Datenschutzberatung & Externe Datenschutzbeauftragte

Der externe Datenschutzbeauftragte

Seit Neuestem sieht man immer öfter im Internet, z. B. auf der Impressum-Seite einer Website, einen Eintrag „Datenschutzbeauftragter“ oder „Unsere Datenschutzbeauftragte“ oder ähnliche Einträge. Darunter ist dann entweder ein Name eines Mitarbeiters oder einer Mitarbeiterin genannt und eine E-Mail-Adresse, die mit „datenschutz@“ beginnt, oder oft ist dort auch ein Anwalt oder ein Mitarbeiter eines speziellen Dienstleistungsunternehmens genannt.

Viele fragen sich bestimmt noch zwei Dinge: 1. „Warum sieht man das immer öfter?“ und 2. „Brauche ich das etwa auch?“ Wir gehen hier gerne auf diese beiden Fragen näher ein.

Datenschutz – heute wichtiger denn je.

Hinweise auf einen Datenschutzbeauftragten finden sich heute an sehr vielen Stellen. Neben den erwähnten Einträgen in Internet-Präsenzen finden sich solche Einträge heute auch ihn vielen Verträgen im „Kleingedruckten“, in vielen Formularen, in denen die eigenen persönlichen Daten eingetragen werden sollen, und in einiger Geschäftspost. Sogar in Telefonansagen gerade von Callcentern mit qualifizierten Kundenkontakten und automatisierten Bandansagen hört man immer häufiger eine Stimme etwas sagen wie, „Angaben zu unserem Datenschutzbeauftragten finden Sie im Internet auf unserer Website unter Datenschutz“.

Die Ursache für diese deutliche Zunahme ist das Inkrafttreten der DSGVO in 2016 und das gültig Werden in der gesamten Europäischen Union im Mai 2018.
Die DSGVO regelt die Pflicht zum Schutz personenbezogener Daten und was bei Speicherung und Verarbeitung personenbezogener Daten zu beachten ist. Darüber hinaus ist in ihr geregelt, dass jedes Unternehmen veröffentlichen muss, wer in dem Unternehmen für den Datenschutz verantwortlich ist.
Datenschutz war auch davor schon gesetzlich geregelt. Neu an der DSGVO ist vor allem, dass die Regelungen EU-weit einheitlich sind, und dass Verstöße zum Teil mit drakonischen Strafen belegt werden. Dazu erleichtert die Verordnung deutlich, Unternehmen direkt in die Verantwortung nehmen zu können, und schafft eine Transparenz für Kunden und Verbraucher, die schnelles Handeln ermöglicht.
Betroffen von den Regelungen ist jeder und jedes Unternehmen, das personenbezogene Daten erfasst und/oder verarbeitet.

Der Datenschutz hat sehr stark an Bedeutung zugenommen, da die Systeme der Unternehmen immer leistungsfähiger werden und immer stärker vernetzt sind.
Zusätzlich stellt der Einsatz von Künstlicher Intelligenz eine weitere Gefährdung für die Persönlichkeitsschutzrechte jedes einzelnen in der Gesellschaft dar.
In der DSGVO wird vorgegeben, dass nicht unbegründet Daten von Personen, meist von Kunden, erfasst und verarbeitet werden dürfen. Jede Person muss über jede Verarbeitung seiner persönlichen Daten informiert werden und er muss die Möglichkeit haben, der Erfassung und/oder der Verarbeitung wirksam zu widersprechen. Das unbegründete Zusammenführen von Daten ist nicht mehr erlaubt.

Es soll zum Beispiel verhindert werden, dass sich Arbeitgeber, Versicherungen, Kreditinstitute, Dienstleistungsanbieter oder weitere Einrichtungen von jedem Interessenten ein allumfassendes Bild machen, um die eigenen Risiken zu minimieren, auch wenn dadurch der Schutz der Persönlichkeit verletzt werden würde. So geht es künftigen Arbeitgeber beispielsweise schlicht nichts an, ob ein Mitarbeiter bis nachts um zwei Computer-Spiele spielt und dadurch mitunter ermüdet zur Arbeit erscheint.

Datenschutzbeauftragter

Jedes Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Dieser ist im Unternehmen verantwortlich für die Umsetzung der Datenschutzvorgaben zum einen durch Beratung und Sensibilisierung der Mitarbeiter, zum anderen durch Überprüfungen und konkrete Maßnahmen.

