Datenschutzbeauftragter
Motivation
Datenschutz ist ein hohes Gut und basiert auf gesetzlichen Grundlagen, die verpflichtend und daher allgemein einzuhalten sind – völlig unabhängig von irgendwelchen Betriebsgrößen! Ab 25. Mai 2018 erfahren sie mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) eine weitere Vertiefung. Die Beachtung der strengen Datenschutzgrundverordnung und darauf basierender nationaler Umsetzung (in Deutschland insbesondere im BDSG) ist dabei grundsätzlich für alle Branchen und freie Berufe verbindlich, die mit personenbezogenen Daten arbeiten.
Sie suchen einen qualifizierten Externen Datenschutzbeauftragten? Jemanden, der Ihnen hilft auch die neue Norm der DSGVO zügig umzusetzen? Dann sind Sie hier richtig.
Wann ist ein Datenschutzbeauftragter zu bestellen?
Bei einer nicht automatisierten Datenverarbeitung besteht diese Pflicht erst ab einem Personenkreis von 20 Personen. Da jedoch nahezu alle geschützten Daten computergestützt sind, trifft letztere Regelung kaum noch zu. Unabhängig von der Mitarbeiteranzahl ist die Bestellung des Datenschutzbeauftragten in besonders sensiblen Arbeitsbereichen verpflichtend. Zu ihnen zählen alle mit Gesundheitsdaten konfrontierten Berufe, Marktforschungsinstitute, Behörden und viele mehr. Dies betrifft eine große Anzahl von Unternehmen, Ärzte, Juristen sowie öffentliche Institutionen. Die Allgemeinheit der Unternehmen und Selbstständigen haben einen Datenschutzbeuftragten zu bestellen sofern i.d.R. mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der Datenschutzbeauftragte kann dabei auch extern bestellt werden, was viele Vorteile mit sich bringt.
In bestimmten Fällen muss ein Datenschutzbeauftragter auch bestellt werden, wenn weniger als 20 Personen mit der Verarbeitung pD beschäftigt sind. Der Wortlaut des § 38 (1) BDSG gibt Aufschluss über die Pflicht zur Bestellung:
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Aber auch, wenn Ihr Unternehmen von diesen Punkten nicht erfasst wird, bedeutet das nicht, dass Sie sich nicht an das BDSG halten müssen. Es entfällt (von bestimmten Ausnahmen abgesehen) nur die Pflicht, einen Datenschutzbeauftragten zu bestellen. Im Zweifel müssen Sie gegenüber der Behörde nachweisen können, dass Sie das BDSG beachten, auch als Arzt, Rechtsanwalt, Steuerberater, Versicherungsmakler, Handwerker, usw. Sie, der Unternehmer oder Freiberufler als Verantwortliche Stelle, haften in vollem Umfang. Und dazu benötigen Sie meist jemanden, der sich mit Datenschutz und IT-Sicherheit auskennt. Auf kompetente Beratung können Sie also kaum verzichten!
Gesetzesänderungen ab 25. Mai 2018
Nach Art. 39 der EU-DSGVO muss der Datenschutzbeauftragte nicht nur bei der Einhaltung gesetzlicher Vorgaben mitwirken, sondern ihm wird zusätzlich eine umfassende Überwachungspflicht übertragen. Dazu gehören ebenso Schulungen der Mitarbeiter im Umgang mit sensiblen Daten sowie deren regelmäßigen Überprüfungen.
Der Datenschutzbeauftragte ist in seinen Handlungen weisungsfrei und muss daher auch im Falle interner Bestellung von bestimmten Aufgaben freigestellt werden. Zudem muss er unabhängig und frei von Interessensüberschneidungen sein. Geschäftsführer oder Behördenleiter kommen zudem aufgrund möglicher Interessenskollisionen nicht in Frage. Zur ordnungsgemäigen Bestellung gehört zudem ein entsprechender Fachkundenachweis (eine Reinigungskraft oder ein Schlosser, aber auch Rechtsanwalt kann daher nicht so ohne weiteres als Datenschutzbeauftragter bestellt werden (immer daran denken – der Nachweis muss im Ernstfall gegenüber einer Behörde erbracht werden!).
Bei einer Missachtung der Bestellung des Datenschutzbeauftragten oder auch nicht ordnungsgemäß erfolgter Bestellung drohen gem. § 43 Bundesdatenschutzgesetz (BDSG-alt) sowie der EU-DSGVO zudem erhebliche Sanktionen: Bußgelder bis zu 50.000 Euro sind hier vorgesehen und in schweren Fällen können durchaus auch Millionenbeträge erreicht werden.
Datenschutzbeauftragter: intern oder extern?
Spätestens nach Inkrafttreten der neuen Verordnung ab Mai 2018 führt schon allein aufgrund drohender empfindlicher Bussgelder, kein Weg an der Bestellung eines Datenschutzbeauftragten sowie einer qualifizierten Datenschutzberatung vorbei. Es bestehen erhebliche Datenschutzrisiken – diese zu minimieren ist mehrfacher Unternehmensschutz: Daten, Systeme, Prozesse, Menschen und Finanzen.
Die Anforderungen an den Datenschutzbeauftragten sind sehr umfangreich. Sie umfassen rechtliche, technische, organisatorische, pädagogische, didaktische und kommunikative Fähigkeiten. Es ist mit dem Gesetz unvereinbar, dass der Datenschutzbeauftragte der Geschäftsführung des Unternehmens angehört.
Vorteile des Einsatzes eines externen Datenschutzbeauftragten gegenüber einem internen Datenschutzbeauftragten:
- Die Kosten sind wesentlich niedriger und kalkulierbarer
- Zertifizierte, bereits vorhandene und sofort abrufbare Fachkunde
- Kündigungsschutz entfällt
- Unterstützung bei Anfragen und Prüfungen von Behörden
- Haftung durch den externen DSB
- Unternehmensressourcen voll verfügbar
- Fortbildungskosten, Fachkundeerhaltung übernimmt eDSB
- Neutrale Position, keine Interessenskollision
- Know-How aus anderen Firmen und Branchen
- Betriebsrat hat kein Mitbestimmungsrecht für den externen DSB
- Allgemein geringere Risiken im Zusammenhang mit dem Datenschutz
Wollen Sie einen Externen Datenschutzbeauftragten bestellen, bieten wir Ihnen interessante Beratungsverträge mit unterschiedlichen Laufzeiten, die den Erfordernissen Ihres Unternehmens angepasst werden. Sie sparen die Mehrkosten für qualifiziertes Fachpersonal innerhalb der Firma, außerdem Weiterbildungsaufwand, Material und Spesen. Sie minimieren die zahlreichen Risiken im Datenschutz und können sich voll auf Ihr Unternehmen konzentrieren.
Nebenher bemerkt: Nach (Art. 37 Abs. 7 DSGVO) ist der Datenschutzbeauftragte künftig der Aufsichtsbehörde zu melden. Was das bedeutet, können Sie hier nachlesen.
Das Thema Datenschutz korreliert direkt mit unseren Beratungsangeboten Unternehmensicherheit sowie IT-Forensik. Darin sehen wir gerade in der heutigen Zeit einen besondern Nutzenvorteil für unsere Kunden. Bereits im Vorfeld der Entwicklung von Antwortstrategien in Bezug auf Sicherheitsvorfälle (Incident-Response-Strategien), sollte der Datenschutzbeauftragte aktiv einbezogen werden. Sollte eine Auswertung von Protokolldaten mit möglicherweise personenbezogenen Daten erforderlich werden, sollte der Datenschutzbeauftragte informiert werden und der Auswertung beiwohnen. Es gibt dazu nicht nur datenschutzrechtliche, sondern auch ermittlungstechnische Beweggründe. Es wäre ja Schade, am Ende bei einer gerichtlichen Auseinandersetzung zu scheitern, nur weil man gesetzliche Vorgaben nicht beachtet hat.
Als Sachverständige erstatten wir in ausgewählten Bereichen gerne entsprechende Gutachten, sowohl für Gerichte, Behörden und Unternehmen.
Über unsere Philosophie und unsere Leistungen informieren Sie sich bitte auch in unserer Broschüre DEGA Unternehmenspräsentation.
Wir arbeiten branchenübergreifend und beraten schwerpunktmäßig DAX-Unternehmen, KMU, Behörden sowie Freiberufler – unabhängig und diskret. Von der kurzfristigen Einzelmaßnahme bis zum langfristigen Projekt bieten wir nachhaltige Lösungen.
Sprechen Sie uns an: Gern erstellen wir Ihnen ein individuelles Angebot!