Wer ist für die Umsetzung von Maßnahmen nach einer Verfahrensverzeichnis-Prüfung verantwortlich, z. B. für die Erstellung eines Löschkonzepts?

**Verantwortlich ist grundsätzlich der Verantwortliche im Sinne der DSGVO – also die Stelle bzw. Unternehmensleitung, nicht der Datenschutzbeauftragte. Die praktische Umsetzung einzelner Maßnahmen wie ein Löschkonzept liegt meist bei den fachlich zuständigen Bereichen, organisiert und angeordnet durch die verantwortliche Stelle.** ## Wer trägt die Verantwortung Wenn bei der Prüfung des Verfahrensverzeichnisses Mängel auffallen, muss die Organisation selbst die erforderlichen Maßnahmen umsetzen. Das heißt konkret: Verantwortlich ist die verantwortliche Stelle nach Art. 4 Nr. 7 DSGVO, also in der Praxis das Unternehmen, die Behörde oder deren Leitung. Sie entscheidet über Zwecke und Mittel der Verarbeitung – und damit auch darüber, dass fehlende Datenschutzmaßnahmen tatsächlich eingeführt werden. ## Welche Rolle hat der Datenschutzbeauftragte Der Datenschutzbeauftragte ist in der Regel **nicht** für die operative Umsetzung zuständig. Seine Aufgabe ist Beratung, Kontrolle und Begleitung. Er kann also zum Beispiel darauf hinweisen, dass ein Löschkonzept fehlt, Anforderungen formulieren und Entwürfe prüfen. Er sollte das Löschkonzept aber nicht als „eigener Verantwortlicher“ umsetzen oder allein fachlich besitzen, weil er sonst seine kontrollierende Rolle mit einer operativen Rolle vermischt. Genau das ist der entscheidende Unterschied, der in vielen Unternehmen unsauber geregelt ist: **Der Datenschutzbeauftragte soll bewerten und beraten – die Fachbereiche müssen umsetzen.** ## Wer erstellt dann ein Löschkonzept konkret Ein Löschkonzept entsteht normalerweise nicht nur im Datenschutz, sondern gemeinsam aus mehreren Funktionen: - **Fachbereich**: kennt die Daten und Prozesse - **IT**: setzt technische Lösch- und Sperrmechanismen um - **Rechts-/Compliance-/Datenschutzfunktion**: prüft rechtliche Vorgaben und Aufbewahrungsfristen - **Management**: gibt Freigabe, Ressourcen und Verbindlichkeit Praktisch federführend ist oft der Bereich, der die betroffene Verarbeitung verantwortet. Bei unternehmensweiten Regelungen übernimmt häufig Compliance, Datenschutzkoordination, Informationsmanagement oder ein zentrales Governance-Team die Koordination. ## Was folgt daraus praktisch Wenn nach einer Verfahrensverzeichnis-Prüfung z. B. „Löschkonzept fehlt“ festgestellt wird, lautet die saubere Zuständigkeit: - **Datenschutzbeauftragter**: Mangel feststellen, beraten, Anforderungen benennen - **Verantwortliche Stelle / Prozessverantwortliche**: Maßnahme beauftragen und umsetzen - **Fachbereich + IT**: inhaltlich und technisch ausarbeiten - **Leitung**: Verantwortung tragen und Umsetzung sicherstellen Die wichtigste Konsequenz: **Der DSB darf die Maßnahme anstoßen und begleiten, aber die Umsetzung muss in der Linie verankert sein.** Sonst bleibt unklar, wer tatsächlich liefern muss – und genau dann werden Maßnahmen wie Löschkonzepte oft nie wirksam eingeführt.