Er wird nach außen benannt. Verbraucher und weitere Personen können sich an ihn wenden, wenn sie zum Beispiel eine Auskunft zu den über sie gespeicherten Daten erhalten möchten oder wenn sie die Löschung ihrer personenbezogenen Daten beantragen wollen.

Kommt es zu einem Verstoß gegen die Vorgaben aus der DSGVO, so ist es die Aufgabe des Datenschutzbeauftragten, den Verstoß proaktiv zu melden, zu dokumentieren und zu veröffentlichen und aber auch die Auswirkungen so reduzieren und die Ursachen abzustellen. Konkret kann der Datenschutzbeauftragte verpflichtet sein, binnen 72 Stunden nach Bekanntwerden eines öffentlichen Zugangs personenbezogener Daten das Datenleck zu schließen und dafür soweit nötig auch den Geschäftsbetrieb zu unterbrechen.

Je nach Größe des Schadens müssen betroffene Personen proaktiv über die versehentliche Zugänglichkeit ihrer persönlichen Daten informiert werden.

Die Datenschutzbeauftragten in den Unternehmen sind für die Landesdatenschutzbeauftragten die ersten Ansprechpartner im Schadensfall. Es kann also vorkommen, dass der Betreiber eines kleinen Onlinehandels am Wochenende vom Landesdatenschutzbeauftragten darüber informiert wird, dass ein Leck in der Datenbank dazu geführt hat, dass eine Anzahl von Kundendaten, wie E-Mail-Adressen im Internet frei zugänglich waren. Der Datenschutzbeauftragte des Onlinehandels muss dann unverzüglich handeln, Gegenmaßnahmen ergreifen und betroffene Kunden informieren.

Externer Datenschutzbeauftragter

Die Aufgaben des Datenschutzbeauftragten sind sehr vielschichtig und bedeuten eine hohe Verantwortung. Wegen der Pflicht, bestimmte Mängel binnen 72 Stunden beseitigt haben zu müssen, muss permanent ein Datenschutzbeauftragter erreichbar sein.

Ein Datenschutzbeauftragter muss die aktuellsten Bedrohungen stets im Blick haben, die aktuellen Risiken genau kennen und stets in der Lage sein, im Falle eines Problems rasch die geeigneten Gegenmaßnahmen ergreifen zu können. Gerade in kleineren Unternehmen kann das kaum ein Mitarbeiter alleine leisten.

Die Verordnung aus der DSGVO gibt nicht vor, dass der Datenschutzbeauftragte selbst Mitarbeiter des Unternehmens sein muss, sondern erlaubt ganz bewusst, dass diese Kernkompetenzen auch von extern hinzugeholt werden können.
Ein externer Datenschutzbeauftragter hat dieselben Aufgaben und an ihn werden dieselben Anforderungen gestellt, wie an einen betriebsinternen Datenschutzbeauftragten. Er vertritt das Unternehmen gegenüber dem Landesdatenschutzbeauftragten, leitet im Schadensfall geeignete Maßnahmen zur Schadenseindämmung ein und lässt entdeckte Lücken schließen.

Der Vorteil eines externen Datenschutzbeauftragten gerade für kleine Unternehmen liegt zum einen in seiner größeren Erfahrung und seiner sehr guten Vernetztheit. Stellt er beispielsweise bei seinem Kunden A fest, dass tatsächlich die kursierende E-Mail mit einer angeblichen Bewerbung einer unbekannten Person dazu geführt hat, dass E-Mail-Adressen der übrigen Kunden für Stunden im Internet ohne wirksamen Schutz zugänglich waren, so kann er umgehend bei Kunden B und anderen diesen Schaden noch rechtzeitig abwenden.

Externe Datenschutzbeauftragte erhalten für Ihre Leistungen vom Unternehmen ein angemessenes Entgelt. Die Unternehmen sparen sich im Gegenzug an dieser Stelle die Lohn- und Weiterbildungskosten für eine interne Kraft. Gleichzeitig kommt ihnen die höhere Erfahrung zugute.

Wir helfen gerne

Als erfahrener Ingenieur und Jurist unterstützt Sie Donato Muro gerne bei allen Fragen rund um das Thema „externer Datenschutzbeauftragte“. Er hat hier den Blick darauf, auf was es in konkret Ihrem Unternehmen ankommt, wo die Hauptgefahren liegen und auf was besonders zu achten ist.