Datenschutz

Ab dem 25. Mai 2018 müssen die EU-Staaten die Datenschutzgrundverordnung (DSGVO) anwenden. Dies hat zur Folge, dass bis dahin alle Unternehmen, die mehr als neun Mitarbeiter beschäftigen, welche personenbezogene Daten verarbeiten, einen Datenschutzbeauftragen benennen müssen. Unabhängig davon sind ausnahmslos alle Unternehmen dazu verpflichtet, das neue Bundesdatenschutzgesetz (BDSG), welches die Umsetzung der DSGVO spezifiziert, einhalten.

Nahezu jedes Unternehmen geht mit Informationen um, die sich auf identifizierte oder identifizierbare Personen beziehen. Dies betrifft demnach nicht nur den vollständigen Namen, z.B. von Kunden oder Mitarbeitern, sondern auch Daten aus denen sich Rückschlüsse auf die jeweilige Person ziehen lassen. Beispiele dafür sind Standortdaten oder IP-Adressen.

Das Risiko beim Umgang mit personenbezogenen Daten Datenschutzverletzungen zu begehen ist erheblich, insofern die Regelungen zum Datenschutz ein hohes Schutzniveau vorsehen. Beispielsweise dürfen nur erforderliche Daten verarbeitet werden, benötigte Daten dürfen nur direkt erhoben werden oder es müssen Einwilligungen für die Verarbeitung vorliegen. Außerdem bestehen recht umfassende Dokumentationspflichten. So sind z.B. Verarbeitungsverzeichnisse zu führen.

Verstöße werden mit hohen Bußgeldern geahndet. Da Verstöße die Grundrechte von Personen betreffen, sollen wirksame und abschreckende Sanktionen weitere Zuwiderhandlungen verhindern. Gefahren sind unzufriedene Mitarbeiter, frühere Mitarbeiter, Kunden oder potenzielle Kunden, Konkurrenten und nicht zuletzt auch die Aufsichtsbehörden selbst, die auch ohne Anhaltspunkte Überprüfungen vornehmen können. Somit ist die Gefahr von Abmahnungen und Bußgeldern tatsächlich sehr real. Es ist davon auszugehen, dass die Aufsichtsbehörden immer mehr zum eigenen Handeln angehalten werden, gilt es doch ein Grundrecht zu schützen.

Wir halten es für eher ungünstig einen internen Mitarbeiter als Datenschutzbeauftragten zu benennen. Schnell befindet dieser sich in einem Interessenskonflikt: Einerseits sollte er die Interessen des Unternehmens vertreten, andererseits wird er aber auch persönliche Interessen verfolgen. Letztere liegen darin, dass er persönlich haftbar gemacht werden kann, so er seine Aufgaben als Datenschutzbeauftragter nicht pflichtgemäß erfüllt. Beispielsweise muss er gemäß der Datenschutzverordnung Verstöße der Aufsichtsbehörde melden.

Außerdem besitzt ein betrieblicher Datenschutzbeauftragter eine hervorgehobene Stellung im Unternehmen. Er hat unmittelbar an die oberste Unternehmensleitung zu berichten. Ebenso muss das Unternehmen ihm alle erforderlichen Ressourcen zur Verfügung zu stellen, insbesondere zu allen Verarbeitungsprozessen und personenbezogenen Daten. Hierzu gehören auch Möglichkeiten das entsprechende Fachwissen zu erwerben und zu erhalten.

Hier ergibt sich ein weiterer Punkt, der gegen einen internen Datenschutzbeauftragten sprechen kann. Er sollte nämlich nicht nur organisatorische und betriebswirtschaftliche Kenntnisse haben, um die Verarbeitungsprozesse nachvollziehen zu können, sondern auch über gute IT-Kenntnisse verfügen. Automatisierte Datenverarbeitungsprozesse sind IT-gestützt und hier spielt die IT-Sicherheit eine sehr bedeutende Rolle. Personenbezogene Daten sind vor unberechtigtem Zugriff zu schützen. Darüber hinaus ist es notwendig, dass sich der Beauftragte auch mit der DSGVO und dem BDSG vertraut ist und daraus die richtigen Maßnahmen ableiten kann.

Bei diesen Voraussetzungen wäre es naheliegend ein Mitglied der Geschäftsleitung als Datenschutzbeauftragten einzusetzen. Da hier aber ein erheblicher Interessenskonflikt besteht, lehnen dies die Aufsichtsbehörden ab. Genauso verhält es sich bei Beschäftigten mit Leitungsfunktionen, z.B. im Bereich IT, Recht oder Personal. Auch das spricht dafür eher auf eine externe Lösung zu setzen.

Wichtig ist auch, dass ein interner Datenschutzbeauftragter nach dem BDSG nur außerordentlich gekündigt werden kann. Dies gilt auch noch ein Jahr nach seiner Tätigkeit als Datenschutzbeauftragter. Er hat also dieselben Rechte wie ein Betriebsrat.

All das spricht dafür einen Datenschutzbeauftragten extern zu bestellen und externe Expertise in Anspruch zu nehmen. Datenschutz ist nicht nur ein organisatorisches Thema, sondern in hohem Maße auch ein technisches, geht es doch darum Daten vor Angriffen und unerlaubter Nutzung wirksam zu schützen.