Datenschutz und Datenschutzbeauftrager im Unternehmen

Hier finden Sie einfach erklärt was ein externer Datenschutzbeauftragter und interner Datenschutzbeauftragter für Aufgaben hat und eine Software die Rolle des externen Datenschutzbeauftragten unterstützen kann.

Personenbezogene Daten durch Experten schützen

In Europa erhält der Schutz der personenbezogenen Daten eine immer höher werdende Bedeutung. Er wird wichtiger und stärker reguliert, aber gleichzeitig auch komplexer. Gerade in den Bereichen, in denen Unternehmen ein hohes Maß an sensiblen personenbezogenen Daten verarbeiten, beispielsweise Bankinstitute, Anwaltskanzleien oder Arztpraxen, sollten dem Thema spätestens seit Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 höchste Priorität einräumen. Dies liegt zum einen daran, dass die Daten umfangreicher zu schützen sind. Ein Verstoß kann zu hohen Geldstrafen in Höhe von bis zu 4% des weltweiten Nettoumsatzes oder bis zu 20 Millionen Euro führen.

Zum eigenen Schutz und um einen Verstoß gegen das nationale Datenschutzrecht – in Deutschland das neue Bundesdatenschutzgesetz (BDSG-neu) – sowie die europaweit geltende EU-DSGVO sollten sich alle Unternehmen gründlich darüber informieren, ob sie zu der Bestellung eines Datenschutzbeauftragten verpflichtet sind oder nicht. Im Zusammenhang mit dem BDSG-neu werden diese Regelungen im § 38 festgehalten, in der EU-DSGVO kommt Artikel 37 zum Tragen, falls eine umfangreiche und systematische Beobachtung von Personen vorgenommen wird. Artikel 9 und 10 der EU-DSGVO erhält Bedeutung, wenn besonders sensible personenbezogene Daten, beispielsweise bezüglich der politischen Überzeugungen und/oder die ethnische Herkunft verarbeitet werden.

Doch auch innerhalb der unterschiedlichen Datengruppierungen gibt es auch eine Priorisierung. Während die politischen Überzeugungen oder der Gewerkschaftszugehörigkeit ein eher geringer Stellenwert eingeräumt wird, steigt dieser bei der ethnischen Herkunft. Die höchste Schutzwürdigkeit haben die biometrischen Daten sowie Gesundheitsdaten.

 

Das Jobprofil eines Datenschutzbeauftragten (intern/extern)

Doch wie sieht das Jobprofil eines Datenschutzbeauftragten (DSB) eigentlich aus? Welche Funktionen übt er aus und was fällt in sein Aufgabengebiet? Im Kern beraten sie die Verantwortlichen im Unternehmen – zumeist dem Geschäftsführer – in allen Aspekten des Datenschutzes. Der DSB entwickelt Prozesse zur Sicherstellung des Datenschutzes im Unternehmen und kontrolliert die Einhaltung aller getroffenen Maßnahmen. Außerdem ist er auch für sachgemäße Löschung von personenbezogenen Daten zuständig, damit das „Recht auf Löschung“ wahrgenommen werden kann.

Der DSB hat ein vielfältiges Aufgabengebiet, welches in Abhängigkeit zur Größe einer Organisation steht. Ohne einen Anspruch auf Vollständigkeit erheben zu wollen, werden in dieser Liste die wichtigsten Tätigkeiten enthalten, die ein DSB im Unternehmen durchführen muss:

  1. Erstellung von Richtlinien
    Bei der Erstellung von organisatorischen Dokumenten berät der Datenschutzbeauftragte den Verantwortlichen, meist die Geschäftsführung selbst, bezüglich des Datenschutzes. Mit seiner Hilfe kann beispielsweise eine datenschutzkonforme Betriebsvereinbarung oder Datennutzung entwickelt werden.
  2. Beratungstätigkeiten im Datenschutz
    Der DSB berät die Unternehmensführung in der Erstellung der Datenschutzerklärungen der Webseite. Ein wesentlicher Bestandteil ist die lückenlose Erfüllung und Dokumentation aller Rechenschafts- und Nachweispflichten bei personenbezogenen Daten – ein Indiz für gelebten Datenschutz.
  3. Erstellung der Datenschutz-Folgenabschätzung (DSFA)
    Bei risikobehafteten Verarbeitungsvorgängen mit personenbezogenen Daten führt der DSB eine Einschätzung der möglichen Folgen für betroffene Personen und deren Rechte durch.
  4. Erstellung des Verzeichnisses für Verarbeitungstätigkeiten
    Auftragsverarbeiter, die im Auftrag des Unternehmens Daten verarbeiten, als auch die Verantwortlichen im Unternehmen müssen ein Verzeichnis der Verarbeitungstätigkeiten erstellen und aktuell halten. Datenschutzbeauftragte Personen unterstützen bei der Konzeption des Verzeichnisses und würdigen dieses Verzeichnis.
  5. Datenschutzvorfälle
    Tritt ein Datenschutzvorfall, beispielsweise durch Hacking ein, muss der DSB abschätzen können, ob eine gesetzliche Meldung erforderlich ist und sofern zutreffend, der Meldepflicht innerhalb von 72 Stunden gegenüber der Aufsichtsbehörde nachkommen. Diese doch recht knappe Frist macht es erforderlich, effiziente Unternehmensprozesse zu entwickeln, die ein sofortiges Handeln möglich macht. Da jeder Sicherheitsvoll unterschiedlich in seiner Schwere ausfällt, müssen in schwierigen Fällen auch betroffene Personen informiert werden.
    Allerdings kann ein DSB in datenrechtlichen Fragen nur beratend agrieren und dafür sorgen, dass der Datenschutz tatsächlich umgesetzt wird. Bei einem Datenklau oder einer Hacking-Attacke, bei der Daten verloren gehen, haftet die verantwortliche Person – zumeist die Geschäftsführung des Unternehmens.


