Zum Inhalt

Leitfaden zur Zusammenarbeit mit der/dem Datenschutzbeauftragten (bei externer Beauftragung)

Um eine reibungslose und effiziente Bearbeitung der datenschutzrechtlichen Themen im Unternehmen zu gewährleisten, arbeitet der Datenschutzbeauftragte regelmäßig mit verschiedenen Ansprechpersonen im Unternehmen zusammen. Die Ansprechpersonen im Unternehmen stellen sicher, dass die Informationen und die Beratung des Datenschutzbeauftragten entsprechend intern kommuniziert werden und holen die erforderlichen Informationen ein.

Der Datenschutzbeauftragte tritt demnach regelmäßig an die Ansprechpersonen heran, um über verschiedene Vorgaben und Sachverhalte aus datenschutzrechtlicher Sicht zu informieren.

Richtlinien & Prozesse

Hier benötigt der Datenschutzbeauftragte die Zuarbeit der Ansprechpersonen, um die bereits bestehenden Prozesse des Unternehmens bewerten und einordnen zu können. Gemeinsam mit den Ansprechpersonen werden dann neue Richtlinien und Prozesse etabliert oder bereits bestehende Regelungen angepasst. Die Ansprechpersonen steuern hierbei mit ihrem Hintergrundwissen über die konkreten Abläufe im Unternehmen bei.

Schulungen

Der Datenschutzbeauftragte stellt zum Beispiel durch das Aufstellen eines Schulungsplans eine ausreichende Sensibilisierung in der Mitarbeiterschaft sicher. Er hat unter anderem ein Auge darauf, wann neue Mitarbeitende eingestellt werden, um diese so schnell wie möglich nach Tätigkeitsaufnahme datenschutzrechtlich unterweisen zu lassen. Zudem kann er im Nachgang zu Schulungen offene Fragen der Mitarbeiterschaft beantworten.

Datenschutzhinweise & Einwilligungen

Der Datenschutzbeauftragte berät das Unternehmen hinsichtlich verschiedener Sachverhalte, in denen personenbezogene Daten verarbeitet werden, z.B. Fotoaufnahmen auf Veranstaltungen, Bewerbungsverfahren, Kundenbeziehungen, Betreiben einer Website, Versenden eines Newsletters usw. Die jeweiligen Ansprechpersonen im Unternehmen unterstützen den Datenschutzbeauftragten, indem sie beispielsweise die nötigen Informationen zur Erstellung der Datenschutzhinweise zur Verfügung stellen (Wie lange werden bestimmte Daten im Unternehmen gespeichert? Welche Daten genau werden verarbeitet? Zu welchen genauen Zwecken erhebt das Unternehmen die Daten? …).

Auftragsverarbeitung, gemeinsame Verantwortung etc.

Um bewerten zu können, ob eine Auftragsverarbeitung vorliegt oder nicht, oder ob andere datenschutzrechtliche Vereinbarungen notwendig sind und um anschließend die benötigten Verträge und Regelungen prüfen zu können, benötigt der Datenschutzbeauftragte von den Ansprechpersonen eine detaillierte Liste über die eingesetzten Dienstleister, die das Unternehmen einsetzt. Hierbei sind vor allem Software-Tools und Dienstleistungen wie externer IT-Support und Datenvernichtung zu beachten.

Der Datenschutzbeauftragte prüft anschließend die verschiedenen Vertragsverhältnisse und potentiell stattfindenden Datenübermittlungen und berät hier unter anderem folgende Punkte:

  • Notwendigkeit, Prüfung und Abschluss eines AV-Vertrages

  • Prüfung von Übermittlungen in Drittstaaten inkl. Transfer Impact Assessments

  • Prüfung von gemeinsamen Verantwortlichkeiten inkl. Vertrag zur gemeinsamen Verantwortung

  • Erstellung von Geheimhaltungsverpflichtungen

Die Ansprechpersonen unterstützen bei der Kommunikation mit den verschiedenen Dienstleistern und tragen die Ergebnisse der Prüfung sodann an die weisungs- und entscheidungsberechtigten Personen im Unternehmen weiter, vor allem wenn Prüfungen ein mangelhaftes Ergebnis hervorbrachten und Alternativen in Betracht gezogen werden sollten.

Zudem können die Ansprechpersonen von dem Datenschutzbeauftragten bereitgestellte Muster-Verträge selbstständig anwenden, insofern der Vertragspartner keine eigene Version oder eine unzureichende Version eines AV-Vertrags vorliegen hat.

Es besteht zudem die Möglichkeit, dass die verantwortliche Stelle selbst ein Auftragsverarbeiter ist. In diesem Fall prüft der Datenschutzbeauftragte ebenso die Vertragsverhältnisse und Erforderlichkeiten.

Personaldatenschutz

Gemeinsam mit dem Datenschutzbeauftragten erstellt die Ansprechperson zum Beispiel eine Begrüßungsmappe für neue Mitarbeitende, um diese von Anfang an datenschutzrechtlich einzuweisen. Hier werden vor allem interne Datenschutzrichtlinien des Unternehmens ausgehändigt, zu welchen die Ansprechpersonen mit Hintergrundwissen zu den Abläufen des Unternehmens zuarbeiten (Home-Office-Regelungen, private Nutzung von Arbeitsgeräten, Anpassung der Richtlinien gemäß eigenen Vorgaben).

Des Weiteren wird auch das Bewerbermanagement datenschutzrechtlich durchleuchtet. Hier werden die Anforderungen der DSGVO mit den vorliegenden Begebenheiten des Unternehmens abgeglichen und ggf. angepasst und Muster bereitgestellt. Die Ansprechpersonen kümmern sich um die Etablierung der Dokumente und um die Umsetzung der Prozesse, z.B. durch Kommunikation mit der HR-Abteilung.

