Digital, datengetriebene Geschäftsmodelle gewinnen zunehmend an Bedeutung, und damit steigt auch der Bedarf an qualifiziertem Personal, das die rechtmäßige Nutzung der gewonnenen Daten sicherstellt. Gleichzeitig sind gute Fachkräfte knapp, weshalb neue Modelle der Aufgabenverteilung für den Datenschutz unverzichtbar erscheinen. Die Datenschutz-Grundverordnung (DSGVO) sieht die Rolle des Datenschutzbeauftragten (DSB) als unterstützende Funktion für Verantwortliche vor, die bei der Bewältigung der Herausforderungen der Digitalisierung hilft. Dennoch wird die Rolle des DSB in der Praxis oft zu eng gefasst und zu rigide definiert.
Der vorliegende Beitrag plädiert für eine praktikable, hybride und asymmetrische Aufgabenteilung, bei der sich bestimmte DSB-Tätigkeiten teilen oder auslagern lassen, ohne den Schutz der betroffenen Personen zu gefährden. Zunächst wird erläutert, welche Kernaufgaben dem DSB grundsätzlich obliegen, wie diese Aufgaben durch eine verteilte Verantwortlichkeit gestützt werden können und wo klare Grenzen gezogen werden müssen, um Rechtskonformität und Unabhängigkeit zu wahren. Die Teilbarkeit der Funktionen bedeutet nicht eine Schwächung der Datenschutzaufsicht, sondern eine Optimierung der Ressourcennutzung in Organisationen, die mit komplexen, datengetriebenen Prozessen arbeiten.
Auf der operativen Ebene können routinierte, dokumentationsintensive Tätigkeiten, Schulungsmaßnahmen, erste Beratung zu Datenschutzfolgenabschätzungen sowie die Durchführung von Datenschutzaudits zeitweise oder in bestimmten Kontexten ausgelagert werden. Diese Auslagerung muss jedoch klar vertraglich geregelt, transparent nachvollziehbar und mit effektiven Kontrollmechanismen versehen sein. Wichtige Kriterien sind hierbei die Unabhängigkeit des DSB bei wesentlichen Entscheidungen, die Fachkompetenz der externen oder hybriden Partner sowie die Einhaltung der Berichts- und Dokumentationspflichten gegenüber dem Verantwortlichen und dem Aufsichtsorgan.
Ein weiterer Aspekt betrifft die Einbindung externer Spezialisten, etwa für technische und organisatorische Maßnahmen (TOMs), Datenschutz-Folgeabschätzungen oder Rechtsfragen zu speziellen Verarbeitungszwecken. Denn digitale Geschäftsmodelle umfassen oft komplexe Datenflüsse, bei denen technische Expertise und juristische Expertise eng verknüpft sind. Durch eine koordinierte Zusammenarbeit zwischen internen DSB-Anteilen und externen Fachleuten lässt sich eine belastbare Compliance-Kultur etablieren, die gleichzeitig flexibel auf veränderte Rahmenbedingungen reagiert.
Wesentlich für den Erfolg ist die klare Abgrenzung von Aufgaben, Verantwortlichkeiten und Rechten der beteiligten Parteien. Dazu gehört, dass der DSB in allen relevanten Belangen unabhängig bleibt, insbesondere bei risikoorientierten Entscheidungen, die eine ausdrückliche Prüfung durch den DSB erfordern. Gleichzeitig ermöglicht eine sensible Aufgabenteilung eine schnellere Reaktionsfähigkeit bei Routinefragen, Standardprozessen und beim Monitoring von Datenschutzmaßnahmen, ohne das Gesamtrisiko aus den Augen zu verlieren.
In der Praxis lohnt es sich, eine Governance-Struktur zu etablieren, die regelmäßige Abstimmungsrunden, klare Kommunikationswege und einen transparenten Nachweis der Erfüllung von Pflichten sicherstellt. Dazu gehören standardisierte Vorlagen für DPIA-Berichte, regelmäßige Audits, Schulungsprogramme für Mitarbeitende sowie klare Kriterien, wann und wie eine Auslagerung sinnvoll ist. Letztlich bietet die 2.0-Variante des DSB eine innovative Antwort auf den steigenden Bedarf an Datenschutz-Compliance in datenintensiven Unternehmen: Eine ausgewogene Mischung aus zentraler Führung durch den DSB und gezielter, verantwortungsvoller Auslagerung bestimmter Tätigkeiten ermöglicht Effizienzgewinne, ohne Abstriche bei Rechtssicherheit und Schutz der Betroffenen.