DSGVO:
Externer Datenschutzbeauftragter bietet große Vorteile

Datenschutzbeauftragter & das „neue Datenschutzrecht“: Im Hinblick auf den nahenden Stichtag des 25.05.2018 besteht viel Unsicherheit, was das Thema Datenschutz angeht. Man hat den Eindruck, dass man sich hier wie „vor Gericht und auf hoher See“ in Gottes Hand“ befände. Insofern passt das hier verwendete Beitragsbild ganz gut.

Viele Unternehmen haben sich nämlich bisher nur oberflächlich mit dem Thema Datenschutz auseinandergesetzt. Kam es zu Verstößen gegen Datenschutzbestimmungen, wurden diese von den Aufsichtsbehörden nur mit geringen Bußgeldern geahndet. Auch mit der Bestellung von Datenschutzbeauftragten (DSB) nahm man es bis dato nicht so genau. Mit der ab 25. Mai dieses Jahres europaweit geltenden Datenschutz-Grundverordnung (DSGVO) ist damit jetzt endgültig Schluss.

Die DSGVO und ihre Bedeutung für Unternehmen

Ab dem 25. Mai 2018 gilt die zwei Jahre zuvor in Kraft getretene Datenschutz-Grundverordnung auch hierzulande. Mit dem europaweit einheitlichen Datenschutzrecht soll der in der EU lebende Verbraucher besser vor dem Missbrauch seiner persönlichen Daten geschützt werden. Alle Unternehmen mit Hauptsitz in einem europäischen Land und manche außereuropäische Konzerne haben sich dann an seine Bestimmungen zu halten. Die neue EU-DSGVO hat verschiedene weitere wichtige Änderungen zur Folge.

Als persönliche Daten gelten nicht nur Namen, Telefonnummern und Adressen, sondern auch IP-Adressen, GPS-Standortdaten, Kontoinformationen und sogar die im Marketing so geschätzten Tracking-Cookies. Begehen Betriebe und Onlineshops Verstöße gegen die neue Datenschutzverordnung und sind dabei EU-Bürger betroffen, sind statt der bisher verhängten Bußgelder von 50.000 bis höchstens 300.000 Euro nunmehr Geldstrafen in Höhe von 10 bis 20 Millionen Euro oder zwei bis vier Prozent des weltweiten Vorjahres-Umsatzes möglich.

Vor dem Hintergrund dieser drakonischen Maßnahmen sollten Unternehmen ihre innerbetrieblichen Datenschutz-Maßnahmen unbedingt schnellstens verbessern: Sie sind nämlich jetzt verpflichtet, ihre Datenschutz-Erklärungen und Verträge der neuen EU-Verordnung anzupassen. Die für den Umgang mit Daten Verantwortlichen haben laut Art. 5 Abs. 2 EU-DSGVO eine Rechenschaftspflicht. Sie müssen der zuständigen Aufsichtsbehörde gegenüber nachweisen, dass sie die Datenschutzbestimmungen eingehalten haben. Nach Art. 35 ff. müssen sie einen fachlich qualifizierten Datenschutzbeauftragten bestellen, wenn sie mehr als 9 Mitarbeiter mit der elektronischen Datenverarbeitung beschäftigen. Befassen sie sich mit besonders empfindlichen Daten, die den Betroffenen bei einem Missbrauch besonders große Nachteile bereiten könnten (Steuerberater), müssen sie sogar bei nur einem einzigen Beschäftigten einen solchen Datenschutzberater haben.

Die freiwillige Benennung einer Datenschutz-Fachkraft ist natürlich weiterhin möglich und wird übrigens von Experten unbedingt empfohlen. Es gibt zwar weiterhin keine Verpflichtung, den speziellen Mitarbeiter bei externen Dienstleistern qualifizieren zu lassen. Kommt es aber zu Datenschutz-Problemen, müssen die Unternehmen nachweisen können, dass ihr DSB über die notwendigen Fachkenntnisse verfügt. Gut beraten ist daher, wer einen juristisch ausgebildeten oder TÜV-zertifizierten Datenschutzbeauftragten hat.

