Database Reference
In-Depth Information
dert wird, der Verantwortliche für den Datenschutz jedoch unabhängig von diesen
Voraussetzungen die Erreichung der Datenschutzziele im Unternehmen nach dem hier
vertretenen Ansatz zu verantworten hat. Gleichwohl macht die Verschmelzung beider
Rollen für viele Unternehmen Sinn: Denn der Verantwortliche für den Datenschutz
bedarf gleichfalls der erforderlichen Zuverlässigkeit und Fachkunde. Eine vergleichbare
Unabhängigkeit wie die eines nach BDSG bestellten betrieblichen Datenschutzbeauf-
tragten ist nicht zwingend erforderlich, da durch die Festlegung der entsprechenden
Datenschutzziele (siehe Abschn. 5.2.1.1) der Datenschutz aktiv vom Unternehmen
angestrebt und nicht mehr bloß als gesetzliche Einschränkung verstanden wird. So
wird sich der Verantwortliche für den Datenschutz bei internen Widerständen auf die
Datenschutz-Policy (siehe sogleich Abschn. 5.2.1.3) berufen können. Sollte ein betrieb-
licher DSB erforderlich und dieser nicht mit dem hier beschriebenen Verantwortlichen
für den Datenschutz im Unternehmen identisch sein, so muss eine geeignete Einbin-
dung des DSB angestrebt und dessen Rechte nach dem BDSG sichergestellt werden.
Dies kann beispielsweise im Konzern von Bedeutung sein: Sofern auf Ebene der Toch-
tergesellschaft eine Bestellungspflicht besteht, jedoch in der Muttergesellschaft nicht,
sollte zur geeigneten Lenkung des DSMS ein Verantwortlicher für den Datenschutz auf
Ebene der Muttergesellschaft ernannt werden und dieser den betrieblichen DSB der
Tochtergesellschaft in das konzernweite DSMS miteinbeziehen. Im Ergebnis handelt es
sich bei dem hier beschriebenen Verantwortlichen für den Datenschutz um eine von
den Anforderungen des BDSG unabhängige Rolle innerhalb des Unternehmens, die
somit auch auf Unternehmen ohne gesetzliche Bestellungspflicht anwendbar ist. Die
Bestellung eines solchen Verantwortlichen wird womöglich in Zukunft an Bedeutung
gewinnen, wennÄnderungeninderGesetzeslage(imJahr2013diskutiertaufEU-Ebene
in Form einer Datenschutzgrundverordnung [
24
]) die Schwellen zur Bestellung des be-
trieblichen DSB erhöhen und die Unternehmen selbst entscheiden können, wie sie die
Verantwortlichkeiten für den Datenschutz in ihrem Unternehmen verteilen und aus-
gestalten. Unternehmen sollten daher unabhängig von einem gesetzlichen Erfordernis
stets einen Verantwortlichen für den Datenschutz bestellen.
•
Je höher der Verantwortliche für den Datenschutz im Unternehmen angesiedelt ist
und je umfangreicher die Umsetzung der Anforderungen im DSMS ausfällt, desto
eher wird der Einsatz von qualifizierten
zusätzlichen Ressourcen
notwendig. Praktisch
wird die Bestellung weiterer DSMS-Akteure deshalb in jedem mittleren und großen
Unternehmen erforderlich sein. Auch kleine Unternehmen mit datenschutzrechtlich
hoch riskanten Tätigkeiten werden diese benötigen. Zudem können Effizienzgewinne
durch eine geeignete Arbeitsteilung erreicht werden, sodass eine Verteilung der Aufga-
ben sinnvoll ist. Hier können wiederum verschiedene
Rollen
verteilt werden, etwa die
der
Datenschutzkoordinatoren
und der
Datenschutzvertreter
(siehe exemplarisch
das Governance Model von SAP). Wie genau die Ausdifferenzierung der Aufgaben
innerhalb des DSMS ausfällt, ist an dieser Stelle der DSMS-Implementierung für die
Verantwortlichen noch nicht vollständig ersichtlich, da die Aufgaben in ihren Details
erst noch ermittelt werden müssen. Wichtig ist, an dieser Stelle die grundsätzliche Stel-
Search WWH ::
Custom Search