Welche Eskalationsinstanzen braucht es bei einer Verfahrensverzeichnisprüfung, wenn das Datenschutzteam den Prozess an einen Rechtsdienstleister ausgelagert hat?

**Die Eskalation darf nicht beim externen Rechtsdienstleister enden: Verantwortlich bleibt immer die auslagernde Stelle, deshalb braucht die Verfahrensverzeichnisprüfung mindestens eine fachliche, eine operative und eine entscheidungsbefugte Eskalationsstufe im eigenen Haus.** Art. 30 DSGVO ordnet das Verzeichnis dem Verantwortlichen zu; die Pflicht kann organisatorisch unterstützt, aber nicht „wegdelegiert“ werden. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE-FR-EN/TXT/?uri=CELEX%3A02016R0679-20160504)) ## Sinnvolle Eskalationsinstanzen **1. Fachliche Ersteskalation: Prozess- oder Fachbereichsverantwortliche** Wenn der Rechtsdienstleister bei der Prüfung Lücken, Widersprüche oder unklare Rechtsgrundlagen feststellt, muss zuerst der fachlich zuständige Prozessowner eskalieren. Dort liegen die Informationen, die im Verzeichnis oft fehlen: tatsächlicher Zweck, Datenkategorien, Empfänger, Löschlogik, eingesetzte Systeme, Drittlandbezüge. **2. Datenschutz-Eskalation: internes Datenschutzteam bzw. Datenschutzkoordinator** Bleiben nach der Fachbereichsrückmeldung Risiken offen, gehört der Fall an die interne Datenschutzfunktion. Deren Aufgabe ist nicht nur formale Pflege, sondern die Bewertung, ob das Verzeichnis materiell falsch, unvollständig oder veraltet ist und ob Folgepflichten ausgelöst werden, etwa AV-Vertrag, TOM-Prüfung oder DSFA. Dass der Verantwortliche die Überwachung trotz Auslagerung selbst behalten muss, wird auch in DSK-Unterlagen ausdrücklich angelegt. ([datenschutzkonferenz-online.de](https://www.datenschutzkonferenz-online.de/media/ah/20191126_kriterien_zur_akkreditierung_einer_coc_ueberwachungsstell.pdf)) **3. Unabhängige Kontrollinstanz: Datenschutzbeauftragter** Der Datenschutzbeauftragte sollte nicht die operative Freigabestelle für jedes Detail sein, aber er ist die richtige Eskalationsinstanz bei erheblichen Compliance-Abweichungen, wiederholten Mängeln oder Meinungsverschiedenheiten zwischen Fachbereich, Datenschutzteam und externem Prüfer. Entscheidend ist die Trennung: operative Pflege beim Management, unabhängige Kontrolle beim DSB. **4. Management-Eskalation: Bereichsleitung / Geschäftsführung** Sobald Fristen reißen, Fachbereiche nicht liefern, Risiken bewusst akzeptiert werden sollen oder wesentliche Verarbeitungen ohne belastbares Verzeichnis laufen, muss an die entscheidungsbefugte Leitung eskaliert werden. Genau dort gehört die Entscheidung hin, ob ein Verfahren gestoppt, nur unter Auflagen fortgeführt oder mit dokumentierter Risikofreigabe weiterbetrieben wird. Die Verantwortung des Verantwortlichen bleibt auch bei externer Unterstützung bestehen. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE-FR-EN/TXT/?uri=CELEX%3A02016R0679-20160504)) ## Was in der Praxis oft fehlt **Der häufigste Fehler ist eine zu kurze Eskalationskette: externer Prüfer → Datenschutzteam.** Das reicht nicht, weil der Rechtsdienstleister meist nur Rechts- und Dokumentationssicht hat, aber weder Systemverantwortung noch Weisungsbefugnis gegenüber den Fachbereichen. Besser ist diese Reihenfolge: 1. Rechtsdienstleister meldet Mangel 2. Prozessowner liefert oder korrigiert 3. Datenschutzteam bewertet die Abweichung 4. DSB prüft bei wesentlichen Risiken unabhängig mit 5. Leitung entscheidet bei Blockade, Rest-Risiko oder Nichtfreigabe ## Welche Fälle zwingend hoch eskalieren sollten An die nächsthöhere Instanz sollten nicht nur „große“ Verstöße gehen, sondern vor allem diese Fälle: - **fehlende Rechtsgrundlage** - **unklare Verantwortlichkeit zwischen mehreren Stellen** - **nicht dokumentierte Empfänger oder Drittlandübermittlungen** - **fehlende Löschfristen** - **Einsatz neuer Tools ohne Eintrag im Verzeichnis** - **Hinweise auf erforderliche DSFA** - **Widerspruch zwischen tatsächlichem Prozess und dokumentiertem Verzeichnis** - **Fachbereich reagiert nicht oder verweigert Mitwirkung** ## Klare Empfehlung **Wenn das Datenschutzteam die Prüfung ausgelagert hat, sollte es intern mindestens vier Eskalationsinstanzen geben: Prozessowner, Datenschutzfunktion, Datenschutzbeauftragter und entscheidungsbefugtes Management.** Alles darunter ist zu schwach, weil der externe Rechtsdienstleister Mängel erkennen kann, aber die Organisation sie nicht selbst verbindlich auflösen kann. Der praktische Unterschied ist wichtig: **Der Dienstleister prüft, aber nur die eigene Organisation darf aufklären, priorisieren, freigeben und notfalls stoppen.** Genau diese Trennung macht die Eskalationslogik belastbar.