Wann muss ein interner oder externer Datenschutzbeauftragter bestellt werden?

Die rechtlichen Vorgaben, die im Artikel 37 I der EU-DSGVO formuliert wurden, müssen betroffene Unternehmen anwenden, wenn der Datenschutz personenbezogener Daten zu den Kerntätigkeiten gehört. Klassische Beispiele sind Social-Media-Plattformen, Versicherungen und Sicherheitsunternehmen, aber auch Arztpraxen oder Anwälte. Der Begriff „Kerntätigkeit“ bedeutet in diesem Zusammenhang, dass ein Datenschutzbeauftragter vor allem dann bestellt werden muss, wenn es sich um wichtige Tätigkeiten handelt, nicht aber um alltäglich vorkommende Verwaltungsaufgaben.

Für jedes Unternehmen heißt dies zunächst einmal herauszufinden, ob das eigene Unternehmen gesetzlichen verpflichtet ist, einen DSB bestellen zu müssen. Nach dem Gesetz geht es nicht nur um die personenbezogenen Daten, die online bzw. über den Einsatz der IT verwendet werden. Auch auf personenbezogene Daten, die offline gelagert werden, hat die EU-DSGVO einen Einfluss – denn auch diese realen Daten müssen den Vorschriften gemäß verarbeitet werden.

Wenn allerdings mindestens einer der folgenden Punkte zutreffen bedeutet dies automatisch, dass das Unternehmen offiziell einen Datenschutzbeauftragten bestellen muss:

  • die unternehmerische Haupttätigkeit in engstem Zusammenhang mit der Verarbeitung von personenbezogenen Daten besteht, die für die Betroffenen mit einer regelmäßigen und systematischen Überwachung notwendig macht;
  • im Unternehmen mindestens zehn Mitarbeiter mit der Verarbeitung von unterschiedlichen Arten von Daten betraut sind;
  • Unternehmen hauptsächlich Daten verarbeiten, die zu den besonderen Datenkategorien laut Artikel 9 DSGVO zu zählen sind. Dazu gehören beispielsweise Daten bezüglich ethnischer Herkunft, biometrische oder genetische Daten sowie die Gesundheitsdaten einer Person;
  • Unternehmen laut Artikel 35 EU-DSGVO nach dem Gesetz verpflichtet sind, eine Datenschutz-Folgenabschätzung durchzuführen;
  • Unternehmen verarbeiten personenbezogene Daten geschäftsmäßig und zum Zweck der Markt- und Meinungsforschung, beispielsweise Agenturen der Marktforschung und der Erstellung von Kundenprofilen.

Die personenbezogenen Daten des bestellten DSB müssen nicht nur an die Aufsichtsbehörden gemeldet werden, auch in der Datenschutzerklärung einer Webseite müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. So kann es zu Verstößen und entsprechenden Abmahnungen kommen.

Muss ein Unternehmen einen Datenschutzbeauftragten bestellen, kann es selbst entscheiden, ob ein interner Datenschutzbeauftragter – also ein Arbeitnehmer aus den eigenen Reihen – oder ein externer Datenschutzbeauftragter – d.h. ein Experte aus der Wirtschaft – berufen werden soll. Die Berufung selbst muss bei den Aufsichtsbehörden schriftlich erfolgen, bei Großkonzernen, die mehrere Tochterunternehmen hat, muss die Benennung der DSBs für jedes einzelne Tochterunternehmen einzeln erfolgen.

 

Was ist besser – ein interner oder ein externer Datenschutzbeauftragter?

Ist ein Unternehmen oder eine Praxis verpflichtet, einen DSB zu bestellen, kann es selbst festlegen, ob als DSB um einen Mitarbeiter des Unternehmens eingesetzt werden soll oder ob es für das Unternehmen sinnvoller ist, einen externen DSB damit zu beauftragen, die datenschutzrechtliche Prozesse zu etablieren und die Einhaltung der Vorschriften der EU-DSGVO zu überwachen.

