Datenschutz-Instrumente nach DSGVO Das beste Tool ist der Datenschutzbeauftragte
Viele Unternehmen suchen immer noch geeignete Tools und Verfahren, um die Datenschutz-Grundverordnung (DSGVO / GDPR) vollständig umsetzen und einhalten zu können. Dabei sollte nicht vergessen werden, wie wichtig der oder die betriebliche Datenschutzbeauftragte ist. Eine Aufweichung der Pflicht zur Benennung eines Datenschutzbeauftragten wäre also kontraproduktiv.
Anbieter zum Thema

Seit einem Jahr ist nun die Datenschutz-Grundverordnung (DSGVO / GDPR) anzuwenden, in Deutschland in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG-neu). Sowohl die DSGVO als auch das BDSG-neu sehen unter bestimmten Bedingungen einen oder eine betriebliche Datenschutzbeauftragte (DSB) vor. Man findet die genauen Bedingungen in Artikel 37 DSGVO (Benennung eines Datenschutzbeauftragten) sowie in § 38 BDSG (Datenschutzbeauftragte nichtöffentlicher Stellen).
Obwohl in der DSGVO und im BDSG nicht ausgesagt wird, dass die Datenschutzvorgaben nur dann zu beachten ist, wenn ein DSB zu benennen ist, scheint sich dieser Mythos immer noch in so manchen Köpfen zu halten. So berichtet der Berufsverband der Datenschutzbeauftragten (BvD) e.V. von dem DSGVO-Irrtum „Wenn wir keinen Datenschutzbeauftragten brauchen, gelten für uns keine Datenschutzpflichten.“
:quality(80)/images.vogel.de/vogelonline/bdb/1571100/1571196/original.jpg)
Monatsrückblick Mai 2019
Ferienstimmung, Bugs und DSGVO
Der BvD klärt deshalb auf: „Häufig wird angenommen, dass erst die Benennung eines Datenschutzbeauftragten (DSB) zu den Vorschriften der DSGVO verpflichtet. Deshalb versuchen vor allem kleine Unternehmen eine Benennung zu vermeiden. Aber die Aufgaben bestehen bei jedem Verantwortlichen. Sie sind zu erfüllen, unabhängig, ob ein DSB benannt ist oder nicht. Qualifizierte Beratung bleibt für die Pflichterfüllung essentiell.“
Die Rolle des Datenschutzbeauftragten richtig verstehen
Die falsche Vorstellung, ohne einen DSB brauche man auch die DSGVO nicht zu beachten, hängt zum Teil damit zusammen, dass man den oder die Datenschutzbeauftragte als verantwortlich für den Datenschutz ansieht. Ohne Verantwortlichen gibt es auch keine Verantwortung, könnte im Unterbewusstsein mitschwingen.
Dabei beschreibt die DSGVO einen Verantwortlichen so: „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortlich sind also die Entscheider im Unternehmen, nicht aber die Beauftragten für den Datenschutz.
Ein weiterer Grund, warum Unternehmen gerne auf einen DSB verzichten würden, ist, dass sie die Arbeit eines DSB als „überflüssigen Aufwand“ ansehen, viel Bürokratie, die anderen Kolleginnen und Kollegen werden womöglich noch durch diesen DSB aufgehalten.
In Wirklichkeit aber lohnt sich ein DSB, selbst dann, wenn es keine Verpflichtung zur Benennung geben würde! Gibt es keinen DSB, fallen alle Aufgaben des Datenschutzes komplett an die verantwortliche Stelle, also die Geschäftsführung.
:quality(80)/images.vogel.de/vogelonline/bdb/1557700/1557706/original.jpg)
Aufgaben und Stellung des CISO
Datenschutz als Zusatzaufgabe für den CISO?
Was ein Datenschutzbeauftragter wirklich tut
Ein Datenschutzbeauftragter im Unternehmen sollte als Datenschutzberater verstanden werden. Die DSGVO nennt als Aufgaben eines DSB:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Datenschutz-Pflichten
- Überwachung der Einhaltung des Datenschutzes sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten (Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter, diesbezügliche Überprüfungen)
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
- Zusammenarbeit mit der zuständigen Aufsichtsbehörde für den Datenschutz
- Anlaufstelle für die Aufsichtsbehörde
Dies sind zweifellos wichtige Aufgaben, für die es auf dem Markt nur wenige Experten gibt, wie zum Beispiel eine Umfrage des Digitalverbandes Bitkom ergab.
Wenn ein Unternehmen keine eigenen Ressourcen als Datenschutzbeauftragten hat oder dazu fortbilden kann, bieten sich die externen Datenschutzbeauftragten an, die als Datenschutz-Dienstleister tätig sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1564000/1564062/original.jpg)
Neues eBook „DSGVO – ein Jahr danach“
Bilanz und Evaluierung der Datenschutz-Grundverordnung
Was die Aufsichtsbehörden über Datenschutzbeauftragte sagen
Wie wichtig das „Datenschutz-Instrument“ DSB ist, zeigt auch eine Stellungnahme der Aufsichtsbehörden für den Datenschutz. Dabei reagieren die Aufsichtsbehörden auf politische Vorhaben, die Pflicht zur Benennung eines oder einer Datenschutzbeauftragten aufzuweichen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sprach sich gegen eine Abschaffung oder Verwässerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen der Pflicht zur Benennung einer oder eines Datenschutzbeauftragten aus.
„Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten“, so die Aufsichtsbehörden. „Auch beim Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten bleiben die Pflichten des Datenschutzrechts bestehen. Verantwortliche verlieren jedoch interne Beraterinnen und Berater zu Fragen des Datenschutzes. Der Wegfall mag kurzfristig als Entlastung empfunden werden. Mittelfristig geht interne Kompetenz verloren. Eine Aufweichung dieser Benennungspflicht, insbesondere für kleinere Unternehmen und Vereine, wird diese daher nicht entlasten, sondern ihnen mittelfristig schaden.“
Fazit: Wer nach guten Lösungen zur Umsetzung der DSGVO sucht, sollte zuerst an die Benennung eines oder einer Datenschutzbeauftragten denken, zweifellos der beste Weg, den Datenschutz intern zu verbessern.
(ID:45966191)