Interner vs. Externer DSB

Wozu ein Datenschutzbeauftragter?

| Autor / Redakteur: Kivanç Semen, Dr. Markus Fisseler / Peter Schmitz

Die Einhaltung der umfassenden DSGVO-Vorgaben ist für kleine Betriebe ohne professionelle Unterstützung kaum möglich.
Die Einhaltung der umfassenden DSGVO-Vorgaben ist für kleine Betriebe ohne professionelle Unterstützung kaum möglich. (Bild: Pixabay / CC0)

Jeder Betrieb, in dem mehr als zehn Mitarbeiter mit personenbezogenen Daten arbeiten, braucht einen Datenschutzbeauftragten, ansonsten kann ein Bußgeld drohen. Bei der Besetzung des Postens gilt es einiges zu beachten, denn die nötigen Kompetenzen und das Aufgabengebiet sind vielfältig.

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) Ende Mai müssen Unternehmen verschärften Informations- und Dokumentationspflichten nachkommen und belegen, dass sie Datenschutzprinzipien befolgen. Die Vorschriften der EU-Verordnung werfen dabei noch immer viele Fragen auf. Nutzereinwilligungen, Verfahrensverzeichnisse, Cookie-Plugins, Abmahnanwälte – die Liste der Reizworte ist lang und für den Laien häufig schwer verständlich.

Unterstützung bietet hier der Datenschutzbeauftragte (DSB). Als Kontrollorgan sorgt er dafür, dass die Arbeit mit personenbezogenen Informationen datenschutzkonform abläuft – im Idealfall beschränkt sich die Unterstützung jedoch nicht nur darauf.

Die DSGVO ist eine Daueraufgabe

Neues eBook „DSGVO und jetzt?“

Die DSGVO ist eine Daueraufgabe

28.05.18 - Mit dem Ende der zweijährigen Übergangszeit muss die Datenschutz-Grundverordnung nun angewendet werden. Die Zeit der Vorbereitung ist vorbei, es beginnt die Phase der dauerhaften Einhaltung der europäischen Datenschutz-Vorgaben. Das eBook „DSGVO und jetzt?“ fasst die wichtigsten Änderungen durch die DSGVO zusammen und gibt Unterstützung zur konkreten Anwendung. lesen

Wer braucht einen DSB?

Fakt ist: Nicht für alle Unternehmen ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben. Dennoch geht es häufig nicht ohne einen internen oder externen DSB. Denn zum einen müssen alle Unternehmen in Deutschland, bei denen mehr als zehn Personen mit personenbezogenen Daten arbeiten, einen DSB benennen und diesen offiziell bei den Aufsichtsbehörden melden. Freelancer oder Praktikanten werden dabei ebenso mit eingerechnet wie Festangestellte.

Zum anderen müssen auch all diejenigen Unternehmen, die nicht gesetzlich zur Benennung eines DSB verpflichtet sind, die umfassenden Vorgaben der DSGVO, des Bundesdatenschutzgesetzes (BDSG) sowie der deutschen Aufsichtsbehörden einhalten. Dies ist in der Praxis ohne die professionelle Begleitung eines DSB vielfach kaum möglich.

Welche Aufgaben übernimmt der DSB?

Generell ist der Datenschutzbeauftragte für Verbesserungen in drei übergeordneten Bereichen zuständig: Unternehmen sollen nach Möglichkeit sparsam mit Daten umgehen, das heißt, möglichst wenig personenbezogene Daten erheben und verarbeiten. Diejenigen Personen, deren Daten erhoben werden, müssen darüber hinaus um ihre Einwilligung zur Speicherung und Verwendung ihrer Daten gebeten werden und die Möglichkeit haben, diese bei Bedarf zu widerrufen.

Außerdem ist eine angemessene Sicherung der personenbezogenen Daten essentiell. Betriebsangehörige anderer Unternehmen etwa dürfen nur Zugriff auf personenbezogene Daten des Unternehmens erhalten, wenn zuvor ein Auftragsverarbeitungsvertrag geschlossen worden ist. Zudem sind diese Daten vor dem Zugriff durch Fremde zu schützen. In der Praxis bedeutet dies zum Beispiel, dass Festplatten von Arbeitscomputern verschlüsselt werden müssen. Geht ein Laptop oder Arbeitshandy verloren oder wird gestohlen, kann eine nicht ausreichende Sicherung als Fahrlässigkeit eingestuft werden.

Die konkreten Aufgaben des Datenschutzbeauftragten sind daher vielfältig: zum beständigen Hinwirken auf DSGVO-Konformität gehören neben Mitarbeiterschulungen, Datenschutzerklärung etc. auch der gesamte Bereich Datenschutz-Audit und Datenschutz-Dokumentation durch Verzeichnisse von Verarbeitungstätigkeiten. Das Audit umfasst eine Analyse laufender Datenverarbeitungsprozesse und die Prüfung, wo personenbezogene Daten wie verarbeitet werden. Auf Basis dieser detaillierten datenschutzrechtlichen Bestandsaufnahme erstellt der DSB eine Gap-Analyse – und legt der Geschäftsführungen konkrete – und im Idealfall praxisnahe und verständliche – Handlungsempfehlungen zum weiteren Vorgehen nahe.

