Hilfe, ich soll Datenschutzbeauftragter werden!
von Sandra Hoffmann (Kommentare: 0)
Offen gesagt, in den seltensten Fällen ist die Aufgabe des Datenschutzbeauftragten eine Tätigkeit, um die sich Mitarbeiter in Unternehmen reißen. Doch wenn Sie sich bereit erklären oder „auserkoren“ wurden, die Aufgabe des Datenschutzbeauftragten zu übernehmen, dann ist es vielleicht hilfreich, vorab ein paar Dinge über diese Aufgabe zu wissen.
Wann benötigt Ihr Unternehmen einen Datenschutzbeauftragten?
Sobald in Ihrem Unternehmen mehr als 20 Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind, ist die Bestellung eines Datenschutzbeauftragten in Deutschland verpflichtend (§ 38 Abs. 1 BDSG). Bei öffentlichen Stellen liegt eine generelle Bestellpflicht vor (§ 5 Abs. 1 BDSG). Es gibt zudem weitere Punkte, die Ihr Unternehmen ggfs. früher verpflichtet, einen Datenschutzbeauftragten zu bestellen. Sind Sie sich als Unternehmer oder Mitarbeiter nicht ganz sicher, können Sie die Voraussetzungen einfach anhand unseres Datenschutz-Schnell-Checks herausfinden.
Datenschutzkoordinator - Datenschutzbeauftragter
Angenommen, Ihr Unternehmen ist verpflichtet einen Datenschutzbeauftragten zu bestellen, dann sollte die Geschäftsführung klären, ob diese Position intern besetzt wird oder ob das Unternehmen einen externen Datenschutzbeauftragten bestellen möchte. Beides hat jeweils seine Vor- und Nachteile.
Datenschutzkoordinator
Fällt die Wahl auf einen externen Datenschutzbeauftragten, wird Ihr Unternehmen bei den Themen zum Datenschutz durch einen externen Dienstleister, wie die dacuro GmbH, begleitet. In diesem Fall ist es immer hilfreich im Unternehmen einen Mitarbeiter bzw. eine Mitarbeiterin zu haben, der den Datenschutzbeauftragten unterstützt, den sogenannten Datenschutzkoordinator. Wie der Begriff bereits erklärt, geht es bei dieser zusätzlichen Aufgabe hauptsächlich um unterstützende und koordinatorische Tätigkeiten. Da der Mitarbeiterende Teil des Unternehmens ist, kennt er die Unternehmensstrukturen und Abläufe wesentlich besser als eine externe Person. Hierdurch lassen sich beispielsweise Fragen seitens der Kollegen zentral sammeln oder bereichsspezifische Themen an den zuständigen Kollegen in der jeweiligen Abteilung weiterleiten. Die Tätigkeit des Datenschutzkoordinators sollte nicht unterschätzt werden, da auch hier viel Organisationstalent gefordert wird und man gerne mal den Kollegen mit dem ungeliebten Thema Datenschutz hinterherlaufen muss. Zudem ist es für den Koordinator sehr hilfreich, wenn er die Basis-Elemente, die im Datenschutz erfüllt und geregelt werden müssen, kennt und zuordnen kann. Dieses Wissen erleichtert sowohl die Koordinationstätigkeit des Mitarbeiters und spart final sehr viel an Zeitaufwand, der vermieden werden kann. Aus diesem Grund macht es Sinn, dass auch ein Datenschutzkoordinator zu Beginn seiner Tätigkeit an einem Seminar zum Datenschutz teilnimmt. Mit dem Basiswissen zum Datenschutz kann der Koordinator im Anschluss viele Informationen besser einordnen, beurteilen und ggfs. sogar eigenständig klären.
Datenschutzbeauftragter
Sollen Sie als Mitarbeiterin oder Mitarbeiter zum Datenschutzbeauftragten in ihrem Unternehmen bestellt werden, sind im Vorfeld ebenfalls ein paar Punkte zu berücksichtigen.
Erfolgt eine Bestellung als interner Datenschutzbeauftragter, dürfen Sie als Mitarbeiter nicht in einer der folgenden Positionen beschäftigt sein:
- Geschäftsführung o. ä.
- IT-Abteilung
- Personalabteilung
In diesen Positionen müssten Sie sich sozusagen selbst kontrollieren, was eine objektive Tätigkeit als Datenschutzbeauftragte/r nicht möglich macht. Die Gefahr, der Selbstmanipulation ist zu groß, weshalb Mitarbeiter dieser Bereiche die Position des internen Datenschutzbeauftragten nicht wahrnehmen dürfen (Art. 38 Abs. 6 DSGVO). Letztlich wirkt es sich dauerhaft auch auf das Unternehmen nachteilig aus. Die Funktion des Datenschutzkoordinators kann hingegen problemlos durch einen Mitarbeiter in dieser Position erfüllt werden.
Zudem müssen für Sie als Mitarbeiter die Voraussetzungen für Ihre Tätigkeit als interner Datenschutzbeauftragter geschaffen werden. Einfach festlegen: „Du bist jetzt unser Datenschutzbeauftragter.“ reicht bei weitem nicht aus. Denn die Datenschutzgrundverordnung (DSGVO) nennt hinsichtlich der Voraussetzungen zur Erfüllung der Tätigkeit des Datenschutzbeauftragen in Art. 37 Abs. 5 DSGVO folgende Kriterien:
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“
Dies bedeutet, sehr salopp gesagt, wenn Sie bisher noch nichts mit dem Thema Datenschutz am Hut hatten, können Sie diese Position erst ausüben, sobald Sie über die erforderliche Qualifikation und das notwendige Fachwissen verfügen. Hierfür reicht es nicht aus, dass Ihnen Ihr Arbeitgeber drei Bücher bestellt oder Ihnen mitteilt, dass eine Internet-Suchmaschine Ihrer Wahl, alle Informationen bereitstellt, falls Sie Fragen haben. Ihr Chef hat dafür Sorge zu tragen, dass Sie vor Aufnahme Ihrer Tätigkeit, soweit geschult sind, dass Sie diese überhaupt ausführen können (Art. 38 Abs. 2 DSGVO). Um sich dieses Wissen anzueignen, gibt es - neben den drei bestellten Büchern - ebenfalls Kurse und Seminare, die Sie besuchen können. Parallel sollten Sie während Ihrer gesamten Tätigkeit lernbereit und durchaus wissbegierig sein. Denn die DSGVO ist noch nicht sehr alt und nahezu täglich erhält man neue Informationen zu Urteilen oder Vorgaben seitens der Aufsichtsbehörden. Hierdurch sollte man versuchen, Up-To-Date zu bleiben. Hinzu kommt, dass Sie ein wenig Grundverständnis im Bereich Technik mitbringen und in der Lage sein sollten, juristische Texte zu interpretieren, unabhängig davon, ob Sie seitens der IT- und der Rechtsabteilung unterstützt werden.
Sowohl in der Funktion als Datenschutzkoordinator als auch als interner Datenschutzbeauftragter sollte Ihr Arbeitgeber dafür Sorge tragen, dass Ihnen, sofern die Erfüllung Ihrer Tätigkeit nicht ausschließlich auf den Datenschutz ausgerichtet ist, ausreichend Zeit bleibt, um sich dem Datenschutz zu widmen.
Erste Schritte
Nachdem Sie über das notwendige Wissen verfügen, um Ihre Funktion als interner Datenschutzbeauftragter ausführen zu können, muss das Unternehmen eine separate E-Mail-Adresse anlegen, auf die ausschließlich Sie in Ihrer Funktion Zugriff haben. Diese E-Mail-Adresse kann z. B. lauten datenschutz@ihre-domain.de oder privacy@ihre-domain.com.
Diese Adresse dient zur vertraulichen Kontaktaufnahme mit Ihnen. Sie ist sowohl für externe Betroffene (z. B. Kunden, Webseitenbesucher, usw.) als auch für Mitarbeiter des Unternehmens gedacht. Aus diesem Grund darf ausschließlich der Datenschutzbeauftragte Zugriff auf die eingehenden E-Mails haben. Gleiches gilt bei der Bestellung eines externen Datenschutzbeauftragten. Weder die IT-Abteilung noch die Geschäftsführung dürfen Zugriff auf die Inhalte der E-Mails haben.
Im nächsten Schritt sind Sie offiziell bei der zuständigen Aufsichtsbehörde zu melden. Dies ist oftmals online möglich. Die Handhabung variiert jedoch von Bundesland zu Bundesland immer ein wenig. Die Meldung hat in dem Bundesland zu erfolgen, in dem der Hauptsitz Ihres Unternehmens ist. Sind Sie auch als Datenschutzbeauftragter von Tochterunternehmen o. ä. bestellt, ist hierfür ebenfalls eine gesonderte Meldung vorzunehmen. Sofern das Tochterunternehmen in einem anderen Bundesland ist, ist die Meldung entsprechend in diesem durchzuführen.
Auch sind die Kontaktdaten des Datenschutzbeauftragten auf der Unternehmenswebseite zu veröffentlichen. Hierfür bietet sich die Datenschutzerklärung an. Beide Vorgaben ergeben sich aus Art. 37 Abs. 7 DSGVO.
Stellung des Datenschutzbeauftragten
Einer der sicherlich wichtigsten Punkte, weshalb auch eine gesonderte E-Mail-Adresse angelegt wird, auf die ausschließlich Sie Zugriff haben: Sie sind, ähnlich wie ein Betriebs- bzw. Personalratsmitglied, in der Erfüllung Ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden (Art.38 Abs. 5 DSGVO).
Da Sie in Ihrer Funktion als interner Datenschutzbeauftragter durchaus auch Dinge zur Sprache bringen werden, die unter Umständen unangenehm sind, weil Sie unmittelbar der höchsten Managementebene berichten, dürfen Sie aufgrund dessen weder abberufen oder benachteiligt werden (Art.38 Abs. 3 DSGVO). Umgangssprachlich bedeutet dies: nur weil Sie in Ihrer Rolle als Datenschutzbeauftragter unangenehme Fragen stellen, Prozesse einführen oder Informationen wissen möchten, dürfen Sie weder benachteiligt oder sofort gekündigt werden.
Ebenfalls hat Ihr Arbeitgeber sicherzustellen, dass Sie ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden (Art.38 Abs. 1 DSGVO). Dies bedeutet, dass Sie vorab hinzuzuziehen sind, bevor beispielsweise eine Videoüberwachung oder eine neue Software, die personenbezogene Daten verarbeitet, im Unternehmen eingeführt wird.
Über die nationale Gesetzgebung im Bundesdatenschutzgesetz wird die Stellung in § 6 Abs. 4, 5 Satz 2 und Abs. 6 BDSG nochmals untermauert. Wobei die Vorgaben zum Kündigungsschutz in Absatz. 4 ausschließlich dann zum Tragen kommen, wenn für das Unternehmen eine Bestellpflicht vorliegt.
Aufgaben des Datenschutzbeauftragten
Zu Ihren Tätigkeiten als interner Datenschutzbeauftragter gehört schwerpunktmäßig,
- die Unterrichtung und Beratung der Geschäftsführung hinsichtlich ihrer Pflichten nach dieser Verordnung [DSGVO] sowie nach sonstigen Datenschutzvorschriften.
- die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften.
- die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
- auf Anfrage die Beratung und Überwachung von Datenschutzfolgenabschätzungen.
- die Zusammenarbeit mit der Aufsichtsbehörde und Ansprechpartner für diese.
Neben den Aufgaben, die die DSGVO in Art. 39 benennt, werden im Bundesdatenschutzgesetz in § 7 BDSG weitere Aufgaben des Datenschutzbeauftragten benannt.
Welche Themen muss ich als Datenschutzbeauftragter umsetzen?
Neben der Beratung im Unternehmen, sind die Vorgaben, die sich aus der DSGVO ergeben, durch den Verantwortlichen eines Unternehmens umzusetzen. Der Datenschutzbeauftragte stößt die Prozesse an, koordiniert und dokumentiert diese.
Hierunter fallen unter anderem:
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
o Risikoanalyse / Datenschutzfolgenabschätzung (DSFA) (Art. 35 DSGVO) - Technisch-organisatorische Maßnahmen (TOM) (Art. 32 DSGVO)
o Notfallkonzept / Berechtigungskonzept / Löschkonzept - Verträge zur Auftragsverarbeitung (AV-Verträge) (Art. 28 DSGVO)
o Verträge zur gemeinsamen Verarbeitung (Art. 26 DSGVO) - Betroffenenrechte und Betroffenenanfragen (Artt. 12 - 23 DSGVO)
- Umgang mit Verstößen und Datenpannen
- Schulung bzw. Sensibilisierung der Mitarbeiter
- Weitere Themen wie z. B. Website & Soziale Medien, Bewerbungen, E-Mail-Nutzung, Homeoffice, usw.
Verantwortlich für die finale Umsetzung und die Haftung bleibt jedoch immer der Verantwortliche des Unternehmens, also die Geschäftsführung. Der Datenschutzbeauftragte selbst haftet ausschließlich im Rahmen seiner Tätigkeit bei grober Fahrlässigkeit oder bei Vorsatz.
Fazit
Die Tätigkeit als interner Datenschutzbeauftragter ist sicherlich nicht die Einfachste, zeitintensiv und durchaus mit einer großen Verantwortung verbunden. Falls Sie trotzdem Interesse haben oder „zum Opfer“ auserkoren wurden, für Ihr Unternehmen diese Tätigkeit zu übernehmen, können Sie sich im ersten Schritt unsere Datenschutz-Basics ansehen. Mit diesen erhalten Sie einen ersten Einblick die Themen:
- Grundprinzipien des Datenschutzes
- Rechtmäßigkeit von Verarbeitungen
- Verzeichnis der Verarbeitungstätigkeiten
- Technische und organisatorische Maßnahmen
- Vertrag zur Auftragsverarbeitung
- Betroffenenrechte
- Verstöße und Datenpannen
- Mitarbeiterschulungen
Die Grundlagen sollten Sie sich in einer Schulung oder in einem Seminar aneignen. Hierfür gibt es unterschiedliche Anlaufstellen. Auch bieten wir in unserem Portfolio sowohl die Unterstützung von internen Datenschutzbeauftragten als auch Seminare an.
Sollten Sie aufgrund des Schnell-Checks herausgefunden haben, dass für Ihr Unternehmen kein Datenschutzbeauftragter bestellt werden muss, ist Ihre Firma trotzdem verpflichtet, die Vorgaben der DSGVO zu erfüllen. Dies kann mithilfe eines Workshops erfolgen, sodass Sie im Anschluss datenschutzkonform aufgestellt sind.
Da die dacuro GmbH unterschiedliche Branchen betreut, verfügt unser Team über weitreichende Erfahrung in allen Themengebieten des Datenschutzes. Sprechen Sie uns an, wir finden die passende Lösung für Ihren Datenschutz.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben