Datenschutzbeauftragter
Datenschutzbeauftragter gemäß Datenschutz-Grundverordnung (DSGVO)
In diesem Fachbeitrag empfehle ich mich für Ihr Unternehmen als Datenschutzbeauftragter gemäß Datenschutz-Grundverordung (DSGVO). Ich möchte Ihnen zusammenfassend einen Überblick geben, warum Sie spätestens bis Ende Mai 2018 einen Datenschutzbeauftragten ernannt haben müssen und welche Aufgaben bis Ende Mai 2018 erledigt sein müssen, damit Sie nicht empfindliche Geldstrafen zahlen müssen, die die Datenschutz-Grundverordnung (DSGVO) vorsieht. Weitere Datenschutz-Themen behandele ich als Datenschutzbeauftragter Oberberg und bei DSGVO.watch

Bestellung eines Datenschutzbeauftragten
Die Rechtsgrundlage ist klar definiert. Jeder Unternehmer muss sich mit dem Thema Datenschutz im Unternehmen ernsthaft auseinandersetzen. Auch bei kleineren Unternehmen (unter 10 Mitarbeitern) muss sich der Inhaber/Geschäftsführer den Vorgaben der Datenschutz-Grundverordung stellen. Er übernimmt nicht nur verantwortlich die Position des Datenschutzbeauftragten, sondern muss auch dessen Aufgaben übernehmen. Ich sehe gerade bei kleinen Unternehmen eine sehr große Herausforderung – und werde hierzu noch einen gesonderten Datenschutz-Blogbeitrag schreiben und meine langjährige Erfahrung bei dem Thema einbringen.
Unternehmen mit mehr als 10 Mitarbeitern sind per Gesetzt nun gezwungen einen Datenschutzbeauftragten zu bestellen. Diese Bestellung eines Datenschutzbeauftragten wird auch vom Landesdatenschutzbeauftragten kontrolliert. Jedes Unternehmen muss dieser Behörde mitteilen, wer Datenschutzbeauftragter ist. Diese Mitteilung muss bis zum 25.5.2018 erfolgt sein. Spätere Meldungen können finanziell sanktioniert werden über die Höhe der Strafzahlungen bei Verstößen gegen das DSGVO erfahren Sie im weiteren Verlauf dieses Artikels.
Grundlage ist die Europäische Datenschutz-Grundverordnung (EU-DSGVO)
In der Bundesrepublik Deutschland gab es immer schon das stärkste Datenschutzgesetz. Im Rahmen der Harmonisierung des EU-Binnenmarktes, wurde nun auf europäischer Ebene die Europäische Datenschutz-Grundverordnung entwickelt und bereits im Jahr 2016 verabschiedet. Diese Europäische Datenschutz-Grundverordnung (EU-DSGVO) tritt nun in diesem Jahr – am 25. Mai 2018 – in Kraft. Diese EU-Verordnung löst somit das bisher geltende Bundesdatenschutzgesetz (BDSG) ab. Generell ist diese rechtliche Angleichung im gesamten EU-Binnenmarkt sinnvoll. Müssen doch nun alle Marktteilnehmer nach den selben Spielregeln arbeiten – mit identischen Aufwenden und den selben Dokumentationspflichten – und müssen alle bei Verstößen mit den selben Strafen rechnen. Eine Großzahl der deutschen Unternehmen werden bereits aus den bisherigen Verpflichtungen aus dem BDSG gut vorbereitet sein. Laut einer aktuellen BITKOM-Umfrage zeigt sich jedoch, dass gerade kleine Unternehmen die bisherigen Datenschutz Gesetze nur sehr oberflächlich berücksichtigten und auch die neue EU-DSGVO (noch) nicht ernst nehmen.
Selbstverständlich habe ich mich gefragt woran das liegt. Es liegt wohl daran, dass in der Vergangenheit die bestehenden Datenschutzgesetze nur bei massiven und in einem Rechtsverfahren ausgedeckten Datenschutzvergehen gerichtlich bestraft wurden. Es gab keine Kontrollbehörde. Genau daraus resultiert auch, dass gut jeder fünfte Unternehmer sich akut noch gar nicht mit der neuen Datenschutz-Grundverordnung auseinander gesetzt hat.
