Pünktlich zu Beginn des neuen Jahres dürften sich viele von Ihnen fragen, ob es innerhalb Ihres Unternehmens Dinge gibt, die verbessert werden können. Hand auf’s Herz- uns allen geht es so. Die gute Neuigkeit: Jetzt ist die beste Zeit für konstruktive Veränderungen! Die Erinnerungen an das alte Geschäftsjahr sind noch relativ frisch, über die Feiertage hatten Sie viel Zeit Dinge zu „verdauen“ und das alte Jahr zu reflektieren und Sie haben über die freien Tage genügend neue Energie getankt, um voller Tatendrang neu durchzustarten. 😉

Heute möchte ich mich dem Thema betriebliche/r Datenschutzbeauftragte/r (aus Gründen der Einfachheit im Folgenden nur „DSB“ in der männlichen Form) widmen, denn ein solcher kann ihr neues Geschäftsjahr unter Umständen zu einem sehr gewinnbringenden machen!

Wann brauche ich einen Datenschutzbeauftragten?

Seit Mai 2018 bestimmt die DSGVO, wann ein DSB zu benennen ist. Zudem hat der deutsche Gesetzgeber, wie von der DSGVO erlaubt, zusätzlich nationale Regelungen dazu im BDSG erlassen.

Nach DSGVO muss ein DSB benannt werden, wenn:

• es sich um eine Behörde oder öffentliche Stelle handelt (davon ausgenommen sind Gerichte)
• die Kerntätigkeit von Verantwortlichen und Auftragsverarbeitern darin besteht Verarbeitungsvorgänge durchzuführen, die eine „umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich“ machen (dazu zählen zum Beispiel Unternehmen der Telekommunikation oder Auskunfteien, aber auch bereits der Einsatz bestimmter Technologien zur Kundenanalyse)
• sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO verarbeitet werden

Zusätzlich nach BDSG muss ein DSB benannt werden, wenn:

• der Verantwortliche oder Auftragsverarbeiter mindestens 10 Personen beschäftigt, die dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten betraut sind (ob diese Regelung allerdings verfassungsgemäß ist, wird derzeit vom Bundesverfassungsgericht in Karlsruhe entschieden. Es bleibt also spannend im Datenschutzrecht!)
• für einzelne Verarbeitungen eine Datenschutzfolgenabschätzung durchzuführen ist, also ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht (bspw. Gesundheits- oder Finanzdaten)
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden

Verstößt ein Unternehmen gegen seine Pflicht einen DSB zu benennen, kann bereits dann die Aufsichtsbehörde Geldbußen nach Art. 83 Abs. 4 lit.b) DSGVO verhängen.

Und wer ist dazu geeignet, das Amt des DSB zu übernehmen?

Das Gesetz nennt als Voraussetzung die berufliche Qualifikation, was irgendwie logisch erscheint. Aber in der Praxis reicht nicht nur das. Der DSB sollte sicherlich über das nötige Fachwissen verfügen, aber auch Managementfähigkeiten für das Datenschutzmanagement aufweisen. Dazu kommen „soft skills“ wie Standhaftigkeit, Gewissenhaftigkeit und Sozialkompetenz. Die Rolle des DSB ist einerseits die eines Interessenvertreters, ja man könnte ihn als Lobbyisten des Datenschutzes bezeichnen, der sich dafür einsetzt, dass in den Büros deutscher Unternehmen und Behörden das neue Datenschutzrecht Anwendung findet. Andererseits aber ist es ebenso seine Aufgabe, sich dafür einzusetzen, dass die neuen Datenschutzmechanismen so praktikabel wie möglich im Unternehmen implementiert werden, so, dass das Geschäft weiterhin florieren kann. Ein wahrer Spagat, der eine gewisse charakterliche Standhaftigkeit und einen klaren Kurs von Seiten des DSB erfordert, wobei an dieser Stelle gesagt sei, dass er letztlich immer nur Handlungsempfehlungen ausspricht, die Führung im Datenschutz aber bei der Geschäftsführung belassen wird. Gewissenhaft sollte er zudem sein, weil beim Datenschutz oft der Teufel im Detail steckt. Oft ergibt sich nur nach tieferem Abteilungs-übergreifendem Nachfragen, dass doch eine DSGVO-relevante Verarbeitung personenbezogener Daten vorliegt, die einen Eintrag ins Verarbeitungsverzeichnis verdient. Schließlich nenne ich Sozialkompetenz als Eigenschaft des DSB. Dies deshalb, weil dieser die Mitarbeiter des Unternehmens oder der Behörde gewinnen muss, um sie für sein Thema, den Datenschutz zu sensibilisieren und letztlich auch zu mobilisieren. Denn die Implementierung des Datenschutzes funktioniert nur dann, wenn alle Beteiligten innerhalb eines Unternehmens mitmachen und sich als Teil des neuen Prozesses verstehen.