Einhaltung des innerbetrieblichen Datenschutzes

Als Datenschutzbeauftragten bestimmt die Firmenleitung entweder einen Mitarbeiter des eigenen Betriebes oder eine externe Datenschutz-Fachkraft. Der mit der Überwachung der innerbetrieblichen Datenschutz-Maßnahmen Beauftragte kontrolliert die mit der automatisierten Datenverarbeitung beschäftigten Mitarbeiter dahingehend, ob sie die jeweilige Software entsprechend den Datenschutzbestimmungen anwenden. Er führt Schulungen durch, um sie für die Thematik zu sensibilisieren und auf gefährliche Sicherheitslücken hinzuweisen. Außerdem steht er seinen Kollegen, der Unternehmensleitung und auch den Aufsichtsbehörden als Ansprechpartner zur Verfügung. Betrieben und Institutionen, die gesetzlich zur Berufung eines DSB verpflichtet sind, dies aber nicht tun, drohen Abmahnungen und drastische Geldstrafen. Geschädigte Verbraucher können ihre Schadenersatzforderungen gemäß der neuen EU-DSGVO direkt an das Unternehmen stellen. Ordnungsgelder drohen auch, wenn der Datenschutzberater nicht rechtzeitig in die Anschaffung einer neuen Software einbezogen oder aber die Position mit einer ungeeigneten Person besetzt wird und daraus ein Datenschutz-Problem entsteht.

Interne Datenschutzbeauftragte

Zum internen DSB ernennt die Geschäftsleitung einen ihrer Meinung nach dafür qualifizierten Mitarbeiter. Sie darf das mit ihm geschlossene Arbeitsverhältnis nicht fristgerecht kündigen, da er einen besonderen Kündigungsschutz genießt. Eine fristlose Kündigung nach vorheriger Abmahnung ist nur dann zulässig, wenn schwerwiegende Gründe vorliegen (§ 626 BGB): Die Abberufung erfolgt dann meist wegen mangelnder Zuverlässigkeit oder fehlender Fachkompetenz. Die Unternehmensleitung hat dafür zu sorgen, dass ihr interner Datenschutzbeauftragter regelmäßig an entsprechenden Weiterbildungen teilnimmt und trägt die dafür anfallenden Kosten. Der Mitarbeiter hat Zugriff auf alle für seine Tätigkeit erforderlichen Geräte und Arbeitsmittel.

Bestimmte Personen sind von der Berufung zum Datenschutzbeauftragten auszuschließen. Dies sind Mitarbeiter in Führungspositionen wie der Leiter IT oder Leiter Personalwesen. Zur Unternehmensführung gehörende Personen wie Geschäftsführer oder Gesellschafter kommen ebenfalls nicht infrage, da es bei ihnen ebenfalls zu einem Interessenkonflikt kommen könnte:

Der DSB muss stets im Sinne der Datenschutzbestimmungen handeln und darf die finanziellen Interessen des Betriebes nicht berücksichtigen. Die Praxis zeigt, dass die Bestellung eines internen Datenschutzbeauftragten den meisten Unternehmen Schwierigkeiten bereitet: Sie haben kein Personal, das über die erforderliche fachliche Eignung verfügt und müssten dieses durch kostenintensive Seminare und Fortbildungen entsprechend schulen. Denn seit dem sogenannten Ulmer Urteil (Az: 5T 153/90-01 LG Ulm) gilt der Datenschutzbeauftragte als eigenständiges Berufsbild, das mit einer speziellen fachlichen Qualifikation und Prüfung verbunden ist.