Nach dem 25.5.2018 Datenschutzbeauftragter melden: Es wird ein Abenteuer!
Aufgrund der klaren rechtlichen Lage und weil es nun eine Kontrollbehörde gibt, wird der kommende Sommer für einige Unternehmer ein böses Erwachen bringen. Immerhin reden wir von einer EU-Verordnung. Verbraucherverbände werden abmahnen und die EU in Brüssel anrufen. Die EU wird die Bundesrepublik Deutschland dann kontrollieren, ob diese die EU-DSGVO und die Einhaltung kontrollieren. Dieser von „oben“ verordnete Druck wird dazu führen, dass die sechzehn Landesdatenschutzbeauftragten um Amtshilfe bitten werden. Das soll laut der mir vorliegenden Informationen auf jeden Fall schon in NRW passiert sein. Die Amtshilfe von Sozialversicherungsprüfern und Finanzämtern sind der nächste logische Schritt. Auf der einen Seite besuchen diese mindestens alle vier Jahre alle Unternehmen, die Personal eingestellt haben. Auf der anderen Seite haben auch diese Behörden ein massives Interesse daran, dass die Betriebsdaten sicher sind. Schließlich werden heute alle Unternehmensprozesse digital abgewickelt.
Entsprechend wird es ein Abenteuer für alle Unternehmer, die erst nach dem 25.5.2018 wach werden und das gesamte Spektrum der Datenschutz-Grundverordnung realisieren. Abenteuer deswegen, weil die Meldefrist nachweislich (!) überschritten wurde. Gemäß §43 Abs.1 Nr.2 BDSG bedeutete dies ein Vergehen, dass mit einem Bußgeld von bis zu 50.000 EUR belegt werden kann. Bei der DSGVO ist die Strafe noch höher! – Die Datenschutz-Grundverordnung sieht hier ein Bußgeld von bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Abenteuerlich aber auch, weil es sehr schwer sein wird, einen qualifizierten Datenschutzbeauftragter zu finden. Ich merke es derzeit bei mir – die Nachfrage ist gigantisch. Noch maximal 20 Kunden kann ich (Stand: 20.2.2018) noch als Datenschutzbeauftragter betreuen und ein solches Mandat überhaupt annehmen. Ähnlich wird es wohl bei allen anderen qualifizierten Datenschutzbeauftragten aussehen.
Dabei spielt es wohl keine Rolle, ob Sie nun einen Datenschutzbeauftragten in Oberberg – einen Datenschutzbeauftragten im Kreis Olpe oder Datenschutzbeauftragten im Märkischen Kreis oder im Siegerland suchen. Die Verknappung solcher Datenschutzspezialisten wird wohl erstmals im Jahr 2018 festgestellt werden.
Anforderungen an einen Datenschutzbeauftragten
Laut der Datenschutz-Grundverordnung (DSGVO) ist jedes Unternehmen nicht verpflichtet, einen externen Datenschutzbeauftragten zu bestellen. Es kann generell diese Aufgabe intern an einen Mitarbeiter vergeben. Das macht auch in einigen Fällen Sinn. Gerade wenn die eigene IT-Abteilung nicht ausgelastet ist – ein Mitarbeiter nur als „Springer“ bei IT-Ausfällen reagieren muss und sonst nur für sonstige administrative Aufgaben eingesetzt wird.
Die DSGVO sieht folgende Anforderungen (Art. 37 Abs. 5 DSGVO):
- Datenschutzbeauftragter (DSB) muss berufliche Qualifikation haben
- DSB muss Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis haben
- DSB muss die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben haben
Kann JEDER Datenschutzbeauftragter werden?