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

Aktuelles zur DSGVO im September

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

25.09.18 - Wirtschaftsverbände und Aufsichtsbehörden haben eine Zwischenbilanz zur Umsetzung der Datenschutz-Grundverordnung gezogen. Auch wenn noch einiges an Unklarheit herrscht, es geht voran mit der DSGVO. Wichtig ist es jedoch, sich richtig zu informieren. Dazu gehört es auch zu wissen, wie man auf eine mögliche Datenpanne oder Abmahnung reagieren sollte. lesen

Welche Kompetenzen muss ein DSB mitbringen?

Das Gesetz schreibt vor, dass der Datenschutzbeauftragte sowohl datenschutzrechtliche als auch technische Fachkenntnis besitzen muss. In der Praxis ist es für beide Seiten überaus hilfreich, wenn er eine gewisse Branchenkenntnis hat und über die technischen und organisatorischen Abläufe im Unternehmen im Bilde ist beziehungsweise auf dem Laufenden gehalten wird.

Im Idealfall sollte der DSB mit technisch-organisatorischen Maßnahmen und dem Bereich IT-Sicherheit vertraut sein – so kann er dem Unternehmen bei der Umsetzung der Handlungsempfehlungen pragmatisch zur Hand gehen anstatt nur datenschutzrechtlich beratende Außenstelle zu sein. Einen Datenschutzbeauftragten zu benennen, der lediglich Strohmann ist und die Aufgaben nicht zur Genüge erfüllen kann, kann der Geschäftsführung als vorsätzliche Täuschung von Kunden und Geschäftspartnern zur Last gelegt werden.

Welche Rolle spielt IT-Sicherheit?

Auch wenn der zuständige Datenschutzbeauftragte bereits über tiefgreifende Kenntnisse der IT-Sicherheit verfügt, sind Berührungsängste und eine Portion Skepsis auf Seiten der Mitarbeiter der IT-Abteilung nicht unüblich. Datenschutz und IT-Sicherheit sind jedoch eng miteinander verknüpft: Neben offensichtlichen Fragen nach Serverstandort und Sicherung, der Nutzung von Clouddiensten, der Abwicklung des E-Mail-Verkehrs oder der Netzwerkstruktur geht es auch um indirekte Probleme wie Spamware, Firewall oder Intrusion-Prävention.

Datenschutzbeauftragte raten in diesem Zusammenhang gern zu sogenannten Penetrationstests. Dabei finden professionelle Fachleute heraus, wie einfach es ist, sich in die IT-Infrastruktur betreffender Unternehmen zu hacken. Obwohl Hackerangriffe nicht notwendigerweise personenbezogene Daten zum Ziel haben, sind diese in der Regel beim Eindringen von Hackern oder bei Datenleaks betroffen. Somit spielt der personenbezogene Datenschutz hier eine wichtige Rolle. Aufgrund der Wahrnehmung, dass Hackerangriffe relativ selten vorkommen, hat die Absicherung von (personenbezogenen) Daten bei den meisten Unternehmen schlicht eine niedrigere Priorität.

Interner vs. Externer DSB?

Kann ein bestehender Mitarbeiter die Rolle des internen Datenschutzbeauftragten übernehmen oder ist es sinnvoller, dass ein externer Profi das Unternehmen als DSB betreut? Für die überwiegende Mehrzahl der kleinen und mittleren Unternehmen erweist sich letztere Lösung als effektiver und kostengünstiger – unter der Bedingung, dass sie den Anbieter sorgfältig auswählen. Tatsächlich bringt die Benennung eines internen DSB eine Reihe an Komplikationen mit sich, die vielen Geschäftsführern nicht bewusst sind.

Ein DSB benötigt umfangreiche rechtliche und technische Fachkunde und muss entsprechende Zertifizierungen und (Nach-)Schulungen vorweisen können. Zudem muss er in Teilzeit freigestellt werden, um seiner Arbeit als DSB nachgehen zu können. Jedoch dürfen weder die Geschäftsführung noch Arbeitnehmer mit hoher Verantwortung im Bezug auf personenbezogene Datenverarbeitung – beispielsweise Leiter Personal, Leiter IT – den Job übernehmen.

Zudem genießt der DSB Sonderrechte im Unternehmen: Er hat vollständige Einsicht in die personenbezogenen Daten im Unternehmen – und ist auf Grund seiner Kontrollfunktion im Betrieb nur schwer kündbar. Während dies aus Sicht der Geschäftsführung Probleme bereiten könnte, hat der interne DSB selbst mit ganz anderen Herausforderungen zu kämpfen: Er muss sich die entsprechende Kenntnis aneignen und die Gesetzeslage sowie einschlägige Urteile und Behördenentscheide verfolgen. Nicht zuletzt gilt er im Kollegenkreis oftmals als unbequemer Kontrolleur.

