Datenschutzbeauftragter nach neuer DSGVO Definition

Ein Datenschutzbeauftragter ist beinahe in jedem Unternehmen nunmehr Pflicht geworden. Was muss er können? Mit welchen Aufgaben befasst dieser sich? Welche Neuheiten bei der neuen Datenschutz-Grundverordnung gibt es? Was heißt es nun für die Unternehmen?

Welches Unternehmen das Wort „Datenschutzbeauftragter“ schon hört, bekommt ein ganz anderes Gefühl. Denn wer hat noch nichts von der DSGVO (Datenschutz-Grundverordnung) gehört, welche Ende Mai 2018 in Kraft getreten ist. Jetzt werden die Verstöße gegen die Rechte des Datenschutzes viel preisintensiver werden als zuvor.

Bis zu dem Inkrafttreten am 25. Mai 2018 haben unzählige Unternehmer das Thema schnell in den Hintergedanken verbannt, so dass gewissermaßen der Datenschutzbeauftragte dringend gebraucht wird. Das Risiko ist jedem Bewusst und die Verunsicherung deutlich zu spüren. Dazu kommt, dass die neuen Vorgaben komplex und knifflig sind und von einer fachmännischen Praxis, die sich mit der Beratung von Datenschutz befassen, noch erlernt werden müssen.

Wer braucht einen Datenschutzbeauftragten? 

Nach § 37 der DSGVO brauchen alle Unternehmen einen Datenschutzbeauftragten, in denen personenbezogene Angaben auf automatische Art und Weise verarbeitet werden. Hierzu zählen unter anderem die Kontonummern, E-Mail-Adressen oder persönliche Adressen von den jeweiligen Kunden.

Für Kleinbetriebe gilt allerdings eine Ausnahme: Das Unternehmen braucht nur einen Datenschutzbeauftragten, wenn in der Firma mehr als zehn Mitarbeiter arbeiten und mit solchen Daten zu tun haben. Bei den Mitarbeitern zählt jeder Mensch, der sich mit diesen Angaben beschäftigt, auch wenn es nur einmal in der Woche oder im Monat ist. Für den Fall, dass die Mitarbeiter die Hauptaufgabe bekommen, an einem Computer ihre Arbeit auszuführen, dann ist der Gedanke an einem Datenschutzbeauftragten sinnvoll. Denn bei vielen Aufgaben kommt der jeweilige Mitarbeiter mit den personenbezogenen Daten in Verbindung. Das reicht schon aus, wenn die individuellen E-Mails gelesen und die Adressen abgespeichert werden.

Aber neben der Anzahl der Mitarbeiter ist ein interner Datenschutzbeauftragter in einem Unternehmen ebenfalls sehr wichtig, wenn

  • ein Unternehmen dazu Rechte hat, die personenbezogenen Daten an Dritte weiterzuleiten wie zum Beispiel bei Meinungs- und Marktforschungszwecken oder beim herkömmlichen Adresshandel.
  • die Daten verarbeitet werden, für die eigentliche eine Folgenabschätzung in Bezug auf dem Datenschutz notwendig ist. Das ist insbesonders dann relevant, wenn es sich hierbei um ein erhöhtes Risiko für Betroffene oder um sensible Daten handelt. Falls die erworbenen Angaben auf irgendeine Form missbraucht werden, wie beispielsweise für religiöse Überzeugungen, für ethnische Herkunft, für die Gesundheit oder für eine sexuelle Orientierung. Auch als sehr Relevant anzusehen ist es, wenn sich ein Unternehmen für Kameras auf dem Gelände entscheidet. Die aufgenommenen Bilder werden dann als besonders sensibel angesehen.

Inwiefern hat sich die DSGVO (Datenschutz-Grundverordnung) für ein Unternehmen verändert? 

Es ist deutlich erkennbar, dass seit Ende Mai 2018 mehr Unternehmen sich dafür entscheiden, einen Datenschutzbeauftragten in die Firma zu holen. Sie müssen nun wissen, wie ernst die neuen Pflichten sind, um härtere Sanktionen zu umgehen.

