Eine funktionierende Datenschutzorganisation ist wichtig, um die gesetzlichen Datenschutzpflichten professionell und rechtzeitig implementieren zu können. Dabei ist zunächst eine klare Definition von Rollen und Zuständigkeiten wichtig.

Sind bestimmte Kriterien erfüllt, muss das Unternehmen einen Datenschutzbeaufttagten bestellen, wobei es sich sowohl um einen sogenannten externen (Berater) als auch um einen sogenannten internen (im Unternehmen beschäftigten) Datenschutzbeauftragten handeln kann.

Vor allem in größeren Unternehmen bedarf es darüber hinaus weiterer Zuständigkeiten, um den erheblichen Implementierungsbedarf bewältigen zu können. So können sogenannte Datenschutzkoordinatoren dazu beitragen, den Datenschutz in den Fachbereichen zu verankern, etwa durch themenspezifische Schulungsangebote und Dokumentation von Datenverarbeitungssachverhalten. Letzte können dann in bereits aufbesrbeiteter Form von der Rechtsabteilung geprüft werden.

In einem globalen Konzern bietet sich die Bildung von sogenannten Datenschutzhubs an. Diese stellen sicher, dass lokales Recht sowie Konzernanforderungen eingehalten werden.

Die Pflicht zum Vorhalten einer Datenschutzorganisation ergibt sich implizit aus verschiedenen Pflichten der DSGVO. So setzt etwa die Pflicht, Rechenschaft über die Einhaltung des Datenschutzes abgeben zu können voraus, dass sich entsprechend kompetente Personen im Unternehmen mit den einzelnen Pflichten auseinandersetzen und Berichts- und Implementierungsstrukturen bestehen.

Verantwortlich für das Vorhalten einer Datenschutzorganisation ist der Verantwortliche, also in der Regel das Unternehmen selbst, repräsentiert durch den Vorstand oder die Geschäftsführung. Die Geschäftsführung ist auch in der Pflicht, einen Datenschutzbeauftragten zu bestellen, sofern dies gesetzlich erforderlich ist. Handelt es sich um ein Unternehmen, dass nicht in der EU/ den EWR niedergelassen ist und werden Produkte gezielt an Personen in der EU/EWR vermarkted bzw. deren Verhalten beobachtet/getrackt, muss ggf. zusätzlich ein sogenannter EU-Vertreter bestellt werden.

Die genaue Ausgestaltung einer Dateschutzorganisation ist gesetzlich nicht geregelt. Wichtig ist, dass diese der Größe und den Besonderheiten des Unternehmens gerecht wird. Zuständigkeiten müssen klar definiert und benannt werden, z.B. in Richtlinien. Auch eine ggf. erforderliche Bestellung eines Datenschutzbeauftragten sollte im Unternehmen transparent gemacht werden.