Delegieren ist eine der wichtigsten Fähigkeiten der Geschäftsleitung. Sie muss weder alles können noch alles selbst machen. Durch Delegation gewinnt sie Zeit für das Wesentliche und engagierte, zufriedene Mitarbeiter. Allerdings hat das Abgeben von Verantwortung auch Grenzen, beispielsweise bei der Umsetzung der DSGVO. Die Verantwortung dafür ist und bleibt bei der Geschäftsleitung, auch wenn es im Unternehmen Funktionen gibt, die sich scheinbar dafür anbieten.
Wofür haben wir eigentlich einen Datenschutzbeauftragten
Genau: Er ist schließlich der Spezialist für das Thema. Aber nein, er ist kein geeigneter Kandidat dafür, die Verantwortung für die Umsetzung der DSGVO zu übernehmen. Seine Aufgabe ist es, die Geschäftsleitung in Sachen DSGVO und Datenschutz zu unterrichten und zu beraten und die Einhaltung der DSGVO zu überwachen, und er ist verantwortlich für die Qualität dessen, was er da tut. Wenn die Geschäftsleitung die Beratung in den Wind schlägt und Empfehlungen nicht folgt, fällt das nicht auf den Datenschutzbeauftragten, sondern auf die Geschäftsleitung zurück. Es geht also kein Weg daran vorbei, dass sich die Geschäftsleitung engagiert, mit der DSGVO vertraut macht und auf die Beratung durch den Datenschutzbeauftragten einlässt.
Die IT wird es schon richten
Nur weil die Mehrzahl der Prozesse in heutigen Unternehmen IT-gestützt ist, hat die IT-Abteilung bei der Umsetzung der DSGVO noch lange nicht den Hut auf. Sie redet ja auch nicht bei Fachfragen in der Personalabteilung oder im Vertrieb mit, obwohl bei deren Abläufen ohne IT ebenfalls nichts geht. In der DSGVO ist eindeutig geregelt, dass die Geschäftsleitung verantwortlich für die Umsetzung ist. Dass sie sich dabei unter anderem eng mit der IT und je nach dem technischen und Datenschutz-Know-how, das im Unternehmen vorhanden ist, auch mit externen Spezialisten abstimmt, ändert nichts an der Aufgabenverteilung. Schlussendlich hat die Geschäftsleitung zu entscheiden, welche Maßnahmen wie umgesetzt werden, und die Budgets dafür bereitzustellen. Die IT verantwortet dann die IT-technische Realisierung von Maßnahmen, also die Bestimmung geeigneter Lösungen und Produkte für spezifische Aufgaben sowie deren korrekte Implementierung, und dass diese für die festgelegten Aufgaben genutzt werden.
Um unsere Daten in der Cloud kümmert sich der Dienstleister
Das tut er, denn auch er unterliegt der DSGVO, sofern er Daten von Personen in der EU verarbeitet. Aber verantwortlich für die Daten und dafür, dass der Dienstleister die Regeln einhält, ist das Unternehmen, das die Verarbeitung der Daten beim Dienstleister in Auftrag gibt, sprich: die Geschäftsleitung. Deshalb soll das Unternehmen nur mit solchen Auftragsverarbeitern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung [der DSGVO] erfolgt“. So steht es in Artikel 28 der DSGVO. Als Grundlage der Zusammenarbeit fordert die DSGVO den Abschluss eines Vertrages. Darin ist unter anderem zu regeln, dass der Dienstleister personenbezogene Daten „nur auf dokumentierte Weisung des Verantwortlichen“ verarbeitet, dass die Daten nach der Verarbeitung gelöscht oder zurückgegeben werden und dass der Dienstleister den Verantwortlichen dabei unterstützt, die Rechte der betroffenen Personen zu wahren, beispielsweise hinsichtlich der Berichtigung oder Löschung von Daten.
Sie müssen also an die Verträge mit den Dienstleistern ran, die Daten von Ihnen verarbeiten. Dazu gehört beispielsweise außer dem Cloud-Anbieter auch die Agentur, die Ihre Mailings erstellt und versendet. Hierfür gibt es Unterstützung, die Verträge müssen nicht komplett neu aufgesetzt werden: Neben anderen Materialien stellt der Bitkom auch Hinweise und ein Muster für eine Anlage zu Verträgen der Auftragsverarbeitung zur Verfügung.