INTERNER DATENSCHUTZBEAUFTRAGTER

EXTERNER DATENSCHUTZBEAUFTRAGTER

 

Ein interner Datenschutzbeauftragter ist bereits Mitarbeiter eines Unternehmens und kennt die eigenen Unternehmensprozesse. Zumeist ist er kein Fachmann, sollte aber alle Voraussetzungen für die Durchführung einer derart verantwortungsvollen Tätigkeit verfügen. Mit passenden Schulungen werden wichtige Kompetenzen vermittelt, die zum Ausüben der Rollen benötigt werden. Kommt es zu einem Sicherheitsvorfall kann dies bedeuten, ist das Geschick sowie die Erfahrung im Datenschutz bedeutend für richtiges oder falsches Handeln.

 

 

Wird ein externer Datenschutzbeauftragter mit dem Datenschutz im Unternehmen beauftragt, handelt es sich um zertifizierte Experten von einem Fremdunternehmen. Durch immenses Fachwissen kann umfassend beraten werden. Es können Mitarbeiter geschult und das Thema Datenschutz ganz oben auf die Agenda gesetzt werden. So können Unternehmen sicher sein, dass sich das Risiko eines Sicherheitsvorfalls reduzieren lässt und alle Voraussetzungen und Notwendigkeiten geschaffen werden, um mit der EU-DSGVO bestmöglich umzugehen. Im Ernstfall kann der externe Datenschutzbeauftragte auf sein eigenes Netzwerk zurückgreifen.

 

Alle Unternehmen, die aufgrund der EU-DSGVO einen DSB benötigen, können sich frei entscheiden, ob sie einen internen oder einen externen DSB einsetzen wollen. Interne DSB kümmern sich neben der eigentlichen beruflichen Tätigkeit zusätzlich um die Einhaltung des Datenschutz, sodass die eigene Tätigkeit eingeschränkt ausgeübt werden kann, spezielle Schulungen und Weiterbildungen erforderlich sind, die Transparenz leidet und der entsprechende Mitarbeiter Kündigungsschutz erhält. Außerdem kommt es schnell zu Interessenskonflikten, die es – laut der EU-DSGVO – nicht geben darf. Die Fakten sprechen klar für die Bestellung eines externen DSB, der dem Unternehmen die folgenden Vorteile bringt:

 

  • Schonung der eigenen personellen Ressourcen: gerade in den Zeiten, wo es gar nicht einmal so einfach ist, gutes Fachpersonal zu bekommen, sollte das Fachpersonal für den Datenschutz von außen kommen. Dies bedeutet für das Unternehmen „einen Mitarbeiter mehr“.
  • Neutralität und unabhängige Entscheidungen: Der Einsatz eines externen DSB vermeidet Interessenkonflikte innerhalb der Mitarbeiter – ein Grundwert für jeden DSB. Der externe DSB ist unparteiisch und reagiert unvoreingenommen.
  • Umfangreiches Know-How: Externe DSBs verfügen über ein immenses Fachwissen im Bereich der Security und sind zertifiziert. Außerdem fallen aufgrund der bereits vorhandenen Expertise keinerlei Kosten für Weiterbildungen an, da die rasanten Entwicklungen ein aktuelles Fachwissen fordert, auf das sofort zugegriffen werden kann.
  • Klare Kostenstrukturen: da die Kosten für die Dienstleistungen im Vorfeld klar beziffert wurden und der externe DSB sich ausnahmslos und vollumfänglichen um den Datenschutz kümmert, können die Kostenfaktoren eindeutig zugeordnet werden.
  • Schnelle Kündigung: Ist das Unternehmen nicht mit der Leistung des externen DSB zufrieden, so kann er ihn schnell von seinen Aufgaben entbinden. Im Falle eines internen DSB besteht Kündigungsschutz, der schwer anfechtbar ist.

 

Außerdem muss ein externer Datenschutzbeauftragter für seine Arbeit haften. Im Falle des Einsatzes eines internen Datenschutzbeauftragten müsste der Geschäftsführer die komplette Haftung übernehmen. Für Unternehmen bedeutet dies eine wesentliche Risikominimierung

 

Datenschutzstarter – Managen Sie Ihren Datenschutz selbständig

Unser digitaler Auditor führt Sie Schritt für Schritt durch die Pflichten aus der EU-DSGVO – einfach, intuitiv und kostengünstig.

Der Datenschutzstarter von Securime ist gezielt für den Bedarf kleiner und mittelständischer Firmen entwickelt worden. Er zeigt Ihnen vom Beginn an wie Sie Schritt für Schritt die Anforderungen der EU- DSGVO und des BDSG (Bundesdatenschutzgesetz) auch ohne besondere Vorkenntnisse im Datenschutz einfach und schnell umsetzen können. Somit eignet sich das Tool besonders für Firmen, die gesetzlich auf der sicheren Seite sein möchten und auf der Suche nach einer kostengünstigen und einfache Lösung sind. Der digitale Auditor unterstützt Sie mit dem Know-How von zertifizierten externen Datenschutzbeauftragten und Datenschutz-Auditoren. Die Logik ist so aufgebaut, so dass “Jedermann” ohne tiefgehendes Wissen ein adäquates Datenschutzniveau erreichen kann.

Jetzt Kostenlos anmelden