Der Datenschutzbeauftragte – Praxis und rechtliche Grundlagen

Sieht man sich die Praxis mittelständischer Unternehmen an, gewinnt man häufig den Eindruck, dass der Datenschutzbeauftragte eher als lästiges Anhängsel gesehen wird. Datenschutz und Datensicherheit sind Kostenfaktoren. In diesem Artikel beschäftigen wir uns mit den rechtlichen Grundlagen der Bestellung zum Datenschutzbeauftragten und den Möglichkeiten, aus einer Pflicht Vorteile zu generieren.

Meeting

Die Rechtsgrundlagen für die Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) finden sich in der DSGVO und im Bundesdatenschutzgesetz (neue Fassung), gültig seit Mai 2018. Ein betrieblicher DSB im Unternehmen ist zu bestellen, wenn

  • 20 und mehr Mitarbeiterinnen und Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, oder
  • eine Verpflichtung zur Datenschutzfolgeabschätzung nach Art. 35 DSGVO besteht, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonders sensibler Daten nach Artt. 9 bzw. 10 DSGVO besteht, oder
  • die Kerntätigkeit in der Überwachung und Profilbildung Betroffener besteht.

Unabhängig von der Pflicht zur Bestellung eines DSB müssen Unternehmen die Einhaltung datenschutzrechtlicher Grundsätze, einschließlich der ungeliebten Pflichtdokumentation garantieren.

Drei Kardinalfehler

der Geschäftsleitung bei der Bestellung und der praktischen Arbeit des betrieblichen DSB.

Kardinalfehler No. 1: Der Geschäftsführer oder leitende Angestellte als DSB

Die Aufgaben des DSB und seine Pflichten sind unvereinbar mit den Aufgaben und Pflichten des Geschäftsführers oder leitender Angestellter mit Entscheidungsbefugnis in Bezug auf die Verarbeitung personenbezogener Daten. Wenn Jahre nach Inkrafttreten der DSGVO derartige Konstruktionen immer noch in Datenschutzerklärungen zu finden sind, dann offenbaren die Verantwortlichen ungewollt eine profunde Unkenntnis geltenden Rechts.

Kardinalfehler No. 2: Unterschätzung der Qualifikationsanforderungen an den DSB

Mindestaufgaben und Pflichten des DSB können nur erfüllt werden, wenn dieser die Ressourcen für eine permanente Weiterbildung sowohl in rechtlicher als auch in technisch-organisatorischer Hinsicht bewilligt bekommt. Ein Datenschutzbeauftragter muss die Gewährleistung dafür bieten, jederzeit sowohl die aktuelle Rechtsprechung als auch neue Trends der technischen Entwicklung im Unternehmen angemessen berücksichtigen zu können. Der “Einzelkämpfer” im Unternehmen ist hier schnell überfordert, Teamarbeit hilft.

Kardinalfehler No. 3: Gelebter Datenschutz fängt an der Spitze an

Datenschutz und Datensicherheit sind primär Aufgabe der Unternehmensleitung. Wenn Geschäftsführer oder Vorstände gegenüber Mitarbeitern immer wieder durchblicken lassen, wie lästig und unangenehm die Erfüllung rechtlicher Verpflichtungen ist, warum sollen dann die Angestellten einen gewissenhaften und sorgsamen Umgang mit den anvertrauten Daten pflegen? Geschäftsleitungen sind gut beraten, die eigene Einstellung zu den Themen des Datenschutzes und der Datensicherheit selbstkritisch zu hinterfragen.

Datenschutz ist Vertrauenssache

Auch wenn es in den Zeiten von social media mitunter nicht den Eindruck macht, Kundenbeziehungen leben vom Vertrauen. Wer den Eindruck hat, dass seine Daten zu anderen als den beabsichtigten und gewollten Zwecken missbraucht werden (können), wird im Zweifel die Preisgabe verweigern oder boykottieren oder gleich zum Wettbewerber wechseln. Die Abwanderungswelle von Usern, weg von WhatsApp und hin zu Signal und Threema nach den jüngsten Veröffentlichungen über die geplanten Änderungen der Geschäftsbedingungen ist nur ein Beispiel für diesen Trend.

Datenschutz und Datensicherheit sind wie oszillierende Röhren

Gewährleistungsziele des Datenschutzes und der Datensicherheit

Die Gewährleistungsziele des Datenschutzes und der Datensicherheit verhalten sich zueinander wie oszillierende Röhren, gravierende Mängel auf einer Seite bedingen Mängel auf der anderen. Umgekehrt stärken technisch-organisatorische Maßnahmen der Datensicherheit in den allermeisten Fällen automatisch auch den Datenschutz. Im Zusammenwirken der Gewährleistungsziele entsteht Sicherheit.

Investitionen in Datensicherheit und Datenschutz

verursachen zunächst Kosten. Wie bei allen präventiven Maßnahmen dauert es in der Regel eine Weile, bis die Kosten des Unterlassens sichtbar werden. Hohe Bußgelder und exorbitatante Datenpannen werden auch künftig ihren Weg in die Öffentlichkeit finden. Über Kosten kann man reden, Sicherheit sollte nicht verhandelbar sein.

Bei Fragen oder kritischen Anmerkungen stehen wir Ihnen gerne zur Verfügung.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.