Betroffenenrechte

Wendet sich eine betroffene Person (z.B. ein Kunde) an das Unternehmen und macht ihre Rechte geltend, wendet sich die Ansprechperson möglichst direkt an den Datenschutzbeauftragten. Der Datenschutzbeauftragte wird die Anfrage prüfen und diese anschließend entweder selbst im Auftrag des Unternehmens beantworten oder eine Musterantwort an die Ansprechperson weiterleiten. Eine Dokumentation der Bearbeitung von Anfragen findet ebenso statt. Genauere Prozesse werden im Rahmen der Zusammenarbeit abgestimmt.

Datenschutzmanagement

Die Ansprechperson arbeitet mit dem Datenschutzbeauftragten zusammen, wenn Audits oder Überprüfungen durchgeführt werden sollen. Sie organisiert diese und/oder bindet den Datenschutzbeauftragten ein, je nachdem, ob es sich um ein komplettes Datenschutzaudit handelt oder ein Audit anderer Art mit Teilprüfungen hinsichtlich datenschutzkonformer Regelungen.

Auf Anfrage bzw. bei Bedarf kann der Datenschutzbeauftragte auch Gutachten erstellen, z.B. über geplante Tool-Nutzungen. Diese Gutachten kommuniziert er unter anderem an die Ansprechperson und tritt bei Rückfragen ebenso an diese heran.

Die Meldung der Datenschutzbeauftragung bei der Aufsichtsbehörde obliegt der verantwortlichen Stelle. Sollten Datenpannen gemeldet werden müssen, kann dies ebenfalls der Datenschutzbeauftragte in Abstimmung mit der Geschäftsleitung übernehmen.

Der Datenschutzbeauftragte erstellt in regelmäßigen Abständen Berichte, Audits, Gutachten und übersendet Fragebögen zu ausgewählten Themen. Zudem erfolgt eine fortlaufende Beratung über aktuelle datenschutzrechtliche Themen.

Verzeichnis der Verarbeitungstätigkeiten

Die internen Ansprechpersonen tragen alle Prozesse des Unternehmens zusammen, bei welchen personenbezogene Daten verarbeitet werden. Der Datenschutzbeauftragte stellt hierfür Hilfen zur Verfügung. Anschließend werden die zugehörigen Verzeichnisse gemeinsam bearbeitet. Die Ansprechpersonen informieren den Datenschutzbeauftragten vor allem hinsichtlich der bereits bestehenden Regelungen im Unternehmen (z.B. Speicherdauer, wo die Datenschutzhinweise bereitgestellt werden, wie das Löschverfahren sichergestellt wird). Der Datenschutzbeauftragte prüft diese Regelungen und spricht ggf. Empfehlungen aus. Sollte sich bei den Verarbeitungen zwischenzeitlich etwas ändern, z.B. ein neuer Auftragsverarbeiter wird eingesetzt, aktualisieren die Ansprechpersonen das zugehörige Verzeichnis und informieren den Datenschutzbeauftragten über die Änderung.

Technische und organisatorische Maßnahmen

Um die technischen und organisatorischen Maßnahmen, die im Unternehmen eingesetzt werden, zu bestimmen und bewerten zu können, empfiehlt sich eine Zusammenarbeit zwischen dem Datenschutzbeauftragten und der IT-Abteilung des Unternehmens. Die Maßnahmen werden definiert und zukünftige Änderungen darauffolgend dokumentiert.

Zudem müssen auch die technischen und organisatorischen Maßnahmen von Auftragsverarbeitern auf ihre Wirksamkeit und Aktualität geprüft werden. Hier werden die Ansprüche des Unternehmens mit den vorliegenden Maßnahmen des Dienstleisters abgeglichen. Es ist empfehlenswert, diese Aufgabe an eine qualifizierte Person zu übertragen und das Ergebnis anschließend der Ansprechperson und dem Datenschutzbeauftragten mitzuteilen.

Datenpannen

Ereignet sich eine Datenpanne, organisiert die Geschäftsleitung, dass intern eine direkte Weiterleitung des Vorfalls an die Geschäftsführung und an den Datenschutzbeauftragten erfolgt. Datenpannen werden in Zusammenarbeit mit dem Entdecker der Datenpanne, der IT und dem Verursacher dokumentiert. Der Vorfall wird vom Datenschutzbeauftragten geprüft und bewertet. Die Aufsichtsbehörden stellen Online-Formulare zur sicheren, strukturierten und vereinfachten Meldung von Datenpannen zur Verfügung.

Datenschutzfolgenabschätzung

Die Datenschutz-Grundverordnung (DSGVO) legt großen Wert auf den Schutz personenbezogener Daten und verpflichtet Organisationen, Datenschutzfolgeabschätzungen (DSFA) durchzuführen, wenn die Verarbeitungstätigkeiten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen. In diesem Kontext spielt der Datenschutzbeauftragte (DSB) eine zentrale Rolle.

Die Zusammenarbeit mit dem DSB bei der Durchführung einer DSFA ist entscheidend, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt werden. Der DSB unterstützt und berät das Unternehmen bei der Identifizierung und Bewertung potenzieller Risiken, der Entwicklung geeigneter Maßnahmen zur Risikominderung und der Dokumentation des gesamten Prozesses.

Zusammenfassung

Eine effektive Zusammenarbeit umfasst regelmäßige Kommunikation, transparente Informationsweitergabe und die Einbindung des DSB in alle relevanten Entscheidungsprozesse. Dies gewährleistet, die Datenschutz-Compliance des Unternehmens nachhaltig zu sichern.

Änderungshistorie

Datum Autor Änderung
2026-02-15 Visitrans Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation
2026-02-14 Visitrans Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault