Häufige Fragen
DSGVO, BDSG - Um was geht es beim Datenschutz überhaupt?
Das Recht auf informationelle Selbstbestimmung ist ein aus dem Grundgesetz ableitbares Grundrecht, wie das Bundesverfassungsgericht bereits 1983 in seinem Urteil zur Volkszählung festgestellt hat. In einer Zeit immer weiter zunehmender Möglichkeiten des Datensammelns, -verknüpfens und auswertens ist es für eine freie und demokratische Gesellschaft unabdingbar, ihren Mitgliedern die Möglichkeit zur Wahrung einer selbst definierten Privatheit sowie eines Schutzes vor jedweder Form des Missbrauchs personenbezogener Daten zu gewährleisten. Dies ist Sinn und Zweck des in der Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) geregelten Datenschutzes für den nicht-privaten Bereich, mit dem der Gesetzgeber Behörden, Vereine, Unternehmen usw. verpflichtet, den Schutz personenbezogener Daten bei ihrer Tätigkeit angemessen zu beachten. Personenbezogene Daten sind dabei alle Arten von Daten, die sich direkt oder indirekt einer natürlichen Person zuordnen lassen, wie z.B. Name, Anschrift, Kreditkartennummer, IP-Adresse und Körpermaße, aber auch Hobbys, Krankheiten, ethnische Zugehörigkeit, persönliche Interessen und Vorlieben oder politische sowie religiöse Überzeugungen. Unternehmen sind deswegen verpflichtet, sämtliche im Rahmen ihrer Geschäftstätigkeit anfallenden personenbezogenen Daten gemäß den Vorgaben des Datenschutzes zu handhaben, d.h. insbesondere für deren Schutz und Vertraulichkeit zu sorgen und sie nicht missbräuchlich zu verwenden oder weiterzugeben. Dabei handelt es sich zunächst einmal um die Daten der eigenen Beschäftigten, aber auch diejenigen von Privatkunden bzw. Ansprechpartnern von Geschäftskunden, sowie dementsprechend auch von Lieferanten, Dienstleistern, Webseitenbesuchern usw.
Wann brauche ich für mein Unternehmen einen Datenschutzbeauftragten?
Gemäß § 38 Abs. 1 BDSG sind Unternehmen in Deutschland verpflichtet, einen Datenschutzbeauftragten zu bestellen, sobald mindestens 20 Mitarbeiter ständig in automatisierter Form mit dem Erheben, Verarbeiten oder Nutzen personenbezogener Daten beschäftigt sind. Zu beachten ist dabei, dass unter Mitarbeitern auch Auszubildende, Praktikanten oder Leiharbeiter zu verstehen sind und dass "ständig" nicht mit "dauerhaft" gleichzusetzen ist. So werden z.B. auch die Teilzeitkraft, die monatlich die Lohnabrechnungen durchführt, oder der Praktikant, der regelmäßig personenbezogene Daten nach Ablauf ihrer Aufbewahrungsfristen dokumentiert löscht, erfasst. Sofern ein Geschäftszweck des Unternehmens in der (anonymisierten) Übermittlung personenbezogener Daten oder deren Verarbeitung für Zwecke der Martk- und Meinungsforschung besteht, fällt übrigens jegliche Mitarbeitergrenze weg, d.h. ein solches Unternehmen ist grundsätzlich immer zur Bestellung eines Datenschutzbeauftragten verpflichtet. Selbiges gilt für Unternehmen, die personenbezogene Daten auf eine Weise verarbeiten, die eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erfordert.
Was bringt mir ein Datenschutzbeauftragter?
