Datenschutz ist nicht so schwer, wenn man weiß wie!

Warum Datenschutz wichtig ist?

Wir alle haben einen digitalen Zwilling. Was ihm in der digitalen Welt geschieht, das geschieht auf der einen oder anderen Weise auch uns in der realen Welt. Je digitaler unsere Welt wird, umso mehr müssen wir auf den Schutz unseres digitalen Zwillings achten.

Datenschutz ist nicht der Schutz von Daten sondern der Schutz von Menschen.

Marc Dauenhauer

Hier beantworten wir einige grundlegende Fragen zum Datenschutz

Personenbezogene Daten sind Daten, die sich auf eine natürliche Person beziehen. Die Person muss entweder direkt aus den Daten bestimmt werden können oder indem man weitere Daten hinzunimmt. Ein Beispiel hierfür sind KFZ-Kennzeichen. Ein KFZ-Kennzeichen bezeichnet zwar direkt keine Person, aber die Zulassungsstelle kann den Halter eines KFZs mittels weiterer Daten ermitteln. Daher stellt auch ein KFZ-Kennzeichen im Zweifel ein personenbezogenes Datum dar.

Es gibt viele Daten, die von einem Betrachter nicht direkt auf eine Person bezogen werden können, aber durch Zusatzdaten personenbeziehbar werden. Man nennt solche Daten auch Pseudonyme. Sie werden überall dort genutzt, wo es zwar wichtig ist zu wissen, dass bestimmte Daten zu einer Person gehören, die Identität der Person selbst aber nicht wichtig ist. Dies kann z.B. bei statistischen Auswertungen notwendig sein. 

Wenn Daten so verfremdet werden, dass ein Personenbezug unter praktischen Gesichtspunkten ausgeschlossen ist, spricht man von anonymisierten Daten. 

Die DSGVO kümmert sich nur um personenbezogene oder personenbeziehbare Daten von natürlichen Personen. Juristische Personen sind genauso wenig geschützt wie anonymisierten Daten.

Die DSGVO schreibt allen Unternehmen die Einhaltung bestimmter Pflichten im Umgang mit personenbezogenen Daten vor. Dabei ist die Größe des Unternehmens vollkommen uninteressant. Es spielt also keine Rolle, ob es sich um einen Weltkonzern oder um einen einzelnen Freiberufler handelt. Die Pflichten sind weitestgehend die gleichen, nur deren Umfang variiert mit der Größe des Unternehmens.

Der Datenschutzbeauftragte ist in Unternehmen derjenige, der die notwendigen Kenntnisse mitbringt, um die Einhaltung der Datenschutzgesetze überwachen und das Unternehmen beraten zu können. Ab einer bestimmten Unternehmensgröße ist es Pflicht, eine Person zum Datenschutzbeauftragten des Unternehmens zu benennen. Die Grenze liegt aktuell bei 20 Mitarbeiter:innen, die regelmäßig mit der Bearbeitung personenbezogener Daten betraut sind.

In Deutschland müssen Unternehmen einen DSB benennen, wenn sie mindestens 20 Personen beschäftigen, die sich regelmäßig mit der Verarbeitung von personenbezogenen Daten befassen. Zu dem relevanten Personenkreis zählen neben festen Angestellten auch freie Mitarbeiter:innen, Auszubildende, Praktikant:innen und andere Personen, die dem Direktionsrecht des Unternehmens unterliegen. Dabei muss die Befassung mit personenbezogenen Daten zum Tätigkeitsfeld gehören und regelmäßig stattfinden. Regelmäßig bedeutet hier nicht zwingend “oft”, aber “wiederholt”. Nicht gezählt werden Beschäftigte, die nur einmalig oder ausnahmsweise z.B. im Rahmen einer Vertretungsregelung mit der Verarbeitung von personenbezogenen Daten betraut werden.

Aber auch kleinere Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.


So sind z.B. Notare öffentliche Stellen, die auch unabhängig von der Anzahl der Kanzleibeschäftigten zur Benennung eines DSB verpflichtet sind.

Für die Tätigkeit des DSB gibt es keine formale Ausbildung. Grundsätzlich kann jede natürliche Person zu einem Datenschutzbeauftragten benannt werden, die über die notwendigen Kenntnisse für die Ausübung der Tätigkeit im jeweiligen Unternehmen verfügt. Das dafür notwendige Wissen wird in einem internationalen Großkonzern ein anderes sein als in einem kleinen mittelständischen Unternehmen. Der Gesetzgeber hat auf eine feste formale Ausbildungsforderung verzichtet, um dieser Spannbreite in den Aufgaben und Anforderungen Rechnung zu tragen.

Dennoch kann man allgemein sagen, dass ein Datenschutzbeauftragter über folgende Kenntnisse verfügen sollte:

  • Kenntnis der europäischen und nationalen Datenschutzgesetze sowie angrenzender Rechtsgebiete
  • Kenntnisse der rechtlichen Anforderungen der jeweiligen Unternehmensbranche
  • Aktuelles Wissen über die Entwicklung der Rechtsetzung durch Gerichte
  • Technisches Grundverständnis der wesentlichen IT-Technologien nach dem Stand der Technik
  • Moderations- und Konfliktlösungsmethoden

Bevor Sie eine MitarbeiterIn als DSB benennen, sollten Sie sich die Frage stellen, ob das sinnvoll ist. Neben der internen Besetzung dieses Amtes kommt nämlich auch noch die Beauftragung einer externen Person in Frage. Ein externer DSB ist insbesondere dann sinnvoll, wenn eine interne Person mit den Datenschutzaufgaben nicht ausgelastet wäre. Schließlich müssen Sie für die Kosten der Aus- und Weiterbildung aufkommen, egal wie viel der Anteil der Datenschutztätigkeiten wirklich beträgt. Zudem genießt ein interner DSB einen weitreichenden Kündigungsschutz. Wer einmal auf diesem Posten gelandet ist, ist praktisch unkündbar.

Externe Datenschutzbeauftragte finden Sie wie Sand am Meer. Seit dem Inkrafttreten der DSGVO gibt es einen großen Markt an Anbietern von diversen Datenschutzleistungen. Die Aufgaben eines Datenschutzbeauftragten sind gesetzlich normiert und drehen sich um einen festen Kanon von Tätigkeiten. Viele Anbieter haben ebenfalls eine Datenschutz-Management-Software im Angebot, über die ein Teil der Leistungen abgebildet wird. Die Datenschutzbehörden haben recht gute Orientierungshilfen zu den Aufgaben und der Stellung von DSBs in Unternehmen herausgebracht.

Info-Broschüre DSB (externer Link zum LfD Niedersachsen)

Natürlich biete auch ich diese Leistungen an. Sie können sich auf dieser Webseite über mich und meine Arbeitsweise in Ruhe informieren. Gerne erhalten Sie auch ein unverbindliches Angebot für die Unterstützung in Ihrem Unternehmen.

Die verschiedenen Angebote und damit auch der Preis externer DSBs unterscheiden sich hauptsächlich in folgenden Punkten:

  • Umfang der administrativen Tätigkeiten (wer pflegt die Daten und Verzeichnisse?)
  • Umfang der betrieblichen Beratung
  • Umfang der eingesetzten Datenschutzsoftware
  • Vorhandensein elektronischer Schulungsmedien (z.B. eLearning)
  • Grad der persönlichen Betreuung (z.B. Erreichbarkeit des DSB)
  • Grad der Individualisierung der angebotenen Leistung (z.B. abgestimmt auf das individuelle Geschäftsmodell des Mandanten)
  • Grad der IT-Expertise bei der Umsetzung des Datenschutzes

Die Kosten für Datenschutzbeauftragte variieren von 29,90 Euro bis zu mehreren tausend Euros pro Monat. Das Tätigkeitsspektrum eines DSB kann sehr breit ausgestaltet sein. Zwischen einer reinen Prüfungshandlung und einer ausführlichen Beratung und Betreuung können Welten liegen, die sich entsprechend auch im Preis abbilden.

In den eher preiswerten Angeboten kommen vor allen Dingen automatisierte standardisierte Prozesse zum Einsatz. Der Verantwortliche ist dort meist selbst gefragt, die relevanten Informationen in ein System (von Checklisten) einzutragen, das hieraus eine datenschutzrechtliche Bewertung und Dokumentation erstellt. Der Verantwortliche bleibt dabei vorwiegend auf sich selbst gestellt, die Vollständigkeit der hinterlegten Informationen sicherzustellen. Diese Form kann bei kleinen Unternehmen sinnvoll sein, bei denen Datenverarbeitungen keine wesentliche Rolle in der Geschäftstätigkeit spielen. Ein gewisses datenschutzrechtliches Grundwissen muss sich der Verantwortliche aber meist selbst erarbeiten.

Je anspruchsvoller oder komplexer die Datenverarbeitungen werden, umso wichtiger werden individuelle Betrachtungen und Überprüfungen, umso relevanter wird spezifisches Know-How beim DSB. Das kann nicht mehr nach Schema F durchgeführt werden.

Auch Ortsbegehungen sind wichtig, um Datenschutzprobleme im Alltag aufzudecken, die für den Verantwortlichen meist gar nicht erkennbar waren. Je individueller der Datenschutzbeauftragte sich mit dem Geschäftsmodell des Verantwortlichen beschäftigt, umso zielgerichteter kann auch die Beratung und Beurteilung von datenschutzrechtlichen Sachverhalten ausfallen. Und wie immer, hat diese Leistung dann auch ihren Preis. Mittlere dreistellige Monatsbeträge sind dann für Unternehmen ab 20-50 Mitarbeiter:innen nicht ungewöhnlich.

 

Ein guter DSB kontrolliert nicht nur, er berät das Unternehmen auch in Sachen Prävention und achtet darauf, dass für den Krisenfall geeignete Prozesse im Unternehmen etabliert wurden. 

Datenschutz ist kein Zustand, Datenschutz ist ein Prozess. Meist lässt sich ein bestimmtes Datenschutzniveau nur über eine kontinuierliche Arbeit an dem Thema erreichen. Umso kritischer ist es, wenn es überraschend zu einem Problem, einem Datenschutzvorfall oder einer Kontrolle durch die Aufsichtsbehörden kommt und das Unternehmen seine Hausaufgaben in Sachen Datenschutz nicht gemacht hat. 

Hier hilft dann nur eine Vorwärtsverteidigung durch einen versierten Anwalt und die zügige Umsetzung der wichtigsten Datenschutzstandards mit Hilfe eines externen Beraters. Ich übernehme auch in solchen Krisenfällen Mandate zur schnellen Umsetzung technisch-organisatorischer Maßnahmen. Lesen hier dazu mehr.

Wenn Sie Fragen zum technisch-organisatorischen Datenschutz haben, die wir beantworten sollen, können Sie diese hier stellen.