Aufgaben, Rechte & Pflichten von Datenschutzbeauftragten

Mit der steigenden Digitalisierung von Privatalltag und Beruf entstehen viele neue Risiken. Der Begriff der Datensicherheit ist dabei schon lange kein Neuland mehr. Dennoch kommt es immer wieder zu Berichten über Hackerangriffe und mangelhaften Schutz der Daten.

Das kann insbesondere für Unternehmen fatal sein, die viele sensible Dokumente und Informationen speichern. Sowohl der Schutz ihrer Firmengeheimnisse als auch die Sicherheit und Privatsphäre ihrer Kunden, Mitarbeiter und Partner müssen gewährleistet werden.

Gesetzlich ist der Datenschutz durch die Datenschutzgrundverordnung (DSGVO) vorgeschrieben. In diesem Rahmen müssen Unternehmen einen oder eine Datenschutzbeauftragte ernennen. Wie sehen die Regelungen bezüglich des Datenschutzes derzeit aus und in welchem Fall lohnt sich das Einstellen von externen Datenschutz-Dienstleistern?

Wann ist ein Datenschutzbeauftragter notwendig?

Die Pflicht, Datenschutzbeauftragte zu ernennen, trifft auf beinahe alle Firmen zu.

• Sie gilt für Unternehmen, in denen mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Dieser Vorgang klingt abstrakt, ist aber in vielen Branchen Teil des Alltags:

• Das gilt beispielsweise in Online-Shops, bei denen Kundenadressen und Finanzinformationen bei Bestellungen erfasst werden. Registriert sich der Kunde und stimmt dem Erhalt von E-Mails zu, werden hier viele automatisierte Prozesse umgesetzt. Ein Beispiel ist das Einsetzen der Kundennamen als Anrede in Newslettern und Bestellbestätigungen.
• Nicht nur die Daten von Kunden sind hier einbezogen. Das Gleiche gilt auch für Mitarbeiterinformationen. Besitzt ein Unternehmen ein Lohnabrechnungs- oder Schichtplanungssystem, arbeiten diese mit hoher Wahrscheinlichkeit mit digitalisierten personenbezogenen Daten und automatisierten Abläufen.
• Auch das Bearbeiten von Bewerbungsunterlagen fällt unter diese Bereiche, die den Datenschutz notwendig machen.

Datenschutzbeauftragte sind außerdem unabdingbar, wenn das Unternehmen kleiner ist, sich aber als Geschäftsmodell mit dem Übermitteln von personenbezogenen Daten beschäftigt. Das ist beispielsweise bei der Meinungsforschung der Fall.

Wen kann man zu Datenschutzbeauftragten ernennen?

Für die Ernennung fordert die DSGVO die folgenden Kriterien:

• eine passende, berufliche Qualifikation
• Fachwissen auf dem Gebiet des Datenschutzes & der Datenschutzpraxis
• die Fähigkeit, die gesetzlich definierten Aufgaben für den Datenschutz zu erfüllen
• kein Bestehen eines Interessenkonfliktes bei internen Beauftragten

Intern oder extern: Was ergibt Sinn?

Wenn ein Unternehmen Datenschutzbeauftragte benötigt, steht zunächst eine wichtige Frage an:

• Möchte man die Person intern ernennen oder auf externe Services zugreifen?

Verschiedene Dienstleister vermitteln geschulte Datenschutzbeauftragte an Firmen, die dort diese Rolle übernehmen. Dieser Service kann sich lohnen, wenn in den eigenen Reihen die notwendige Expertise und Affinitäten fehlen, oder der Fokus auf Kernaufgaben wichtiger ist.

Besonders für Unternehmen, die aufgrund ihrer Ressourcen keinen internen Datenschutzbeauftragten bestellen können, ist ein externer Datenschutzbeauftragter eine sinnvolle Option. Es gibt Agenturen und Selbständige, die über alle notwendigen Qualifikationen verfügen und diese Funktion für das Unternehmen ausüben können.