Doch egal ob intern oder extern: der beste Datenschutzbeauftragte nützt nichts, wenn seine Handlungsempfehlungen nicht befolgt werden. Denn Datenschutzkonformität wird nicht allein dadurch erreicht, dass ein zuständiger DSB benannt wird – die Geschäftsführung und die Mitarbeiter müssen das Thema gemeinsam angehen. Der Vorteil ist: Diejenigen Unternehmen, die den Datenschutz praxisnah und effektiv umsetzen, haben darin mehr als eine reine Kostenstelle – sie können ihn als vertrauens- und verkaufsförderndes Argument nach innen und außen nutzen.

Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

Fragen zur Datenschutz-Grundverordnung

Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

14.05.18 - Wenn es um die Datenschutz-Grundverordnung (DSGVO / GDPR) und Aufsichtsbehörden geht, denken viele Unternehmen zuerst an die möglichen Sanktionen und die enorme Höhe der Bußgelder, die da kommen könnten. Doch die Aufsichtsbehörden sollten nicht als reine Kontrollbehörden gesehen werden. Sie bieten vieles an Unterstützung, man sollte deshalb die Zusammenarbeit mit ihnen suchen. lesen

Was kostet ein DSB?

Grundsätzlich gilt hier wie bei allen Dienstleistern die berühmte Antwort: Es kommt darauf an. Bei der Betreuung durch einen internen Mitarbeiter fallen in der Regel deutlich höhere Kosten an – und in jedem Fall ist die Betreuung durch einen DSB wesentlich günstiger als ein etwaiges Bußgeld.

Doch auch im Markt für externe Datenschützer gibt es wesentliche Diskrepanzen: Anwaltskanzleien und Beratungshäuser, aber auch große Anbieter wie der TÜV, bewegen sich am obersten Ende des Preisspektrums und rechnen in der Regel nach Stundensätzen ab – dies führt dazu, dass sie eher für (mittel-)große Unternehmen in Frage kommen und für kleinere Unternehmen auf Grund der hohen Stundensätze und geringen Planbarkeit der Ausgaben weniger attraktiv sind.

Es bewegen sich auch windige Anbieter im Markt – am untersten Ende versprechen findige Berater den externen DSB für 50 Euro im Monat – zu diesem Preispunkt ist rein rechnerisch keine ausreichende Betreuung durch zertifizierte Fachleute möglich. Gesetzeskonformer Datenschutz ist viel Prüfungs-, Verwaltungs- und Beratungsarbeit – und lässt sich nur dann kostengünstig und KMU-freundlich abbilden, wenn der DSB-Anbieter entsprechende Technologie einsetzt, zum Beispiel bei der Erstellung der umfassenden Datenschutz-Dokumentation.

Die Autoren Dr. Markus Fisseler (li.), Anwalt und Experte für Datenschutzrecht, und Kivanç Semen, IT-Sicherheitsberater, sind Mitgründer des Münchener Legal Technology Unternehmens DataGuard.
Die Autoren Dr. Markus Fisseler (li.), Anwalt und Experte für Datenschutzrecht, und Kivanç Semen, IT-Sicherheitsberater, sind Mitgründer des Münchener Legal Technology Unternehmens DataGuard. (Bild: Sittig Fahr-Becker)

Anbieter mit hohen Kundenzahlen profitieren an dieser Stelle von ihrem Erfahrungsschatz und von entsprechenden Synergieeffekten – im Idealfall setzen sie Algorithmen und Machine Learning ein, um Prozesse zu beschleunigen oder sogar zu (teil-)automatisieren. Nur durch Technologieeinsatz kann den Kunden eine gute und dennoch kostengünstige Leistung zu wenigen Hundert Euro pro Monat geboten werden.

Über die Autoren: Kivanç Semen, IT-Sicherheitsberater, und Dr. Markus Fisseler, Anwalt und Experte für Datenschutzrecht, sind Mitgründer von DataGuard. Das Münchener Legal Technology Unternehmen begleitet eine vierstellige Anzahl an kleinen und mittleren Unternehmen bei der Umsetzung der DSGVO.

Dieser Artikel stammt von unserem Partnerportal kfz-Betrieb. Verantwortliche Redakteurin: Yvonne Simon.

Risiken und Probleme bei der Datenschutzfolgenabschätzung

Fragen zur Datenschutz-Grundverordnung

Risiken und Probleme bei der Datenschutzfolgenabschätzung

23.04.18 - Die Datenschutz-Grundverordnung (DSGVO) fordert generell einen risikobasierten Ansatz bei der Wahl der Schutzmaßnahmen. In bestimmten Fällen muss zudem eine Datenschutzfolgenabschätzung durchgeführt werden. Ohne Vorbereitung werden Unternehmen dazu aber nicht in der Lage sein, ein ganzer Prozess muss geplant und aufgesetzt werden. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45558247 / Compliance und Datenschutz )