Anfang 2026 zeigte sich erneut, dass datenschutzrechtliche Fragestellungen in Unternehmen häufig weniger an fehlenden Rechtsgrundlagen als an unklaren Zuständigkeiten scheitern. In Prüfungen und Verfahren rückte daher verstärkt die interne Organisation in den Fokus.
Aufsichtsbehörden legten dabei besonderes Augenmerk auf die Frage, wer im Unternehmen für datenschutzrelevante Prozesse verantwortlich ist und wie Entscheidungen dokumentiert werden. Unklare Rollenverteilungen oder informelle Zuständigkeiten erwiesen sich regelmäßig als Schwachstelle.
Betroffen sind insbesondere Prozesse wie die Bearbeitung von Betroffenenanfragen, der Umgang mit Datenschutzvorfällen oder die Einführung neuer IT-Systeme. Fehlt hier eine klare Zuordnung, kann es zu Verzögerungen oder widersprüchlichen Angaben kommen.
Für Unternehmen ist es daher sinnvoll, Verantwortlichkeiten eindeutig festzulegen und diese auch intern zu kommunizieren. Dazu gehört nicht nur die Benennung von Ansprechpartnern, sondern auch die Beschreibung der jeweiligen Aufgabenbereiche.
Eine nachvollziehbare organisatorische Struktur kann dazu beitragen, Abläufe zu vereinfachen und die Reaktionsfähigkeit bei datenschutzrechtlichen Fragestellungen zu verbessern.