Sollte bei Auditorfragen zum Verfahrensverzeichnis eher der Fachbereich oder das Datenschutz-Team zum Datenschutzhinweis antworten?

**Ja – aber nur, wenn das Datenschutz-Team die rechtliche Einordnung übernimmt und der Fachbereich die tatsächliche Praxis liefert. Genau dort liegt der entscheidende Punkt: Ein Datenschutzhinweis ist nicht nur ein Rechtstext, sondern muss exakt zu den realen Abläufen im Fachbereich passen.** ## Wer sollte was beantworten Der Fachbereich sollte alles beantworten, was die **echentliche Verarbeitung** betrifft: - Welche Daten werden erhoben - Zu welchem Zweck - Woher kommen die Daten - Wer hat Zugriff - Wie lange werden sie genutzt oder gespeichert - Werden Dienstleister eingebunden Das Datenschutz-Team sollte die Fragen beantworten, die **rechtliche Bewertung und Formulierung** betreffen: - Ist der Datenschutzhinweis vollständig - Passt die Rechtsgrundlage - Sind Informationspflichten nach Art. 13/14 DSGVO korrekt umgesetzt - Ist die Beschreibung für Betroffene verständlich und rechtlich sauber ## Macht die Rückfrage ans Datenschutz-Team also Sinn Ja, **bei Auslegungs- und Rechtsfragen eindeutig**. Nein, **wenn der Fachbereich damit nur fehlendes eigenes Prozesswissen ersetzt**. Ein Auditor prüft meist nicht nur, ob irgendwo ein Datenschutzhinweis existiert, sondern ob **Verfahrensverzeichnis, tatsächlicher Prozess und Datenschutzhinweis inhaltlich zusammenpassen**. Wenn der Fachbereich die eigenen Abläufe nicht erklären kann und alles ans Datenschutz-Team delegiert, ist das ein Warnsignal. ## Der typische Fehler In vielen Organisationen wird das Datenschutz-Team faktisch zum „Antwortbüro“ für Prozesse, die es gar nicht operativ durchführt. Das ist riskant, weil das Datenschutz-Team oft nur die **Soll-Dokumentation** kennt, der Fachbereich aber die **Ist-Praxis** lebt. Genau bei Audits fällt dieser Unterschied auf. Beispiel: - Im Datenschutzhinweis steht „Speicherdauer 6 Monate“. - Der Fachbereich löscht tatsächlich gar nicht oder erst nach 3 Jahren. Dann ist nicht der Hinweis das Hauptproblem, sondern die fehlende Übereinstimmung zwischen Dokumentation und Realität. ## Sinnvolle Rollenverteilung im Audit Praktisch sinnvoll ist dieses Modell: - **Fachbereich beantwortet zuerst** alle prozessbezogenen Fragen. - **Datenschutz-Team ergänzt oder korrigiert** bei DSGVO-Bezug, Rechtsgrundlagen, Informationspflichten und Formulierungen. - **Kritische Antworten werden gemeinsam abgestimmt**, wenn Hinweistext, TOMs, Löschfristen und Verzeichnis zusammenhängen. ## Klare Bewertung **Ja, die Rückfrage ans Datenschutz-Team macht Sinn – aber nicht als Ersatz für Fachverantwortung. Der Fachbereich muss seinen Prozess selbst erklären können; das Datenschutz-Team ist für die datenschutzrechtliche Qualitätssicherung da, nicht für die operative Prozesskenntnis.** Der Auditor wird es in der Regel positiv sehen, wenn Fachbereich und Datenschutz sauber zusammenarbeiten. Problematisch wird es erst dann, wenn sichtbar wird: **Niemand außer dem Datenschutz-Team kann den Prozess erklären.**