Der betriebliche Datenschutzbeauftragte ist direkt der Geschäftsleitung als verantwortliche Stelle unterstellt. Er ist nicht weisungsgebunden, aber auch nicht weisungsbefugt, weswegen die Unterstützung durch die Geschäftsleitung für einen effektiven Datenschutz im Unternehmen essentiell ist. Er berät die Geschäftsleitung in allen Fragen zum Thema Datenschutz und wirkt auf die Einhaltung der gesetzlichen Auflagen zum Datenschutz hin. Er führt bedarfsgerechte Datenschutzschulungen der Mitarbeiter durch und klärt die Erfordernis von Verpflichtungs- und Einwilligungserklärungen der Mitarbeiter ab. Außerdem wird er darauf hinwirken, dass die vom Gesetzgeber geforderten Dokumentationen vorhanden sind und ggf. erforderliche Verträge zur Auftragsverarbeitung, zur Verarbeitung personenbezogener Daten in gemeinsamer Verantwortung oder zur Verpflichtung von Dienstleistern auf die Wahrung des Datengeheimnisses geschlossen werden. Ein ganz wesenlicher Punkt ist die Einhaltung angemessener technischen und organisatorischen Maßnahmen (TOM), die insbesondere die Unternehmens-IT betreffen. Gerade hierdurch wird quasi als Nebeneffekt oftmals eine deutliche Verbesserung der Informationssicherheit erreicht, die dem gesamten Unternehmen hinsichtlich Ausfallsicherheit und Schutz sensibler Firmendaten zugute kommt. Außerdem ist der Datenschutzbeauftragte erster Ansprechpartner zu allen Datenschutzfragen für Mitarbeiter, Kunden, Lieferanten, Behörden und sonstigen Institutionen und Einzelpersonen. Kurz gesagt: Der Datenschutzbeauftragte unterstützt das gesamte Unternehmen aktiv dabei, in Datenschutzfragen sauber dazustehen und somit die Haftungs- und Bußgeldrisiken zu minimieren.
Mein Unternehmen ist zu klein, um einen Datenschutzbeauftragten bestellen zu müssen - also bin ich doch beim Thema "Datenschutz" fein raus?
So einfach ist es leider nicht. Die datenschutzrechtlichen Anforderungen des Gesetzgebers bei der Handhabung personenbezogener Daten sind grundsätzlich bei einem Selbständigen die gleichen wie bei einem Großkonzern. Die verantwortliche Stelle ist in jedem Fall die - je nach Rechtsform - entsprechende juristische bzw. natürliche Person. Ein Datenschutzbeauftragter soll diese lediglich bei der Erfüllung der geforderten Aufgaben unterstützen bzw. ihr die entsprechenden Tätigkeiten weisungsgemäß abnehmen. D.h. ohne Datenschutzbeauftragten fällt lediglich diese Unterstützung weg - ansonsten ändert sich fast nichts. Auch wenn Sie also keinen Datenschutzbeauftragten bestellen müssen, ist es sehr ratsam, sich zu dem Thema aufklären zu lassen und zumindest punktuell Unterstützung einzuholen.
Bisher war Datenschutz bei uns noch nie ein Thema und wir hatten trotzdem keine Probleme - warum sollten wir uns also damit belasten?
In der Vergangenheit hatten tatsächlich viele kleine und mittlere Unternehmen wenig Berührung mit dem Thema "Datenschutz", sofern die Verarbeitung personenbezogener Daten nicht gerade ihr Geschäftszweck war oder es zu einem Datenschutzvorfall kam. Die chronisch unterbesetzen Ausichtsbehörden sind selten durch nicht-anlassbezogene Prüfungen in Erscheinung getreten. Und wenn doch, dann waren die Strafzahlungen zumeist überschaubar. Aber mit der Einführung der DSGVO hat sich dies grundlegend geändert. Die Höchstgrenzen für Bußgelder wurden um ein Vielfaches angehoben und die Bemessungsregeln entsprechend angepasst, die Unternehmen werden deutlich mehr in die Nachweispflicht genommen und aufgrund der immer weiter anwachsenden Datenflut werden auch Datenschutzvorfälle zunehmend wahrscheinlicher. Unternehmen und deren gesetzliche Vertreter, die hiervor weiterhin die Augen verschließen, gehen ein hohes Risiko ein. Eine Geschäftsleitung, die erst reagiert nachdem etwas passiert ist, wird ihrer Verantwortung nicht gerecht. Und auf entsprechende Anfragen von Kunden, die bei sich bereits einen angemessenen Datenschutz implementiert haben, nicht angemessen antworten zu können, ist im besten Fall peinlich und kostet im schlechtesten Fall Aufträge.
Was kostet uns das?
