Der Datenschutzbeauftragte: Große Macht geht mit großer Verantwortung einher

Der Datenschutzbeauftragte: Große Macht geht mit großer Verantwortung einher

Die Datenschutz-Grundverordnung (DSGVO) tritt in etwas weniger als einem Jahr in Kraft, und viele Unternehmen ergreifen bereits die ersten Schritte, um alle Compliance-Anforderungen im Rahmen der neuen Verordnung zu erfüllen. Einige Unternehmen müssen dafür auch einen Datenschutzbeauftragten ernennen.

Obwohl die DSGVO erst am 25. Mai 2018 in Kraft tritt, hat die noch recht neue Verordnung bis dato bereits zahlreiche Änderungen erfahren. Bußgelder für Datenschutzverstöße, Sicherheitsbenachrichtigungen und die Zustimmung im Hinblick auf personenbezogene Daten, all diese Punkte wurden im Rahmen des Verabschiedungsverfahrens durch die Gesetzgeber der EU verbessert. Und was das Erfordernis eines Datenschutzbeauftragten angeht, steht eine weitere grundlegende Änderung bevor.

Ursprünglich war im Rahmen der DSGVO geplant, dass alle Unternehmen mit mehr als 250 Mitarbeitern die Position eines Datenschutzbeauftragten besetzen müssen, dieses Erfordernis wurde in der letzten Version der Verordnung dann jedoch nicht mehr genannt.  Derzeit besteht die Notwendigkeit zur Schaffung einer Datenschutzbeauftragten-Position nur noch für eine weit kleinere Gruppe an Unternehmen. Artikel 37 (1) der Verordnung kann entnommen werden, dass dieses Erfordernis vorwiegend auf Behörden oder öffentliche Stellen eingeschränkt wurde, bzw. auf Fälle, in denen Unternehmen „besondere Kategorien von Daten“ verarbeiten.

Fachleute sind jedoch der Ansicht, dass die Umsetzung der DSGVO in Unternehmen durch einen Datenschutzbeauftragten verbessert werden kann. Und in Anbetracht dessen, dass die DSGVO jede Organisation betrifft, die personenbezogene Daten von EU-Bürgern verarbeitet, ist es an der Zeit, sich das alles einmal etwas genauer anzusehen.

Daniel Hedley, Senior Associate bei Irwin Mitchell LLP erläutert: „Die meisten Organisationen müssen nicht direkt einen Datenschutzbeauftragten ernennen, da dieses Erfordernis im Rahmen der DSGVO streng genommen nur für Behörden gilt, die in großem Umfang Personen überwachen oder bestimmte Kategorien von Daten verarbeiten, beispielsweise Gesundheitsinformationen oder das Strafregister von Personen.“

Wer also benötigt einen Datenschutzbeauftragten?

Für öffentliche Einrichtungen, einschließlich Einrichtungen im Gesundheits- oder Bildungssektor, dem Rettungsdienst sowie Behörden, gilt das Erfordernis, einen festen Datenschutzbeauftragten zu ernennen, dessen besondere Verantwortung und Aufgaben durch die neue Regelung vorgegeben werden. Diese Regelungen gelten mit großer Wahrscheinlichkeit auch für private Unternehmen, die öffentliche Funktionen wahrnehmen oder öffentliche Dienstleistungen bereitstellen, beispielsweise die Wasserversorgung, das öffentliche Transportwesen, Energieversorger oder beim Wohnungsbau.

Für private Unternehmen, die sich primär mit einer systematischen Überwachung oder Verarbeitung von Daten befassen, bezieht sich die Regelung auf Tätigkeiten wie verhaltensbasierte Werbung, Onlineverfolgung, Überwachungsanlagen oder auch die Verwaltung eines Treueprogramms. Es ist außerdem wissenswert, dass sich diese Definition sowohl auf digitale und als auch auf Offlineprozesse und -vorgänge bezieht, mit denen der Datenschutzbeauftragte vertraut sein sollte.

Hedley fügt weiter hinzu: „Bei der DSGVO handelt es sich um ein komplexes Gesetzeswerk, der viele wirklich große Veränderungen mit sich bringt, das Thema Datenrechte in den Vordergrund bringt und den Schwerpunkt der Compliance-Agenda bildet.

Das bedeutet, dass in jedem Unternehmen jemand die Verantwortung für diesen Themenbereich übernehmen muss, und meiner Erfahrung nach sind die internen IT-Teams und Rechtsabteilungen in der Regel so stark ausgelastet, dass sie diese neue Aufgabe ohne zusätzliche Unterstützung nicht werden bewältigen können.“

Peter Gooch, Partner im Bereich Cyber-Risiken bei Deloitte UK, ergänzt: „Organisationen müssen darauf achten, wie sie die Bereiche Vertraulichkeit und Datenschutz proaktiver angehen können. Für einen Großteil der Organisationen gilt zwar das Erfordernis für einen Datenschutzbeauftragten, es wird aber nicht verlangt, dass diese Position durch eine feste Person besetzt wird oder es sich um eine interne Ressource handeln muss.“

Weiterhin sagt er: „Organisationen sollten ihren Ansatz für die Erfüllung ihrer Pflichten im Rahmen der DSGVO breiter anlegen, ob sie auf ein Netzwerk an Fachleuten für Datenschutz, ein zentrales Team oder auch Support von außerhalb zurückgreifen. Wichtig ist dabei, dass die Ressource, die die Rolle des Datenschutzbeauftragten erfüllt, über die geeigneten Qualifikationen verfügt und dem Risikoprofil der jeweiligen Form der Datenverarbeitung in einer Organisation gerecht wird.“

Compliance und Schulungen

Die Rolle eines Datenschutzbeauftragten im Rahmen der DSGVO-Anforderung unterscheidet sich von IT und informationsbasierten Funktionen wie dem CIO (Chief Information Officer) oder IT-Verantwortlichen, die beide das Hauptaugenmerk auf die Geschäfts- und technologische Strategie legen, bzw. dem Chief Information Security Officer (CISO), dessen Aufgabe sich um die Sicherheit dreht, oder auch dem Chief Data Officer (CDO), dessen Aufgabe ebenfalls primär technologische Aspekte betrifft.

Die Aufgabe des Datenschutzbeauftragten besteht vielmehr darin, Mitarbeiter abteilungsübergreifend über ihre Verpflichtungen zur Einhaltung der DSGVO sowie anderer Datenschutzgesetze zu informieren. Des Weiteren ist er verantwortlich für die Compliance-Überwachung, die Durchführung von Schulungen und internen Audits und der Beratung zur Risikofolgenabschätzung für den Datenschutz.

Ein besonders wichtiger Punkt ist, dass die Datenschutzbeauftragten den Aufsichtsbehörden zur Verfügung stehen müssen, wenn es um Anfragen zum Datenschutz geht, angefangen von dem Widerruf der Einwilligung bis hin zum Recht auf Vergessenwerden (das Recht auf Vergessenwerden ist offiziell als das „Recht auf Löschung“ bekanntAnm. d. Red.).

In Fällen, in denen ein Unternehmen als Datenverantwortlicher betrachtet wird, obliegt dem Datenschutzbeauftragten, innerhalb von 72 Stunden nach Bekanntwerden eines Datenschutzverstoßen die entsprechende Meldung an die Behörden bzw. eine „begründete Rechtfertigung“ für ggf. entstehende Verzögerungen vorzunehmen, und außerdem ist er verantwortlich dafür, die betroffenen Kunden (offiziell als „Datensubjekte“ bezeichnet) angemessen zu informieren. Seitens des Datenverarbeiters besteht eine Informationspflicht gegenüber dem Datenverantwortlichen.

Der Datenschutzbeauftragte muss als Teil der Meldung „wenigstens“ beschreiben, in welcher Form ein Datenschutzverstoß für personenbezogene Daten vorliegt, welche die möglichen Konsequenzen sind und welchen Ansatz der Datenverantwortliche verfolgt, um mit diesem Verstoß umzugehen.

Vielseitige Verantwortung 

Die Sicherheitsexpertin für den Digitalbereich und unabhängige Beraterin Neira Jones vertritt die Meinung, dass der Datenschutzbeauftragte einen umfassenden Verantwortungsbereich ausfüllen müsse.