In der Theorie ja. In der Praxis wird es schwer werden. Gerade wenn ein Datenschutzvergehen entstanden ist und Behörden die bisherigen Arbeiten kontrollieren. In der Vergangenheit kam es gerade vor dem Arbeitsgericht sehr oft zu Streitigkeiten zwischen dem internen Datenschutzbeauftragten und dem Arbeitgeber. Interessenkonflikte sorgten oft für einen unsensiblen Umgang mit den Datenschutzgesetzen. Aufwendige Aufgaben wurde aufgrund der scheinbaren Unwichtigkeit „schleifen gelassen“. Meistens ging der benannte Datenschutzbeauftragter noch andern Tätigkeiten im Unternehmen nach. Oder aber er war Leiter der IT-Abteilung und hat sich de facto selber kontrollieren müssen.
Entsprechend wurde in der Datenschutz-Grundverordung in Art. 38 Abs. 3 S. 3 die Situation der Interessenkonflikte berücksichtigt. Die DSGVO unterstellt den Datenschutzbeauftragten unmittelbar der höchsten Managementebene. Ähnlich, wie wir es aus dem Arbeitsrecht beim Betriebsrat seit Ewigkeiten praktizieren. Der Datenschutzbeauftragte nach DSGVO hat aber lediglich eine beratende Tätigkeit und keinerlei Entscheidungsbefugnisse – er berät lediglich und gibt der Geschäftsleitung Handlungsempfehlungen und dokumentiert diese. Das ist im Art. 39 DSGVO nachzulesen. Die Geschäftsführung haftet für ignorierte Handlungsempfehlungen persönlich. Entsprechend sollten gerade aufgrund dieser neuen Haftungssituation alle GmbH-Geschäftsführer ihre aktuelle Geschäftsführer-Haftpflicht kontrollieren!
Benachteiligungsverbot für den internen Datenschutzbeauftragten
Wie schon erwähnt, kann man den heutigen betrieblichen Datenschutzbeauftragten mit einem Betriebsrat vergleichen. Er hat Interessen zu vertreten und muss gesetzliche Vorgaben überwachen. Diese Interessen müssen nicht immer die Interessen vom Unternehmer oder der Geschäftsführung sein. Entsprechend hat das DSGVO in Art. 38 Abs. 3 S.3 ein Benachteiligungsverbot für den Datenschutzbeauftragten und ein Haftungsausschluss vorgesehen!
In dem Art. 37 Abs. 4 DSGVO findet sich aber kein Anhaltspunkt mehr zu einem gewährten Sonderkündigungsschutz für den innerbetrieblich ernannten Datenschutzbeauftragten. Im alten BDSG fand sich dieser Schutz. Hierüber werden aber mit Sicherheit nach dem in Kraft treten des neuen DSGVO die Arbeitsgerichte entscheiden müssen. Ein angestellter Datenschutzbeauftragter hat nun mal ein generelles Konfliktpotential zu seinem Arbeitsvertrag, wenn der Arbeitgeber Druck ausübt, dann kann der interne Datenschutzbeauftragte definitiv nicht frei agieren – agiert er trotzdem, kann am Ende mit anderen Gründen eine Kündigung des Arbeitsvertrages folgen. Hier sehe ich auch das größte Argument für kleinere Unternehmen, die sich keine langwierigen und risikobehafteten Arbeitsgericht-Prozesse leisten können, sich einen externen Datenschutzbeauftragten lieber zu bestellen!
Welche Pflichten hat ein Datenschutzbeauftragter nach der DSGVO?
Alle Aufgaben und Pflichten sind in Artikel 39 DSGVO geregelt:
- Überwachung der Einhaltung von der DSGVO und allen weiteren Sonderregeln
- Schulung und Sensibilisierung der Mitarbeiter
- Überwachung und Beratung in Bezug auf einer Datenschutz-Folgenabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde
- Unterrichtung und Beratung der Verantwortlichen, Beschäftigten und Auftragsverarbeiter
Konzerndatenschutzbeauftragter möglich?
