DSGVO: Datenschutzbeauftragter – Wissenswertes für Unternehmen

Ein Datenschutzbeauftragter muss mit dem in Kraft treten der Datenschutz-Grundverordnung (DSGVO) europaweit spätestens bis zum 25. Mai 2018 von einem Unternehmen bestellt werden, deren Tätigkeit einer besonderen Kontrolle bedarf (Art. 35 ff. DSGVO). Damit schafft die DSGVO eine Funktion und Tätigkeit, die vielerorts noch gänzlich unbekannt ist. 

Ein Horrorszenario das sich so oder ähnlich schon in vielen Unternehmen abgespielt hat:

  • Ich komme nicht mehr an meine Daten ran!
  • Es hat eine Cyberattacke auf das Firmennetzwerk gegeben.
  • Sämtliche hochsensible Daten wurden gestohlen.

Immer wieder hört und liest man von diesen Vorgängen. Demzufolge stellt man oftmals die Frage: Hätte der Datenschutzbeauftragte diesen Hackerangriff auch verhindern können?

So ist es um den Datenschutz im Unternehmen bestellt

Anzunehmen wäre es, wenn denn ein Datenschutzbeauftragter im Unternehmen vorhanden gewesen wäre. Doch entweder verletzt der Chef gerade seine gesetzlich verankerte Sorgfaltspflicht oder aber unser Betrieb fällt nicht unter die Mindestanforderungen, die zur Bestellung eines Datenschutzbeauftragten zudem verlangt werden.

Neun Arbeitsplätze sind einfach einer zu wenig, um von einem Datenschutzbeauftragten betreut zu werden. Es müssen schon mindestens zehn Arbeitsplätze sein, die sich regelmäßig mit der Erhebung von automatisierten, personenbezogenen Daten befassen, damit laut Bundesdatenschutzgesetz (BDSG) auch ein Datenschutzbeauftragter relevant für die Firma ist.

So erfolgt die Bestellung

Erst dann muss die Unternehmensführung eine solche Stelle überhaupt schaffen. Tut sie das nicht, drohen ihr nach dem BDSG dementsprechend hohe Geldstrafen.
Festgehalten wird die neue Stelle schriftlich in einer Bestellungsurkunde, die von der Geschäftsführung und dem bestellten Datenschutzbeauftragten unterzeichnet werden.

Genau genommen fallen also schon bei der Bestellung des obersten betrieblichen Datenschützers personenbezogene Daten an. Kenntnis davon haben aber in der Regel nur die Unternehmensleitung, denen der Datenschutzbeauftragte direkt unterstellt ist und zudem die betroffenen Mitarbeiter, die sich regelmäßig mit personenbezogenen Daten auseinandersetzen.

Anforderungen an den „obersten Datenschützer” im Betrieb oder Unternehmen

Der Retter von Kunden- und internen Unternehmensdaten ist kein Phantom in der Firma. Er muss die betrieblichen Abläufe und die Organisationsstruktur des Unternehmens bestens kennen, um sein Amt auch aktiv erfüllen zu können.

Der Datenschutzbeauftragte muss sich ein Bild über den gesamten Umfang der Datenverarbeitung machen – die häufigsten und fast täglichen Fragen mit denen sich ein Datenschutzbeauftragter befasst sind u.a.:

  • Wann fallen welche Daten an?
  • Wie sind Daten erfasst, gespeichert und gesichert?
  • Wie werden sie untereinander im Betrieb weitergegeben?
  • Wo kann es zu Datenlecks kommen?

Das heißt gute IT-Kenntnisse sind daher unbedingte Voraussetzungen für den Job.
Genauso wie Verschwiegenheit und Loyalität an der Tagesordnung stehen sollten.

Externer oder interner Datenschutzbeauftragter: Was ist das Beste für die Firma?

Im besten Falle war er schon vorher als Mitarbeiter an den entscheidenden Stellen tätig und hat zudem einen erheblichen Wissensvorsprung gegenüber einem externen Datenschutzbeauftragten. „Ein Gefangener des Systems wird es wohl kaum effizienter machen!” werfen die Kritiker an dieser Stelle ein.

Ein interner Datenschutzbeauftragter verfügt oftmals nicht über den nötigen Weitblick und die Unbefangenheit bei der Beurteilung des Datenschutzes. Am liebsten würde es ja der Chef selbst in die Hand nehmen. Genau aus diesem Grund aber ist die Bestellung von internen Mitarbeitern und zudem in leitenden Positionen (Geschäftsführer, IT-Leiter, Administratoren etc. als Datenschutzbeauftragten) verboten!

Die Unternehmensleitung wird ohnehin in den meisten Fällen auf einen externen Datenschutzbeauftragten zurückgreifen. Denn er bringt oft langjährige Erfahrung und Know-How durch seinen Einsatz in verschiedenen Unternehmen mit und fällt dem Arbeitgeber unter dem Strich auch finanziell weniger zur Last. Ein externer Datenschutzbeauftragter bekommt die Kosten für die Weiterbildung vom Arbeitgeber nicht erstattet.

Datenmissbrauch verhindern dank Dsgvo?

Am Ende spielt es jedoch keine Rolle, ob ein externer Datenschutzbeauftragter oder ein interner Datenschutzbeauftragter sich um den Datenschutz im Betrieb kümmert. Hauptsache, ein umfassender Datenschutz kann durch professionell strukturierte Maßnahmen angeboten werden. Dabei muss es gar nicht zum schlimmsten Szenario (großflächiger Datenmissbrauch) kommen. Für diesen Fall hat der Datenschutzbeauftragte in Zusammenarbeit mit der Unternehmensleitung bereits IT-Notfallpläne konzipiert.

Datenschutz-Prävention

durch:

  • die Beratung und Schulung von Mitarbeitern
  • die Zusammenarbeit mit der Datenschutzbehörde
  • sowie die Kontrolle der Mitarbeiter bei Datenerfassungs- sowie Datensicherungsmaßnahmen

steht im Vordergrund.

Schon eine Mail mit vertraulichen Kundendaten an den falschen Absender oder eine Rechnung an den falschen Adressaten kann demzufolge sehr rufschädigend sein.
In Zeiten der Digitalisierung hat Datenmissbrauch globale Auswirkungen (siehe Cambridge Analytica/Facebook).

Daran soll die ab 25. Mai 2018 in neuer Auflage erscheinende EU-weit gültige Datenschutz-Grundverordnung (DSGVO) die Betriebe erinnern. Personenbezogene Daten sind überdies das höchste Gut an Daten, die es zu schützen gilt. Wer das nicht konsequent umsetzt muss folglich auch einen hohen Preis zahlen.

 

Weitere News zur DSGVO:

https://datenschutzbeauftragter-dsgvo.com/whatsapp-warum-unternehmer-aufgrund-der-dsgvo-nun-darauf-verzichten/

https://datenschutzbeauftragter-dsgvo.com/?s=unternehmer