Weiterbildung zum Datenschutzbeauftragten

Es gibt mittlerweile diverse spezialisierte Dienstleister, die Ausbildungen zum DSB anbieten. Mitarbeiter von Betrieben, die bereits über genügend Vorkenntnisse in diesem Bereich verfügen, können diese innerhalb weniger Wochen absolvieren. Dazu zählt insbesondere technisches (IT, Telekommunikation) und juristisches Fachwissen. Vorausgesetzt werden detaillierte Kenntnisse der den Datenschutz regelnden Gesetze und Verordnungen. Ein vorher abgeschlossenes Jura- oder Informatik-Studium ist dafür jedoch nicht erforderlich. Außerdem besteht die Möglichkeit, bei unabhängigen Organisationen wie IHK, TÜV, DATEV und DEKRA Weiterbildungen zum Datenschutzbeauftragten zu belegen und mit einer Prüfung (Zertifikat) abzuschließen. Eine Verpflichtung zur Zertifizierung besteht jedoch weder für interne noch externe DSB. Letztere absolvieren ihre Ausbildung im Regelfall beim TÜV, der IHK oder der DEKRA.

Externer Datenschutzbeauftragter

Ein externer Datenschutz-Beauftragter ist eine von einer unabhängigen Stelle geschulte und oft sogar zertifizierte Datenschutz-Fachkraft. Er kennt sämtliche Datenschutzbestimmungen und aktuelle Gerichtsurteile zu diesen. Zu seinem umfassenden Fachwissen gehören sogar spezielle Bestimmungen, die im SGB X, Telemediengesetz und entsprechenden Paragraphen des Betriebsverfassungsgesetzes festgehalten sind. Er

• analysiert den Ist-Zustand im jeweiligen Unternehmen
• führt ein Verarbeitungsverzeichnis
• bewertet das innerbetriebliche Datensicherheitsniveau
• unterbreitet der Betriebsleitung Verbesserungsvorschläge
• überwacht die Umsetzung der Optimierungsmaßnahmen

Dabei ist er für alle Bereiche im Unternehmen zuständig, die automatisiert mit personenbezogenen Daten arbeiten. Ein externer Datenschutz-Beauftragter

• überprüft Verträge mit Dienstleistern
• erstellt Richtlinien
• fertigt Gutachten an
• arbeitet Betriebsvereinbarungen aus
• führt ein Verfahrensverzeichnis, Art und Umfang der EDV im Betrieb betreffend
• kommuniziert mit Behörden
• erteilt Auskünfte

Vorteile eines externen Datenschutz-Beauftragten

Ein externer Datenschutz-Beauftragter

• kann sich im Unterschied zum internen DSB seiner Aufgabe zu 100 Prozent widmen.
• ist zwar der Unternehmensleitung unterstellt, handelt aber neutral und nur im Sinne der Gesetze. Bei internen DSB ist stets die Gefahr eines Interessenkonflikts gegeben.
• ist nicht betriebsblind, da er sich als ursprünglich Außenstehender erst mit den datenbezogenen betrieblichen Abläufen vertraut machen muss. Daher findet er Fehler und Sicherheitslücken schneller.
• hat ein branchenübergreifendes Fachwissen, weil er bereits in anderen Unternehmen tätig war.
• kann auch befristet bestellt werden. Damit lassen sich die mit internen Datenschutzbeauftragten verbundenen Probleme mit dem Kündigungsschutz vermeiden. Der Vertrag des externen Datenschutzberaters kann im Bedarfsfall auch ohne Abmahnung widerrufen werden.
• bringt das benötigte Fachwissen bereits mit und muss nicht erst in die Thematik eingearbeitet werden. Der Betrieb spart damit die Kosten für die Ausbildung.
• haftet bei Klagen vollumfänglich und das sogar bei Fahrlässigkeit. Für den internen DSB gelten jedoch die umfassenden Kündigungsschutzregelungen weiterhin, sodass letztlich das Unternehmen für den Schaden aufkommen muss.
• genügt den höheren Anforderungen des sogenannten Düsseldorfer Kreises.
• kann seine Datenschutz-Kompetenz anhand eines Zertifikats nachweisen.
• verursacht keine überflüssigen Kosten, da sein Vertrag genaue Angaben über seine Aufgaben, mögliche Kosten und Verantwortlichkeiten enthält. Die Abrechnung des speziellen Mitarbeiters erfolgt ausschließlich nach Aufwand.
• trägt die Kosten für seine regelmäßigen Fortbildungen selbst.