Der DSB, der intern bestellt wird, mitunter ein normaler Mitarbeiter des Unternehmens, muss außerdem frei sein von Interessenkonflikten. Aufgrund des Prinzips der Eigenkontrolle im Datenschutz erfordert dies, dass der DSB Geschäftsbereiche überwacht, die nicht seine eigenen sind. Da schließt sich überhaupt die Frage an:

DSB- intern oder extern?

Der Vorteil des internen DSB liegt auf der Hand: Er ist Mitarbeiter der Behörde oder des Unternehmens und schon tief in die Abläufe integriert, er kennt die Prozesse und kann schnell überblicken, wo datenschutzrelevante Vorgänge „lauern“. Er ist allerdings so weit von seiner normalen Tätigkeit freizustellen, dass der Bereich Datenschutz vollkommen von ihm abgedeckt wird und ihm sind die dazu nötigen Ressourcen und Mittel zur Verfügung zu stellen. Ob es aus Arbeitgebersicht wirklich ein großes Ersparnis ist, eine normale Arbeitskraft komplett an den Datenschutz zu verlieren bei möglicherweise steigenden Ausgaben, bleibt indes fraglich. Hinzu kommt, dass der interne DSB sich in die Tiefen des (neuen) Datenschutzrechts einarbeiten muss, hierfür bieten Zertifizierungsstellen kostenpflichtige Weiterbildungen an.

Vorteile eines externen DSB

Welche Vorteile bietet eigentlich die Beauftragung eines externen DSB? Ein solcher, eine solche verfügen bereits über hervorragende Fachkenntnisse (Ausnahmen bestätigen auch hier die Regel 🙂 ), die sie zum Beispiel durch eine Zertifizierung nachweisen können. Sie sind absolute Experten auf ihrem Gebiet und verfügen über einen tiefen Erfahrungsschatz durch die Betreuung gleich mehrerer Unternehmen zur gleichen Zeit. Sie als Unternehmer müssen hier nicht erst in die datenschutzrechtliche Einarbeitung investieren wie beim internen DSB, der externe bringt sein Wissen und seine fundierten Kenntnisse mit ein in Ihr Unternehmen und bringt diese auch Ihren Mitarbeitern nahe.

Was genau sind die Aufgaben des DSB und wo endet sein Aufgabenbereich?

Aufgaben hat der DSB genau zwei: Das Unternehmen im Datenschutz zu beraten und seine Datenschutzabläufe zu kontrollieren. Verantwortlich für die Einhaltung bleibt aber die Geschäftsführung.

Nach Art. 39 Abs. 1 DSGVO sollte die Tätigkeit des DSB folgendes umfassen:

• Verantwortliche, Auftragsverarbeiter und Beschäftigte bei der Durchführung von Datenverarbeitungen beraten
• die Einhaltung des Datenschutzrechts und der ausgearbeiteten Datenschutzstrategien überwachen
• Schulung der Mitarbeiter
• Überwachung der Durchführung von Datenschutzfolgenabschätzungen
• Zusammenarbeit mit der Aufsichtsbehörde
• Beantwortung von Fragen der Aufsichtsbehörde

In seiner beratenden Funktion spricht der DSB Handlungsempfehlungen aus. Die Entscheidung über die Durchführung dieser, genauso wie die Entscheidung über die Beauftragung bestimmter Auftragsverarbeiter verbleibt aber beim Verantwortlichen. Dies ist zumeist die Geschäftsführung. Hier endet die Verantwortung des DSB.

Haben Sie Fragen zur Tätigkeit des DSB, dürfen Sie sich jederzeit gerne unter isabel.ledig@her-legal-desk.com an mich wenden. Auch ich bin zertifizierte externe Datenschutzbeauftrage und biete Ihnen an, Ihr Unternehmen als ständige Beraterin in allen Prozessen des Datenschutzes zu begleiten!