Hat ein Unternehmen mehrere Unternehmungen, oder Standorte, dann kann es aus Kostengründen natürlich sehr viel Sinn machen, einen Konzerndatenschutzbeauftragten für alle Unternehmungen zu bestellen. Hierzu nimmt das DSGVO in Art. 37 Abs. 2 klar Stellung. Eine Unternehmensgruppe darf demzufolge einen gemeinsamen Datenschutzbeauftragten ernennen, er muss jedoch von jeder Niederlassung leicht erreichbar sein.
Was sind die Kernpunkte beim EU-DSGVO?
- Datennutzung – Gibt es eine schriftliche Zustimmung für die Datenverarbeitung?
- Datensicherheit – Wurden Maßnahmen zum Schutz der personenbezogenen Daten getätigt? Wurden diese dokumentiert?
- Dokumentation der Organisation – Werden alle Rechtsgrundlagen für die Speicherung dokumentiert?
- Datenschutz-Folgenabschätzung – Wie werden die Risiken beurteilt?
- Recht auf Vergessenwerden – Ohne Geschäftsgrundlage keine Speicherung! Wann ist das „Verfallsdatum“ der Datensätze?
- Meldung von Datenpannen – Hackerangriffe müssen innerhalb von 72 Stunden detailliert gemeldet werden!
- Schmerzhafte Bußgelder – Nichteinhaltung des EU-DSGVO „kostet“ bis zu 20 Mio. EUR, oder bis zu 4% des Jahresumsatzes im gesamten Konzern!
Gerne bin ich Ihr externer Datenschutzbeauftragter!
Mein Team und ich können für eine gewisse Anzahl von Unternehmen als externer Datenschutzbeauftragter tätig werden. Die quantitative Beschränkung besteht aufgrund der sorgfältigen Ausarbeitung einer Datenschutz-Organisation. Im Kern erledige ich dann folgende Schritte nach meiner Bestellung:
- Initiierung / Erstgespräche mit den Verantwortlichen vor Ort
- Planung der Datenschutz-Organisation
- Zielbild und Lückenanalyse
- Handlungsbestimmung
- Umsetzung der Maßnahmen
- Fortlaufende Weiterbildung der Mitarbeiter und Dokumentation
Sven Oliver Rüsche begleitet ihr Unternehmen als Datenschutzexperte und Internetexperte in allen Phasen der Datenschutz-Organisation. Im Gegensatz zu reinen Volljuristen, kennen wir den Arbeitsablauf innerhalb von mittelständischen Unternehmen seit Jahren und suchen dann fachmännisch nach pragmatischen Lösungen im Rahmen der neuen Datenschutz-Grundverordnung. Das Team von Sven Oliver Rüsche übernimmt für Sie jeglichen behördlichen „Schriftkram“ – auch die Anzeige als neuer Datenschutzbeauftragter beim Landesdatenschutzbeauftragten in ihrem Bundesland.
Im Krisenfall (Hacking!) –
Professionelle Außenkommunikation und Behördeninformation
Die neue EU-DSGVO verlangt nach einem datenrechtlichen Zwischenfall (Ihr Unternehmen wurde gehackt – oder es fand ein Datendiebstahl statt …) eine sofortige Meldung des Zwischenfalls beim Landesdatenschutzbeauftragten. Hier wird von der Datenschutzgrundverordung nicht nur die reine Meldung erwartet, sondern auch eine umfassende Zusammenfassung, aller wichtigen Details. Genau hier greifen Sie mit Sven Oliver Rüsche als externen Datenschutzbeauftragten auf eine langjährige Erfahrung in der Krisenkommunikation zurück. Eine unbedachte Äußerung kann die Geschäftsführung in Haftungssituationen bringen. Entsprechend ist es gut, wenn Sie mit Sven Oliver Rüsche als Datenschutzbeauftragter auf einen erfahrenen Pressesprecher und Datenschutz / IT-Fachmann zurückgreifen können. Gerade nach den neuen Anforderungen mit Zeitdruck. 72 Stunden sind sehr schell vorüber …
Haben Sie Interesse? Wollen Sie einen der limitierten Datenschutzbeauftragter Mandantschaften übernehmen? Dann nehmen Sie bitte heute noch KONTAKT mit mir auf.