Die Rolle des Datenverantwortlichen (DV) ist im Rahmen der Datenschutz-Grundverordnung (DSGVO) zentral, da er die primäre Entität darstellt, die die Zwecke, Mittel und den allgemeinen Rahmen aller Datenverarbeitungsaktivitäten bestimmt. Dies bedeutet nicht nur die Festlegung von Richtlinien, sondern auch deren Umsetzung in den IT-Systemen, operativen Prozessen und Verträgen mit externen Auftragsverarbeitern und Subunternehmern. Governance-Strukturen müssen so gestaltet sein, dass jede neue Datenverarbeitungsaktivität auf ihre Übereinstimmung mit den Grundsätzen der DSGVO überprüft wird und die Geschäftsführung in Echtzeit Informationen über Datenflüsse, den Status von Datenschutz-Folgenabschätzungen (DSFA) und Sicherheitsvorfälle erhält. Die Aufmerksamkeit des Managements für Datenschutz ist daher unverzichtbar: Eine unzureichende Aufsicht kann nicht nur zu hohen Bußgeldern führen, sondern auch zu einem Blockieren kritischer Dienstleistungen durch die zuständigen Behörden.
Gleichzeitig verlangt die DSGVO, dass der DV sowohl über strategische als auch operative Fähigkeiten verfügt. Die Rechtsabteilungen müssen in der Lage sein, neue regulatorische Änderungen — wie die zukünftige Verordnung zur Künstlichen Intelligenz oder Entwicklungen in den Entscheidungen zur internationalen Datenübermittlung — schnell in aktualisierte Richtlinien und Vertragsklauseln zu übersetzen. Operativ müssen die Verwaltung von Einwilligungen, der Lebenszyklus der Daten und die Reaktion auf Vorfälle sofort aktiviert werden können, sowohl um Anfragen von Betroffenen zu beantworten als auch um mit den Behörden zu interagieren. In Krisensituationen, wie Anschuldigungen wegen schlechter finanzieller Verwaltung oder Verstöße gegen internationale Sanktionen, reicht eine fragmentierte DSGVO-Umsetzung nicht aus; eine kontinuierliche Vorbereitung des Managements und die vollständige Verantwortung über die gesamte Datenkette sind entscheidend.
(a) Festlegung der Zwecke und Mittel
Der Datenverantwortliche entscheidet, warum personenbezogene Daten erhoben werden, welche Kategorien erforderlich sind und mit welchen Mitteln sie verarbeitet werden. Dies erfordert eine detaillierte Kartierung der Daten: vom Webformular bis hin zur Speicherung im Backend, über APIs von Drittanbietern und Analysekanäle. Datenflüsse — zum Beispiel die von Marketing-Tools zum CRM — müssen verfolgt und mit jedem spezifischen Zweck verknüpft werden. Jede Änderung im Umfang oder in der Technologie erfordert eine neue Bewertung, die im Verzeichnis von Verarbeitungstätigkeiten dokumentiert und technisch durch Richtlinien-Engines umgesetzt werden muss.
Die Koordination zwischen internen Abteilungen ist entscheidend: Marketing, Personalwesen, IT, Rechtsabteilung und Finanzen müssen ihre jeweiligen Informationsbedürfnisse abstimmen, um Überschneidungen und Widersprüche zu vermeiden. Dies erfordert multidisziplinäre Governance-Ausschüsse, die regelmäßig die Verläufe der Datenverarbeitungsaktivitäten validieren. Fehlt diese Abstimmung, können parallele Initiativen oder unzulässige Datenerhebungen entstehen, die die Konformität gefährden.
(b) Einhaltung der Grundsätze der DSGVO
Der Datenverantwortliche stellt sicher, dass jede Verarbeitung den Grundsätzen der Rechtmäßigkeit, Fairness, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht entspricht. Die Rechtsabteilungen müssen für jede Aktivität die rechtliche Grundlage identifizieren — von der Einwilligung bis zur Erfüllung gesetzlicher Verpflichtungen — und sie sowohl in den Richtlinien als auch in internen Aufzeichnungen dokumentieren. Bei Aktivitäten, die auf berechtigtem Interesse basieren, muss eine formelle Abwägungsanalyse zwischen den Rechten der Betroffenen und den geschäftlichen Zielen durchgeführt werden.
Die Überwachung und Prüfung der Konformität sollte vorzugsweise automatisiert erfolgen: Dashboards für die Einhaltung zeigen in Echtzeit Systeme oder Quellen mit Lücken zwischen den erklärten Richtlinien und der tatsächlichen Verarbeitung. Wenn ein System beispielsweise Daten länger speichert als angegeben, wird ein Alarm ausgelöst. Gegenmaßnahmen — wie die Anpassung der Speicherfristen oder die Schulung des Personals — sollten durch Change-Management-Verfahren aktiviert werden.
