wissen und Fertigkeiten in der Anwendung von Risikomanagementmethoden. Themen, die mit „Anlernmaßnahmen“ wie Kurzschulungen und der Lektüre von Hilfsmaterial aufgrund der Komplexität nicht durchdrungen werden können, sollten mit einem engen beraterischen Begleitprozess ausgestattet sein.

e) Verantwortung und Haftung

Die „schwierige“ Eingrenzung des Haftungs- und Wirkungsbereichs von Compliance-Funktionen hängt mit dem besonderen Spannungsfeld zusammen. Der Bereich Datenschutz soll nach Vorstellung des gesetzlichen Auftrages in erster Linie die Interessen der Betroffenen schützen. Aus Sicht des Unternehmens handelt es sich hierbei um „Fremdziele“, die mit Unternehmensinteressen kollidieren können.

Der zweite Grund hängt mit der besonderen Figur des gesetzlich vorgeschriebenen „Beauftragtenwesens“6 zusammen. Nach dem gesetzlichen Leitbild stellen „die Beauftragten“ den verlängerten Arm der Behörden dar. Entsprechend sind sie mit Schutzmechanismen (z.B. ausgeprägter Kündigungsschutz nach dem alten BDSG) ausgestattet. Die Aufsichtsorgane schützen „ihren Beauftragten“ vor Repressalien des Unternehmens. Aktuelle Instrumente sind z.B.:

 • Die Geschäftsführung und nicht der Beauftragte ist verantwortlich.

 • Der Datenschutzbeauftragte ist weisungsfrei.

Wie kann dieser Zielkonflikt in der Gemengelage des Datenschutzes interessengerecht aufgelöst werden?

Wir nähern uns diesem Problem im Folgenden wieder ausgehend von dem vorgeschlagenen Organisationsmodell der 3 LoD sowie einem sachgerechten Ergebnis, das alle Akteure und Beteiligten und die Unternehmensinteressen berücksichtigt. Eine geeignete Auflösung dieses Konfliktes kann durch die gedachte Trennung zwischen dem Team des Datenschutzbeauftragten (also den Fachbereich Datenschutz) und dem Datenschutzbeauftragten in seiner gesetzlich zugedachten Form gelingen. Die Rolle des Datenschutzbeauftragten ist dann letztendlich zweigeteilt. Zum einen handelt der DSB in seiner gesetzlich zugedachten Form (als Berater und Prüfer) und zum anderen ist er Teamleiter des Fachbereiches Datenschutz.

Denn auch für den Fachbereich Datenschutz bzw. für den Datenschutzbeauftragten gelten Loyalitätspflichten gegenüber dem Unternehmen. Diese sind durch den besonderen gesetzlichen Auftrag nicht gänzlich aufgehoben (was teils allerdings so diskutiert wird). Vielmehr treten diese nur insoweit zurück, wie sie der Wahrnehmung der gesetzlich übertragenen Aufgaben entgegenstehen. Entscheidend ist, dass weitere zugewiesene Aufgaben vor dem Hintergrund verfügbarer Kapazitäten wahrgenommen werden können und die Aufgaben nicht mit den gesetzlichen Aufgaben des jeweiligen Beauftragtenwesens kollidieren.

Auch das Arbeitsmodell der 3 LoD interpretiert die arbeitsrechtlichen Loyalitätspflichten der 2. VL dahingehend, optimale Rahmenbedingungen zur Einhaltung der datenschutzrechtlichen Vorgaben für das Unternehmen zu schaffen. Nur so ist das Unternehmen in der Lage, datenschutzrechtliche Expertise optimal zu nutzen. Nur dann ist der Datenschutz im Übrigen auch maximal effektiv. Der Datenschutzbeauftragte ist i.d.R. bzw. sollte höchster datenschutzrechtlicher Knowhow-Träger sein.

Die interne Verantwortung des Datenschutzbeauftragten für „sein“ Datenschutzmanagement kollidiert auch nicht mit der Weisungsfreiheit. Diese bezieht sich – wie auch in anderen Berufen mit ähnlichen Funktionsmodellen – in erster Linie auf die Inhalte von Entscheidungen. Unberührt davon bleibt, ob die Arbeit

 • ordnungsgemäß organisiert ist

 • und ein angemessenes Arbeitspensum erledigt wird.

Die Fachbereiche müssen die Vorgaben des Datenschutzbeauftragten und seines Teams (der 2. VL) auf die konkreten Anforderungen in ihrem Fachbereich anpassen und operationalisieren.

Fehlt Kapazität oder andere Ressourcen (wie etwa Tools) – so ist die Geschäftsleitung darüber (ggf. mit dem entsprechenden Nachdruck) zu informieren und mit entsprechenden Lösungsvorschlägen zu versorgen. Die Geschäftsleitung kann auf Basis dieses Vorschlages ihre Steuerungsfunktion wahrnehmen (z.B. durch Aufbau der Ressource). Belässt sie in Kenntnis der Tragweite die Situation und wird die Angelegenheit schlagend, so wird sie im Rahmen ihrer Verantwortung dafür die Konsequenzen tragen müssen.

Checkliste Rollen und Verantwortlichkeiten

 1. Sind die Rollen und Verantwortlichkeiten ausreichend geklärt?

 2. Sind die Aufgaben mit einer realistischen Erwartungshaltung verteilt?

 3. Werden insbesondere die Fachbereiche ausreichend mit Hilfsmitteln wie Arbeitsanweisungen, Templates und Schulungen für ihre Arbeit befähigt?

 4. Ist eine Aufwandsplanung für den Datenschutz erstellt? Wird der zusätzliche Aufwand berücksichtigt?

 5. Sind die Rollen und Verantwortlichkeiten ausreichend an die betroffenen Personen kommuniziert?