Angesichts der - nicht nur finanziellen - Risiken, die ein Unternehmen eingeht, wenn es die Anforderungen aus dem Datenschutz leichtfertig ignoriert, ist die teuerste Variante des Umgangs mit diesem Thema die Nichtbeachtung. Davon abgesehen lautet eine alte Kaufmannsregel: "Qualität hat ihren Preis." Dieser kann günstig, aber niemals billig sein. Leider gibt es gerade im Bereich des Datenschutzes einige Angebote, die ganz offenbar lediglich als Feigenblatt gegenüber den Datenschutzbehörden dienen sollen. Hierbei ist seitens der verantwortlichen Stelle - d.h. des Unternehmens - zu beachten, dass die Bestellung eines Datenschutzbeauftragten aufgrund fehlender Fachkunde, Zuverlässigkeit oder Aktivität vom Gesetzgeber als nichtig betrachtet wird d.h. unwirksam ist. Hierfür trägt dann der gesetzliche Vertreter des Unternehmens die Verantwortung. Unser Selbstverständnis ist es dagegen, für einen angemessenen Preis eine hervorragende Dienstleistung zu erbringen, dabei immer die Interessen des Kunden im Fokus zu haben, sowie über den Tellerrand des reinen Datenschutzes zu schauen, um dadurch für den Kunden einen spürbaren Mehrwert zu erbringen. In der konkreten Ausgestaltung einer Datenschutz-Dienstleistung gibt es unterschiedliche Varianten - gerne beraten wir Sie, um gemeinsam mit Ihnen den für Sie optimalen Weg zu finden.
Interner oder externer Datenschutzbeauftragter?
Jedem Unternehmen, das verpflichtet ist, einen betrieblichen Datenschutzbeauftragten (DSB) zu bestellen, ist es freigestellt, hierzu einen eigenen Mitarbeiter zu verpflichten (interner DSB) oder einen externen Dienstleister zu beauftragen (externer DSB). Für beide Varianten kann es gute Gründe geben. Um zu entscheiden, welche im jeweiligen Fall die bessere ist, sollte man sich die Anforderungen des Gesetzgebers an einen DSB in Erinnerung rufen:
- Sachkunde: DSB ist zwar ein Berufsbild, jedoch kein Ausbildungsberuf. Zum DSB kann sich grundsätzlich jeder weiterbilden lassen, wobei es aber einen deutlichen Hinweis auf die benötigten Qualifikationen darstellt, dass es sich bei externen DSB, die diese Tätigkeit als professionelle Dienstleistung anbieten, fast ausschließlich um Juristen oder IT-Fachleute handelt. Im Falle eines internen DSB ist also zunächst ein Mitarbeiter mit einer geeigneten Grundqualifikation und Interesse an dieser Tätigkeit zu finden, der dann noch auf eine entsprechende Schulung zu schicken ist. Außerdem muss sich ein DSB kontinuierlich und nachweislich weiterbilden, wozu auch der Besuch mindestens einer entsprechenden Schulungs- oder Informationsveranstaltung pro Jahr gehört. Ein externer DSB, der diese Tätigkeit hauptberuflich ausübt, kann hier verständlicherweise einen ganz anderen Kenntnisstand erreichen als ein interner DSB, der sich nur einige Stunden pro Woche um den Datenschutz in seinem Unternehmen kümmert. Die Kosten hierfür verteilen sich bei einem externen DSB außerdem auch auf mehrere Kunden. Andererseits kennt die Geschäftsleitung den internen DSB bereits aus seiner bisherigen Tätigkeit und dieser wiederum kennt - zumindest zum Teil - das Unternehmen und seine Abläufe. Bei einem externen DSB besteht das Risiko, auf ein "schwarzes Schaf" der Branche hereinzufallen (worauf übrigens oftmals eine sehr niedrige Monatspauschale hindeutet) und in jedem Fall muss dieser das Unternehmen erst einmal kennenlernen. Dafür verfügt der externe DSB über ungleich mehr Routine und profitiert von den Erfahrungen aus seinen anderen Kundenmandaten.
- Zuverlässigkeit: Hiermit ist zunächst einmal ganz klassisch gemeint, dass der DSB charakterlich geeignet ist, um die Tätigkeit eines DSB mit der gebotenen Sorgfalt, einem entsprechenden Verantwortungsbewusstsein und der notwendigen Standhaftigkeit im Konfliktfall auszuüben. Bei einem eigenen Mitarbeiter, den man bereits seit Jahren kennt, fällt diese Einschätzung naturgemäß leichter, als bei einem externen Dienstleister, den man vielleicht nur nach einem einzigen persönlichen Gespräch einschätzen muss. Empfehlungen anderer Kunden können hier hilfreich sein.