(c) Erleichterung der Rechte der Betroffenen
Der Datenverantwortliche muss sicherstellen, dass die Rechte der Betroffenen innerhalb der vorgeschriebenen Fristen wirksam ausgeübt werden können. Es muss ein Self-Service-Portal zur Verfügung gestellt werden, das Anfragen in Verbindung mit Identitätsmanagement-Systemen (IAM) ermöglicht, um die Identität der anfragenden Personen zu verifizieren. Nach der Authentifizierung wird jede Anfrage in Audit-Logs verfolgt, um ihre Nachvollziehbarkeit im Falle einer Überprüfung sicherzustellen.
Workflows müssen auch mehrere oder überlappende Anfragen verwalten — wie eine gleichzeitige Anfrage nach Löschung und Datenübertragbarkeit. Das System muss beide Operationen korrekt orchestrieren und sicherstellen, dass die Daten vor der Löschung exportiert werden. Sicherheitsmechanismen verhindern versehentliche Löschungen bei Konflikten oder falscher Reihenfolge.
(d) Implementierung von Sicherheitsmaßnahmen
Der Datenverantwortliche stellt sicher, dass geeignete technische und organisatorische Maßnahmen basierend auf einer Risikobewertung getroffen werden. Dies reicht von End-to-End-Verschlüsselung, sicherem Schlüsselmanagement, Mikrosegmentierung des Netzwerks bis hin zu regelmäßigen Penetrationstests und integrierten SIEM-Systemen (Security Information and Event Management) mit Bedrohungsintelligenz.
Ebenso wichtig ist die organisatorische Kultur: Spezifische Schulungsprogramme, Simulationen und Sensibilisierungskampagnen erhöhen das Bewusstsein für Cybersicherheitsrisiken und die proaktive Rolle des Personals. Incident-Response-Pläne sollten vordefiniert und technische, rechtliche sowie kommunikative Aspekte abdecken, um eine zeitgerechte und DSGVO-konforme Benachrichtigung zu gewährleisten.
(e) Meldung von Datenvorfällen
Im Falle eines Vorfalls muss ein klarer Prozess zur Erkennung, Analyse und Reaktion aktiviert werden. Sicherheitssysteme sollten automatisch Protokolle, Anomaliebewertungen und forensische Indikatoren zusammenführen. Der Datenverantwortliche hat 72 Stunden Zeit, die zuständige Aufsichtsbehörde (in Deutschland die BfDI) zu benachrichtigen, unter Verwendung standardisierter Vorlagen und unterstützender technischer Dokumentation.
Wenn das Risiko für die Rechte der Betroffenen hoch ist, muss der Datenverantwortliche auch die betroffenen Personen direkt informieren, mit transparenten Mitteilungen, die rechtlich geprüft und über mehrere Kanäle (E-Mail, SMS, Apps) versendet werden. Die Texte müssen klar und ohne werbliche Sprache sein und Maßnahmen zum Schutz der Betroffenen beinhalten.
(f) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Der Datenverantwortliche integriert den Datenschutz bereits in der Konzeptionsphase (Privacy by Design), indem für jedes Projekt oder jede Entwicklung Datenschutz- und Sicherheitsverantwortliche benannt werden, damit die Anforderungen nativ umgesetzt werden. Die Strukturen der Datenbanken, architektonische Entscheidungen und Drittanbieter müssen vor der Produktion überprüft werden.
„Durch Voreinstellungen“ bedeutet, dass Systeme mit datenschutzfreundlichen Konfigurationen gestartet werden müssen: minimale Datenerhebung, eingeschränkter Zugriff, deaktivierte Tracking-Mechanismen, begrenzte Speicherung. Entwickler setzen konfigurierbare Modelle um, die falsche oder riskante Konfigurationen verhindern.
(g) Benennung des Datenschutzbeauftragten (DSB)
Der Datenverantwortliche bewertet, ob die Benennung eines Datenschutzbeauftragten (DSB) erforderlich ist — zum Beispiel bei umfangreicher Überwachung oder der Verarbeitung sensibler Daten — und bestellt ihn formell, wobei ihm Autonomie, geeignete Ressourcen und direkter Zugang zur Geschäftsführung gewährleistet werden.
Der DSB führt kontinuierliche Aktivitäten durch: Er überwacht das Risikomanagement, führt Audits durch, unterstützt bei Datenschutz-Folgenabschätzungen und berät das Management zu aufkommenden Risiken. Regelmäßige Berichte an die Geschäftsführung stellen sicher, dass der Datenschutz ein integraler Bestandteil der Unternehmensstrategie bleibt.
(h) Internationale Datenübermittlung
Der Datenverantwortliche wählt und verwaltet die Mechanismen für jede Datenübertragung in Drittländer: Angemessenheitsentscheidungen, Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR). Überwachungs- und DLP-Systeme (Data Loss Prevention) kontrollieren, dass Daten nicht in nicht autorisierte Länder übertragen werden.
Übertragungsrisikoanalysen (Transfer Risk Assessments) bewerten den rechtlichen und politischen Kontext des Empfängerlandes. Drittanbieter müssen vertragliche Garantien bieten. Compliance-Ausschüsse überwachen Updates zu Sanktionen, internationalen Verträgen und Rechtsprechungsänderungen, um Übertragungen bei Bedarf auszusetzen oder anzupassen.
