Sieht man sich die Praxis mittelständischer Unternehmen an, gewinnt man häufig den Eindruck, dass der Datenschutzbeauftragte eher als lästiges Anhängsel gesehen wird. Datenschutz und Datensicherheit sind Kostenfaktoren. In diesem Artikel beschäftigen wir uns mit den rechtlichen Grundlagen der Bestellung zum Datenschutzbeauftragten und den Möglichkeiten, aus einer Pflicht Vorteile zu generieren.
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Vielleicht dürfen wir Sie mit unserem fairen Preis-Leistungsverhältnis überzeugen?
Unsere Angebote für kleine und mittlere Unternehmen orientieren sich am Aufwand und liegen zwischen 199,00 und 399,00 Euro monatlich netto.
Mehr zu den Kosten für kleine und mittlere Unternehmen finden Sie hier.
Die Rechtsgrundlagen für die Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) finden sich in der DSGVO und im Bundesdatenschutzgesetz (neue Fassung), gültig seit Mai 2018. Ein betrieblicher DSB im Unternehmen ist zu bestellen, wenn
- 20 und mehr Mitarbeiterinnen und Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, oder
- eine Verpflichtung zur Datenschutzfolgeabschätzung nach Art. 35 DSGVO besteht, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonders sensibler Daten nach Artt. 9 bzw. 10 DSGVO besteht, oder
- die Kerntätigkeit in der Überwachung und Profilbildung Betroffener besteht.
Unabhängig von der Pflicht zur Bestellung eines DSB müssen Unternehmen die Einhaltung datenschutzrechtlicher Grundsätze, einschließlich der ungeliebten Pflichtdokumentation garantieren.
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.
Drei Kardinalfehler
der Geschäftsleitung bei der Bestellung und der praktischen Arbeit des betrieblichen DSB.
Kardinalfehler No. 1: Der Geschäftsführer oder leitende Angestellte als DSB
Die Aufgaben des DSB und seine Pflichten sind unvereinbar mit den Aufgaben und Pflichten des Geschäftsführers oder leitender Angestellter mit Entscheidungsbefugnis in Bezug auf die Verarbeitung personenbezogener Daten. Wenn Jahre nach Inkrafttreten der DSGVO derartige Konstruktionen immer noch in Datenschutzerklärungen zu finden sind, dann offenbaren die Verantwortlichen ungewollt eine profunde Unkenntnis geltenden Rechts.
Kardinalfehler No. 2: Unterschätzung der Qualifikationsanforderungen an den DSB
Mindestaufgaben und Pflichten des DSB können nur erfüllt werden, wenn dieser die Ressourcen für eine permanente Weiterbildung sowohl in rechtlicher als auch in technisch-organisatorischer Hinsicht bewilligt bekommt. Ein Datenschutzbeauftragter muss die Gewährleistung dafür bieten, jederzeit sowohl die aktuelle Rechtsprechung als auch neue Trends der technischen Entwicklung im Unternehmen angemessen berücksichtigen zu können. Der „Einzelkämpfer“ im Unternehmen ist hier schnell überfordert, Teamarbeit hilft.
Kardinalfehler No. 3: Gelebter Datenschutz fängt an der Spitze an
Datenschutz und Datensicherheit sind primär Aufgabe der Unternehmensleitung. Wenn Geschäftsführer oder Vorstände gegenüber Mitarbeitern immer wieder durchblicken lassen, wie lästig und unangenehm die Erfüllung rechtlicher Verpflichtungen ist, warum sollen dann die Angestellten einen gewissenhaften und sorgsamen Umgang mit den anvertrauten Daten pflegen? Geschäftsleitungen sind gut beraten, die eigene Einstellung zu den Themen des Datenschutzes und der Datensicherheit selbstkritisch zu hinterfragen.
Datenschutz ist Vertrauenssache
Auch wenn es in den Zeiten von social media mitunter nicht den Eindruck macht, Kundenbeziehungen leben vom Vertrauen. Wer den Eindruck hat, dass seine Daten zu anderen als den beabsichtigten und gewollten Zwecken missbraucht werden (können), wird im Zweifel die Preisgabe verweigern oder boykottieren oder gleich zum Wettbewerber wechseln. Die Abwanderungswelle von Usern, weg von WhatsApp und hin zu Signal und Threema nach den jüngsten Veröffentlichungen über die geplanten Änderungen der Geschäftsbedingungen ist nur ein Beispiel für diesen Trend.
Datenschutz und Datensicherheit sind wie oszillierende Röhren
Die Gewährleistungsziele des Datenschutzes und der Datensicherheit verhalten sich zueinander wie oszillierende Röhren, gravierende Mängel auf einer Seite bedingen Mängel auf der anderen. Umgekehrt stärken technisch-organisatorische Maßnahmen der Datensicherheit in den allermeisten Fällen automatisch auch den Datenschutz. Im Zusammenwirken der Gewährleistungsziele entsteht Sicherheit.
Investitionen in Datensicherheit und Datenschutz
verursachen zunächst Kosten. Wie bei allen präventiven Maßnahmen dauert es in der Regel eine Weile, bis die Kosten des Unterlassens sichtbar werden. Hohe Bußgelder und exorbitatante Datenpannen werden auch künftig ihren Weg in die Öffentlichkeit finden. Über Kosten kann man reden, Sicherheit sollte nicht verhandelbar sein.
Informationen zu den Kosten eines betrieblichen Datenschutzbeauftragten finden Sie hier.
Bei Fragen oder kritischen Anmerkungen stehen wir Ihnen gerne zur Verfügung.