- Unabhängigkeit: Dies ist oftmals ein ganz entscheidender Punkt bei der Überlegung, wer als DSB infrage kommt. Die für den Datenschutz verantwortliche Person soll sich nicht selbst kontrollieren können, d.h. Vertreter der Geschäftsleitung und Abteilungsleiter der IT, des Vertriebs, der Personal- oder Rechtsabteilung scheiden von vornherein aus. Gleichzeitig sollte es aber idealerweise ein Mitarbeiter mit einem gewissen juristischen oder besser noch einem fundierten IT-Basiswissen sein. In jedem Fall muss er in Konfliktsituationen auch gegenüber seinen eigentlichen Vorgesetzten oder gar der Geschäftsleitung das Datenschutzrecht vertreten können, weswegen interne DSB einen weitreichenden Kündigungsschutz genießen. Ein externer DSB ist per se unabhängig - wenn man einmal davon absieht, dass er es sich natürlich trotzdem nicht mit seinem Auftraggeber verscherzen will. Aber grundsätzlich die Tätigkeit des DSB zum Wohle und im Interesse des Auftraggebers - bzw. im Falle des internen DSB des Arbeitgebers - auszuüben, ist ja auch nichts Verwerfliches - im Gegenteil: Die Beratung der Geschäftsleitung in allen Fragen zum Datenschutz ist schließlich eine der originären Aufgaben eines betrieblichen DSB. Nur muss in jedem Fall eine professionelle Distanz gewahrt bleiben, um den Anforderungen, die der Gesetzgeber an einen DSB stellt, gerecht zu werden.
- Zeit, Räumlichkeiten und Arbeitsmittel: Diese Dinge sind einem internen DSB vom Arbeitgeber zu stellen; ein externer DSB verfügt selbst darüber bzw. bringt sie mit. Konkret muss ein interner DSB vom Arbeitgeber in angemessenem Umfang von seiner sonstigen Tätigkeit freigestellt werden. Wieviele Stunden dies pro Woche oder Monat sind, hängt sowohl von der Unternehmensgröße als auch von der Art der Geschäftstätigkeit des Unternehmens ab. Außerdem benötigt der interne DSB einen eigenen Raum, in dem er z.B. vertrauliche Gespräche mit Mitarbeitern führen kann, und entsprechend Arbeitsmittel zur Ausübung seiner Tätigkeit.
Pauschal kann man sagen, dass sich ein interner DSB in erster Linie in größeren Unternehmen lohnt, in denen er aufgrund des Arbeitsumfangs in Vollzeit als DSB tätig ist. In kleineren und mittleren Unternehmen dürfte zumeist ein externer DSB die besser Wahl sein. Aber dies ist keine pauschale Regel - es ist immer der Einzelfall zu betrachten. Auch Mischformen - interner DSB mit situativer Beratung/Unterstützung durch einen externen Dienstleister - können einen Überlegung wert sein. Und ein definierter interner Ansprechpartner - ein sog. "Datenschutzkoordinator" - ist im Falle eines externen DSB immer eine gute Idee. Dies kann zum einen das grundsätzliche Problem eines externen DSB, nicht täglich vor Ort zu sein und somit aktuelle Entwicklungen nicht zeitnah mitzubekommen, kompensieren, und zum anderen auch durch eine Kanalisierung von Datenschutzanfragen sowie ggf. eine aktive Unterstützung des DSB Beratungskosten minimieren.
Datenschutz = Datensicherheit?
Dem Gesetzgeber geht es beim Datenschutz ausschließlich darum, dass in Ihrem Unternehmen beim Umgang mit personenbezogenen Daten die datenschutzrechtlichen Interessen der betroffenen Personen gewahrt werden. Wie es jedoch ganz generell um die Daten- bzw. Informationssicherheit in Ihrem Unternehmen bestellt ist, ist dabei zunächst einmal nicht unbedingt von Belang. Gleichwohl erfordern aber die Auflagen des Datenschutzes die Umsetzung von Maßnahmen (Schutz vor Datenverlust, Abwehr von Malware und unautorisierten Zugriffen usw.), die sich auch auf die allgemeine Informationssicherheit in Ihrem Unternehmen positiv auswirken. Diesen Aspekt nehmen wir sehr wichtig und wirken gemeinsam mit Ihrer IT-Abteilung nicht nur auf die notwendigen Umsetzungen zur Erfüllung datenschutzrechtlicher Anforderungen hin, sondern haben eben auch die grundsätzliche Verbesserung der Informationssicherheit in Ihrem Unternehmen immer mit im Blick. Dies unterstreicht nicht zuletzt auch die Ausbildung von Holger Ridinger zum Informations Security Officer (TÜV) gemäß ISO/IEC 27000 series.