Die wichtigsten Anforderungen zusammenfassend:

  1. Jedes Unternehmen ist dazu verpflichtet, die Kontaktdaten wie E-Mail-Adressen, Telefonnummern etc. des Datenschutzbeauftragten zu veröffentlichen. Jeder Mitarbeiter, der mit den Kundendaten in Kontakt kommt, muss von dieser Person wissen. Aber auch auf der Webseite des Unternehmens sollte ein Vermerk vorgenommen werden. Außerdem ist das Unternehmen nach Artikel 37, Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der örtlichen Landesdatenschutzbehörde zu übermitteln. Die Landesdatenschutzbehörde ist das Amt, die bei Verstößen gegenüber dem Datenschutz in Einsatz kommt.
  2. Der Datenschutzbeauftragter – ob als interner Datenschutzbeauftragter oder externer Datenschutzbeauftragter – soll nach den Vorgaben der Datenschutz-Grundverordnung aktiver werden als bisher: Es ist nicht nur eine Beratung, sondern zusätzlich noch einer Überwachung unabdingbar. Damals durfte dieser seine Meinung preisgeben, wenn der Geschäftsführer oder Firmeninhaber neue Änderungen im Unternehmen vornehmen möchte, um die personenbezogenen Daten divergent zu verarbeiten. Künftig müssen die Datenschutzbeauftragten darauf achten, dass bei der Auswahl eines neuen Systems die Daten wirklich geschützt sind und bleiben. Dabei ist eine stetige Nachfrage bei dem Firmeninhaber oder Geschäftsführer erforderlich.
  3. Angenommen, dass es mehrere Unternehmensgruppen mit verschiedenen Standorten gibt, dann reicht ein externer Datenschutzbeauftragter völlig aus. Immerhin findet hier Artikel 37, Abs. 2 Anwendung, wenn dieser „leicht erreichbar ist“; auch in persönlicher Hinsicht. Dafür ist es vorteilhaft, dass vorab bereits Angaben kooperativ verarbeitet wurden.
  4. Bei mehreren Unternehmen ist das Thema Datenschutz bislang noch eine Nebensächlichkeit. Das darf aber nicht in die Vergessenheit geraten und mehr in den Vordergrund kommen, da nunmehr alles riskanter wird. Drohen umständehalber Verstöße gegen die Rechte, dann sind diese mit enorme Strafen zu rechnen. Gesondert dann, wenn Personen feststellen, dass mit den eigenen Daten etwas geschehen ist, wobei keine Zustimmung erfolgt ist, dann gibt es die Möglichkeit, das Unternehmen anzuklagen.

Welche Aufgaben haben Datenschutzbeauftragte? 

Datenschutzbeauftragte müssen darauf achtgeben, dass das Unternehmen alle Vorgaben der Datenschutz-Grundverordnung einhält. Die Aufgaben und Anforderungen stehen im Artikel 39:

  1. Der Datenschutzbeauftragter übernimmt die präzise Beratung mit dem Verantwortlichen eines Unternehmens, wenn es um Datenschutz geht. Allerdings darf dieser auch die Aufgabe übernehmen und selbst Entscheidungen treffen, ohne der Zustimmung der Verantwortlichen, wenn er das Vorhaben für richtig hält.
  2. Die Mitarbeiter werden von Datenschutzbeauftragte sensibilisiert und geschult. Dafür sind regelmäßige Meetings vonnöten, in denen es jederzeit um wichtige Themen geht: Wie funktioniert ein sicheres Passwort? Wie kann verhindert werden, dass beim Arbeiten andere Mitarbeiter, die nicht mit personenbezogenen Daten zu tun haben, nicht auf dem Bildschirm schauen? Wie oft ein interner Datenschutzbeauftragter eine Zusammenkunft mit allen Mitarbeitern vornimmt, steht nicht in der DSGVO und kann von diesem individuell festgelegt werden. Das ist auch nicht von der Unternehmensgröße abhängig.
  3. Die Arbeit zwischen dem Datenschutzbeauftragten und der Datenschutzbehörde ist jedem selbst überlassen. Dieser ist zwar zu einer Zusammenarbeit mit dem Amt nicht verpflichtet, kann aber freiwillig dort Meldungen aufgeben, wenn in dem jeweiligen Unternehmen gelegentlich etwas auffällt. Sofern es eine Beschwerde seitens der Behörde gibt, muss der Datenschutzbeauftragte sich die Zeit dafür nehmen und den Fall aufklären. Vorgaben sind Vorgaben.
  4. Ein interner Datenschutzbeauftragter ist ein optimaler Ansprechpartner für alle Mitarbeiter. Wenn es beispielsweise einmal dazu kommt, dass ein Mitarbeiter aus Versehen eine Nachricht an einem falschen Adressaten gesendet hat, und der eigentliche Empfänger erfährt davon, dann ist ein Datenschutzbeauftragter dazu in der Lage, die Beschwerde von dem Betroffenen anzunehmen und weitere Nachforschungen anzustellen. Durch die Datenschutz-Grundverordnung werden die Vorgaben und Rechte der angegangenen Personen erweitert, um zukünftig bei weiteren Anfragen die Daten schneller bearbeiten zu können.
  5. Wenn im Unternehmen eine Datenschutz-Folgeabschätzung durchgeführt werden soll, dann ist ein interner Datenschutzbeauftragter genau der Richtige, der die Überwachung übernimmt und die Verantwortlichen dazu berät.

Was braucht der Datenschutzbeauftragte für seine Arbeit? 

Ein interner Datenschutzbeauftragter oder externer Datenschutzbeauftragter kann seine Arbeit nur ausführen, wenn nach den geforderten Anforderungen dieser ein ausreichendes Wissen nachweisen kann. Immerhin sind Kenntnisse in Bezug auf die technische Datenverarbeitung vom Unternehmen und im juristischen Themenfeld bezüglich der Rechte zum Datenschutz unerlässlich. Wenn ein Geschäftsführer oder Firmeninhaber meint, einen Mitarbeiter als Datenschutzbeauftragten einzustellen, dann sind einige Anforderungen nachzuprüfen: Was ist das für ein Mitarbeiter? Welche Kenntnisse kann der Mitarbeiter mitbringen? Mit welchen Aufgaben hat der Mitarbeiter bisher zu tun gehabt? Gibt es Themen, in welchen der Mitarbeiter noch eingearbeitet werden muss? Fällt die Entscheidung etwa auf einen IT-Fachmann, ist zwar das Wissen in der Technik vorhanden, aber der Rest muss noch geschult werden. In der Datenschutz-Grundverordnung sind keine Anforderungen festgelegt, inwiefern Fachwissen vorliegen muss. Ein Datenschutzbeauftragte muss und kann nicht allwissend sein. Bedeutend ist nur, dass er sich mit den Daten auskennt, die in dem Unternehmen verarbeitet werden. Dass ein Datenschutzbeauftragte aus einem Onlinehandel andere Kenntnisse und Anforderungen haben muss wie jemand aus einer Arztpraxis liegt wohl klar auf der Hand.

Denn für den Fall, dass eine Beschwerde auf dem Tisch landet und somit die Aufsichtsbehörde davon Wind bekommt, dass der Datenschutzbeauftragte keine Ahnung von den Daten des Unternehmens hat, wird es ab sofort teuer. Bei Verstößen gegen die Rechte sind nunmehr Geldstrafen bis zu 20 Millionen Euro zu rechnen oder bis zu 4 % des globalen Jahresumsatzes möglich. Es kommt immer auf die endgültige Höhe an.

Gibt es eine Beschwerde oder eine Klage, dann übernimmt die Datenschutzbehörde die Überprüfung, inwiefern das Verschulden des Unternehmens zurückzuführen ist. Dabei wäre es hervorragend, dass das Unternehmen Nachweise erbringen kann, dass die Entscheidung auf einen Datenschutzbeauftragten gefallen ist, der zuverlässig seine Aufgaben ausführt. In diesem Fall fällt das Bußgeld etwas geringer aus oder es passiert gar nichts.

Interner Datenschutzbeauftragter vs. externer Datenschutzbeauftragter?

Ob ein interner oder externer Datenschutzbeauftragter in einem Unternehmen kommt, entscheidet der Firmeninhaber oder Geschäftsführer. Für beide Varianten gibt es die Vor- und Nachteile: Mit einem interner Datenschutzbeauftragten gibt es den Pluspunkt, dass dieser dass Unternehmen vollständig und umfassend kennt und die Abläufe so koordinieren kann, wie er es für sinnvoll hält. Natürlich kann es immer wieder zu einem Interessenkonflikt kommen, muss aber nicht. Darüber hinaus kommt man nicht umhin, dass sich der Datenschutzbeauftragte erst einmal das Wissen aneignen muss, um sich mit dem Thema Datenschutz auszukennen. Diese Erkenntnis bringt in der Regel ein externer Datenschutzbeauftragter bereits mit. Zudem interessiert sich das Unternehmen meist für das objektive Blickfeld: Für den Fall, dass der Datenschutzbeauftragter nicht wie gewünscht ordentlich arbeitet und es womöglich zu einer Klage kommt, dann muss der externe Datenschutzbeauftragte wissen, dass er vollständig in die Haftung geht. Auch wenn es hier um eine Fahrlässigkeit geht. Nachteilig ist zu erwähnen, dass er eine gewisse Zeit braucht, um sich im Unternehmen zurechtzufinden.