Suchen

Wozu ein Datenschutzbeauftragter?

Autor / Redakteur: Kivanç Semen, Dr. Markus Fisseler / Yvonne Simon

Jeder Kfz-Betrieb, in dem mehr als zehn Mitarbeiter mit personenbezogenen Daten arbeiten, braucht einen Datenschutzbeauftragten – ansonsten droht ein Bußgeld. Bei der Besetzung des Postens gilt es einiges zu beachten, denn die nötigen Kompetenzen und das Aufgabengebiet sind vielfältig.

Die Einhaltung der umfassenden DSGVO-Vorgaben ist ohne professionelle Unterstützung kaum möglich.
Die Einhaltung der umfassenden DSGVO-Vorgaben ist ohne professionelle Unterstützung kaum möglich.
(Bild: gemeinfrei / CC0 )

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) Ende Mai müssen Autohandelsbetriebe und Werkstätten verschärften Informations- und Dokumentationspflichten nachkommen und belegen, dass sie Datenschutzprinzipien befolgen. Die Vorschriften der EU-Verordnung werfen dabei noch immer viele Fragen auf. Nutzereinwilligungen, Verfahrensverzeichnisse, Cookie-Plugins, Abmahnanwälte – die Liste der Reizworte ist lang und für den Laien häufig schwer verständlich.

Unterstützung bietet hier der Datenschutzbeauftragte (DSB). Als Kontrollorgan sorgt er dafür, dass die Arbeit mit personenbezogenen Informationen datenschutzkonform abläuft – im Idealfall beschränkt sich die Unterstützung jedoch nicht nur darauf.

Die Autoren Dr. Markus Fisseler (li.), Anwalt und Experte für Datenschutzrecht, und Kivanç Semen, IT-Sicherheitsberater, sind Mitgründer des Münchener Dienstleistungsunternehmens Dataguard.
Die Autoren Dr. Markus Fisseler (li.), Anwalt und Experte für Datenschutzrecht, und Kivanç Semen, IT-Sicherheitsberater, sind Mitgründer des Münchener Dienstleistungsunternehmens Dataguard.
(Bild: Sittig Fahr-Becker)

Wer braucht einen DSB?

Fakt ist: Nicht für alle Unternehmen ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben. Dennoch geht es häufig nicht ohne einen internen oder externen DSB. Denn zum einen müssen alle Unternehmen in Deutschland, bei denen mehr als zehn Personen mit personenbezogenen Daten arbeiten, einen DSB benennen und diesen offiziell bei den Aufsichtsbehörden melden. Freelancer oder Praktikanten werden dabei ebenso mit eingerechnet wie Festangestellte.

Zum anderen müssen auch all diejenigen Unternehmen, die nicht gesetzlich zur Benennung eines DSB verpflichtet sind, die umfassenden Vorgaben der DSGVO, des Bundesdatenschutzgesetzes (BDSG) sowie der deutschen Aufsichtsbehörden einhalten. Dies ist in der Praxis ohne die professionelle Begleitung eines DSB vielfach kaum möglich.

Welche Aufgaben übernimmt der DSB?

Generell ist der Datenschutzbeauftragte für Verbesserungen in drei übergeordneten Bereichen zuständig: Unternehmen sollen nach Möglichkeit sparsam mit Daten umgehen, das heißt, möglichst wenig personenbezogene Daten erheben und verarbeiten. Diejenigen Personen, deren Daten erhoben werden, müssen darüber hinaus um ihre Einwilligung zur Speicherung und Verwendung ihrer Daten gebeten werden und die Möglichkeit haben, diese bei Bedarf zu widerrufen.

Außerdem ist eine angemessene Sicherung der personenbezogenen Daten essentiell. Betriebsangehörige anderer Unternehmen etwa dürfen nur Zugriff auf personenbezogene Daten des Unternehmens erhalten, wenn zuvor ein Auftragsverarbeitungsvertrag geschlossen worden ist. Zudem sind diese Daten vor dem Zugriff durch Fremde zu schützen. In der Praxis bedeutet dies zum Beispiel, dass Festplatten von Arbeitscomputern verschlüsselt werden müssen. Geht ein Laptop oder Arbeitshandy verloren oder wird gestohlen, kann eine nicht ausreichende Sicherung als Fahrlässigkeit eingestuft werden.

Die konkreten Aufgaben des Datenschutzbeauftragten sind daher vielfältig: zum beständigen Hinwirken auf DSGVO-Konformität gehören neben Mitarbeiterschulungen, Datenschutzerklärung etc. auch der gesamte Bereich Datenschutz-Audit und Datenschutz-Dokumentation durch Verzeichnisse von Verarbeitungstätigkeiten. Das Audit umfasst eine Analyse laufender Datenverarbeitungsprozesse und die Prüfung, wo personenbezogene Daten wie verarbeitet werden. Auf Basis dieser detaillierten datenschutzrechtlichen Bestandsaufnahme erstellt der DSB eine Gap-Analyse – und legt der Geschäftsführungen konkrete – und im Idealfall praxisnahe und verständliche – Handlungsempfehlungen zum weiteren Vorgehen nahe.

Welche Kompetenzen muss ein DSB mitbringen?

Das Gesetz schreibt vor, dass der Datenschutzbeauftragte sowohl datenschutzrechtliche als auch technische Fachkenntnis besitzen muss. In der Praxis ist es für beide Seiten überaus hilfreich, wenn er eine gewisse Branchenkenntnis hat und über die technischen und organisatorischen Abläufe im Unternehmen im Bilde ist beziehungsweise auf dem Laufenden gehalten wird.

Im Idealfall sollte der DSB mit technisch-organisatorischen Maßnahmen und dem Bereich IT-Sicherheit vertraut sein – so kann er dem Unternehmen bei der Umsetzung der Handlungsempfehlungen pragmatisch zur Hand gehen anstatt nur datenschutzrechtlich beratende Außenstelle zu sein. Einen Datenschutzbeauftragten zu benennen, der lediglich Strohmann ist und die Aufgaben nicht zur Genüge erfüllen kann, kann der Geschäftsführung als vorsätzliche Täuschung von Kunden und Geschäftspartnern zur Last gelegt werden.

Welche Rolle spielt IT-Sicherheit?

Auch wenn der zuständige Datenschutzbeauftragte bereits über tiefgreifende Kenntnisse der IT-Sicherheit verfügt, sind Berührungsängste und eine Portion Skepsis auf Seiten der Mitarbeiter der IT-Abteilung nicht unüblich. Datenschutz und IT-Sicherheit sind jedoch eng miteinander verknüpft: Neben offensichtlichen Fragen nach Serverstandort und Sicherung, der Nutzung von Clouddiensten, der Abwicklung des E-Mail-Verkehrs oder der Netzwerkstruktur geht es auch um indirekte Probleme wie Spamware, Firewall oder Intrusion-Prävention.

Datenschutzbeauftragte raten in diesem Zusammenhang gern zu sogenannten Penetrationstests. Dabei finden professionelle Fachleute heraus, wie einfach es ist, sich in die IT-Infrastruktur betreffender Unternehmen zu hacken. Obwohl Hackerangriffe nicht notwendigerweise personenbezogene Daten zum Ziel haben, sind diese in der Regel beim Eindringen von Hackern oder bei Datenleaks betroffen. Somit spielt der personenbezogene Datenschutz hier eine wichtige Rolle. Aufgrund der Wahrnehmung, dass Hackerangriffe relativ selten vorkommen, hat die Absicherung von (personenbezogenen) Daten bei den meisten Unternehmen schlicht eine niedrigere Priorität.

(ID:45536946)