Sie erläutert: „Der Datenschutzbeauftragte zeichnet verantwortlich für die Anwendung der Richtlinien, die Zuweisung von Verantwortlichkeiten, die Schulung von Mitarbeitern und für Audits sowie für die Kommunikation mit den entsprechenden Behörden. Ein Datenschutzbeauftragter muss sich gut auskennen in den Bereichen Informations-/Cybersicherheit, Datensicherheit und Datenschutz sowie in den anzuwendenden Gesetzen.“ Jones zufolge gehörten dazu die DSGVO, der Data Protection Act (DPA), die e-Privacy-Verordnung, NIS, das EU-US Datenschutzschild und für den Finanzdienstleistungssektor PSD2/AML.

Weiter fügt sie hinzu: „Datenschutzbeauftragte müssen mit der Lieferkette in ihrem Bereich gut vertraut sein und sich im Vertragsrecht auskennen. Weiterhin müssen sie professionell sein, was Kommunikation und auch Verhandlungen betrifft. Mit anderen Worten: Sie sollten einen Superhelden-Umhang tragen. Und, wer möchte diesen Job nun haben? Doch im Ernst: In der EU werden 28.000 Datenschutzbeauftragte benötigt, um den Anforderungen der Verordnung entsprechen zu können, d. h. hier eröffnen sich enorme Möglichkeiten.“

In der Realität hat der Datenschutzbeauftragte eine privilegierte Position mit großen Vorteilen. Der Datenschutzbeauftragte wird beispielsweise für mindestens vier Jahre ernannt bzw. zwei Jahre, wenn die Position durch einen Vertragsnehmer besetzt wird. Die Position geht mit einer großen Unabhängigkeit im Hinblick auf die Funktion einher und der Datenschutzbeauftragte kann außerdem andere Aufgaben oder Verpflichtungen übernehmen, sofern diese nicht zu einem Interessenkonflikt führen.

Er arbeitet mit den obersten Führungskräften zusammen und kann über angemessene Unternehmensressourcen verfügen, damit die Anforderungen im Rahmen der DSGVO erfüllt werden können und um fortlaufend entsprechende Schulungen anbieten zu können. Der Datenschutzbeauftragte muss weisungsunabhängig arbeiten können und darf nicht aufgrund der Ausübung seiner Aufgaben gekündigt oder von der Stelle abgezogen werden.

Vorteile des Datenschutzbeauftragten für Unternehmen

Daniel Hedley von Irwin Mitchell LLP argumentiert, dass Unternehmen mit der Beauftragung und Unterstützung eines Datenschutzbeauftragten nicht nur ihren Verpflichtungen nachkämen, sondern auch davon profitierten. Er sagt: „Der Datenschutzbeauftragte ist hauptsächlich der unternehmensinterne Datenschutzexperte und erste Ansprechpartner für Datensubjekte und Aufsichtsbehörden. Meiner Meinung nach empfinden es sicherlich viele technologie- oder datenbasierte Unternehmen unterschiedlichster Größe oder Komplexität als Vorteil, einen Datenschutzbeauftragten zu haben, da dadurch nicht nur die eigenen internen Compliance-Bestrebungen unterstützt werden, sondern auch Kunden signalisiert werden kann, dass Compliance wirklich ernst genommen wird.“

Elliott Haworth, Autor über Geschäftsfunktionen bei City AM ist spezialisiert auf die DSGVO. Er merkt an: „Jemanden auf Geschäftsführungsebene zu haben, der mit den Besonderheiten der Verordnung vertraut ist, der weiß, was die Best Practices sind, wie im Falle eines Verstoßes und auf die Zugriffsanforderungen von Subjekten reagiert werden muss, kann nur von Vorteil sein, wenn die DSGVO im nächsten Jahr geltendes Recht wird.“

Der Datenschutzbeauftragte ist außerdem in der idealen Position, Unternehmen dabei zu unterstützen, neue Geschäftsmöglichkeiten zu erkunden und zu bewerten, für die Datenbestände genutzt werden, beispielsweise die Ermittlung neuer Einnahmequellen oder Unterstützung eigenständiger Abteilungen dabei, Daten zum Vorteil für alle freizugeben.

Während also manche Organisationen verpflichtet sind, einen Datenschutzbeauftragten zu ernennen, ist es in anderen Fällen schlicht von Vorteil für das Unternehmen im Hinblick auf die immer kürzere Deadline bis zum Inkrafttreten der DSGVO.

Datenhoheit Datenschutzbeauftragter Datenschutzverstoß

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond