/

BlogDatenschutz
#DSB#DSGVO

Im Mai wurde in den Medien eine neue Bedrohung durch den Gesetzgeber in die Köpfe der Leser projiziert, die EU-DSGVO und die Konsequenzen eines fehlenden Datenschutzes. Prompt boomte der Markt an Schulungen zum Thema DSGVO (nicht unbedingt Datenschutz) und externen Datenschutzbeauftragten. Die Welle ebbt gerade ab, die Gemüter beruhigen sich. Gut so, den der Datenschutz ist ein wichtiges Thema für kühle Köpfe.

Braucht man den Datenschutz?

Ja, der Datenschutz war schon vor der EU-DSGVO wichtig, er wurde nur nicht so richtig ernst genommen. Mit der neuen Verordnung und den höheren Sanktionen, die tief ins Portemonnaie eines Unternehmens greifen können, erhielt das Thema eine neue Gewichtung. Besonders schätze ich den Bezug zur Datensicherheit im Rahmen der technischen und organisatorischen Maßnahmen. Datenschutz ist keine primäre juristische Angelegenheit mehr, sondern verlangt nach praktischen Umsetzungen. Kommen wir zur Eingangsfrage…

Braucht man einen Datenschutzbeauftragten?

Ich denke, es ist immer gut, einen Fachmann/eine Fachfrau im Hause oder in greifbarer Nähe zu haben, um Fragen zum Thema Datenschutz beantworten zu können. Der Datenschutzbeauftragte ist jedoch nicht der pfiffige Mensch von nebenan (nichtsdestotrotz ist es gut, einen zu kennen) , sondern der zum Thema Datenschutz (EU-DSGVO Art. 37) beruflich qualifiziert ist, über das erforderliche Fachwissen verfügt und Datenschutzpraxis besitzt. Die EU-DSGVO verlangt also nach einem Profi, keinem Hobbyisten. Im Bundesdatenschutzgesetz (BDSG) §38 wird auf die Pflicht zur Benennung hingewiesen, wenn mindestens 10 Personen sich mit der Verarbeitung personenbezogener Daten beschäftigen.

Wer sind die glorreichen 10?

Die 10 Zünglein an der Waage

  • Der Hausmeister? In der Regel nicht.
  • Die Buchhaltung? Ja.
  • Der Programmierer? Auch nicht.
  • Die Personalstelle? Ganz sicher, sogar zum Teil wird hier mit sensiblen Daten gearbeitet.
  • Der Empfang? Überraschenderweise auch, weil Besucherdaten erfasst werden.
  • Der Betriebsarzt? Natürlich, wobei hier auch die ärztliche Schweigepflicht gilt.
  • Der Einkauf? Logo, Lieferanten sind oft nur Menschen.
  • Der Geschäftsführer.
  • Der Abteilungsleiter? Ähnlich dem Geschäftsführer.
  • Der Mensch im Vertrieb? Arbeitet mit Kundendaten.
  • Callcenter Agents? Ja, weil hier auch Kundendaten verarbeitet werden.
  • Die Qualitätssicherung? Eher nicht.
  • Marketing? Ja, auch hier fallen personenbezogene Daten an.

Super, da haben wir unsere 10 Personen, die uns schlaflose Nächte bereiten.

Der passende Datenschutzbeauftragte...

Diesen Punkt haben wir oben schon beantwortet. Aber sollte er/sie betrieblich (=intern) oder extern sein? Der Weg zum Datenschutzbeauftragten läuft über eine geeignete Ausbildung in Datenschutz und Datensicherheit. Dieses Wissen muss regelmäßig gepflegt werden. Also, wer im Unternehmen hat die Zeit hierfür? Die DSGVO in Art. 38 weist darauf hin, dass die auserkorene Person nicht benachteiligt werden darf, keine Interessenkonflikte zwischen den verschiedenen Aufgaben bestehen sollten und für seine Aufgaben als Datenschutzbeauftragter verfügbar sein muss. Daraus ergiben sich folgende Überlegungen: Wer langweilt sich im Unternehmen? Oder auf wessen Arbeit könnte verzichtet werden? Oder sollte über den Arbeitsmarkt nicht jemand gefunden werden? Klar ist, dass am Anfang oder nach Änderungen, wie z. B. neue Software, viel Arbeit auf einen benannten Datenschutzbeauftragten zukommt, aber nach einer gewissen Zeit diese Last abnimmt. Übernimmt ein Externer diese Rolle, kann das Unternehmen erheblich entlastet werden.

Braucht man externe Datenschützer

Wirft man einen Blick auf den aktuellen Markt, gibt es schon Datenschutzbeauftragte für 99€ im Monat. Diese Pauschalangebote decken die minimalen Anforderungen zur EU-DSGVO standardisiert ab. Wichtiger ist meiner Meinung nach die Kombination Datenschutz und Datensicherheit, damit das Unternehmen über das Gesetz hinaus von den Maßnahmen profitieren kann. Von denen gibt es viele, die übergreifend mit der IT-Sicherheit Hand in Hand gehen. Die Pauschalangebote sind nicht in der Lage dies abzudecken. Somit kommen die zertifizierten Datenschutzbeauftragten mit IT-Sicherheitkenntnisse per Tagessatz hinzu. Diese Tagessätze können je nach Quelle, Größe der Beratung und Qualifikation schwanken. Zu beachten ist die eigene Unternehmensgrösse. Ein Ein-Personen-Betrieb wird einen Großunternehmen nicht komplett betreuen können, hier wird eher ein Team benötigt.

Fazit

Egal, welche Konstellation, aus dem Auge sollte nicht verloren gehen, dass auch mit dem Vorhandensein eines Datenschutzbeauftragten die Verantwortung beim VERANTWORTLICHEN, also dem Unternehmen bleibt. Zusammenfassung Ohne Zweifel, die Benennung einer Person zum Datenschutzbeauftragten ist sinnvoll und ratsam. Der Gesetzgeber hat mit der Verordnung eine Rolle gestärkt, die jedes Unternehmen beim Umgang mit personenbezogenen Daten entlasten kann.