Externe Datenschutzbeauftragte können sich aus vielen Gründen lohnen:

• bessere Haftung & Absicherung, da keine betriebliche Veranlassung gilt
• transparenter Dienstleistungsvertrag mit klarer Kostenstruktur, Aufgabenbereichen, Verantwortlichkeiten & Co.
• Weiterbildungen werden meist durch die externen Dienstleister getragen, damit diese einen besseren Service verkaufen können
• bestmögliche Expertise wegen Fokus auf die Aufgaben des Datenschutzes
• keine Interessenkonflikte
• bei internen Datenschutzbeauftragten können diese ihrer Haupttätigkeit nicht mehr in vollem Umfang nachgehen
• auch für interne Datenschutzbeauftragte fallen höhere Kosten an, für Ausbildung und Gehaltserhöhungen dank der gestiegenen Qualifikationen
• sofort fertig ausgebildete Beauftragte, statt Interne, die zuerst fortgebildet werden müssen
• Kündigungen sind ohne Abmahnungen möglich
• und mehr …

Aufgaben & Pflichten der Datenschutzbeauftragten

Artikel 39 der DSGVO bildet einen Katalog an Aufgaben und Pflichten für Datenschutzbeauftragte. Dort aufgeführt sind:

• die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften
• das Sensibilisieren & Schulen der Mitarbeiter
• das Unterrichten & Beraten von Verantwortlichen (z. B. der Unternehmungsleitung), Auftragsverarbeitern & Beschäftigten
• die Zusammenarbeit mit der Aufsichtsbehörde
• die Ansprechstelle für Betroffene
• die Beratung & Überwachung bei der Datenschutz-Folgeabschätzung
• das Erstellen von Gutachten

Haften die Datenschutzverantwortlichen bei mangelndem Datenschutz?

Die DSGVO wird andauern erweitert und noch nicht alle Bereiche sind endgültig festgelegt. Inwiefern Datenschutzbeauftragte haften müssen, ist eine dieser Fragen.

• EU-Datenschutzbehörden verneinen die persönliche Haftung der Beauftragten.
• In Deutschland beantwortet sich die Frage in der Praxis individuell. Gerichte entscheiden darüber, wer in einem spezifischen Verstoß haften muss und untersuchen dabei, weshalb und durch wessen Verschulden die Mängel entstanden sind.

Die beauftragten Personen haften zum Beispiel dann, wenn sie falsch, unvollständig oder zu spät Beratungen und Schulungen durchführen. Deshalb liegt es in ihrem Interesse, auf einen möglichst schnellen, effektiven Datenschutz für digitale und analoge Dokumente hinzuarbeiten.

Rechte der Datenschutzbeauftragten

Neben den Pflichten gibt es auch Rechte für die Datenschutzbeauftragten:

• Datenschutzbeauftragte arbeiten weisungsfrei und unabhängig.
• Sie sind der Geschäftsleitung unterstellt. Sie muss ihnen alle notwendigen Mittel zur Verfügung stellen, die für die Ausübung der Tätigkeit anfallen.
• Die Geschäftsführung zahlt für verpflichtende Fortbildungen zum Datenschutz.
• Interne Datenschutzbeauftragte haben einen absoluten Kündigungsschutz, der nur in sehr extremen Fällen seine Wirkung verliert. Kündigungen sind nur nach Abmahnung mö
• Anders ist es bei externen Datenschutzbeauftragten. Ihr Vertrag kann bei Verstößen ohne Abmahnung widerrufen werden. Außerdem können die Verträge hier befristet werden.

Fazit – Effektiver Datenschutz mit externen Dienstleistern

Um personenbezogene Daten vor Hackerangriffen auf Unternehmen und anderen Risiken zu schützen, sind Datenschutzbeauftragte gesetzlich vorgeschrieben. Viele Unternehmen ernennen intern einen Mitarbeiter zu diesem Zweck. Dieser ist dann dafür verantwortlich, dass die Vorgaben der Datenschutzrichtlinien eingehalten und Mitarbeiter geschult werden.

Es kann aber Nachteile haben, interne Mitarbeiter dafür bereitzustellen. Sie verlieren den Fokus auf ihre Kerntätigkeit. Bei ihnen müssen Arbeitgeber zudem die Fortbildungen zahlen und Kündigungen sind nur in Extremfällen möglich. Eine gute Lösung für das Problem sind externe Datenschutzbeauftragte. Sie haben sofort die bestmögliche Expertise in dem Feld und bieten diese mit einem festen Dienstleistungsvertrag an. Dadurch erhalten Unternehmen eine transparente Übersicht über die Kosten und klar strukturierte Aufgabenbereiche.

-------------------

Bildquelle https://unsplash.com/photos/bSlHKWxxXak