Mehr Datenschutz – verschärfte gesetzliche Vorgaben
Mit der DSGVO ist der Datenschutz im Alltag angekommen. Für die meisten Verbraucherinnen und Verbraucher ist es mittlerweile Routine, zum Beispiel beim Besuch einer Arztpraxis die sogenannte Datenschutzerklärung auszufüllen. DSGVO sei Dank: Die europäische Datenschutz-Grundverordnung soll den Schutz personenbezogener Daten innerhalb der EU sicherstellen und zugleich den freien Datenverkehr innerhalb des europäischen Binnenmarkts gewährleisten. 2018 hat sie die bisherige Datenschutzgesetzgebung abgelöst, so auch das Bundesdatenschutzgesetz (BDSG alt) in Deutschland.
Die signifikanteste Änderung für Unternehmen ist sicherlich die Anhebung der möglichen Bußgelder von ehemals „bis zu 300.000 Euro“ (BDSG alt) auf „10 bis 20 Millionen Euro oder 2 bis 4 Prozent des Gesamtumsatzes“. Neuerungen gibt es aber auch bei der Benennung (vormals „Bestellung“) von Datenschutzbeauftragten. So sind in Deutschland alle Betriebe zur Benennung verpflichtet, bei denen mehr als 20 Mitarbeitende ständig mit der automatisierten Verarbeitung von personenbezogenen Daten betraut sind. Unabhängig davon kann eine Benennung auch zwingend erforderlich sein, wenn eine „datenschutzfolgeabschätzungsrelevante“ Verarbeitung erfolgt (Art. 35 DSGVO) – oder bei geschäftsmäßiger Übermittlung sowie Verarbeitung zum Zweck der Markt- oder Meinungsforschung.
Spezialisiertes Know-how gefragt
Fakt ist: In der „Vor-DSGVO-Welt“ wurde die Position des oder der Datenschutzbeauftragten oftmals als „Add-On“, als zusätzliches „Amt“ vergeben –vergleichbar mit den „Arbeitssicherheitsbeauftragten“ oder „Umweltbeauftragten“. Vielen Unternehmen erschien es vertretbar, dass die gesetzlich geforderte Fachkunde der „Amtsträger*innen“ in einem kompakten Zertifizierungskurs erworben wurde – sie vertrauten darauf, dass keine größeren Pannen eintreten. Das ist heute nicht mehr empfehlenswert, vielmehr erfordert der Job eine umfassende und tiefergehende Fachkunde von Systemen wie z.B. Cloud, Big Data und Künstliche Intelligenz. Ohne die erforderliche IT-Fachkunde ist eine Einschätzung und Bewertung der Risiken einer Datenverarbeitung nicht mehr möglich. Gerade das Thema Risikobewertung spielt an vielen Stellen der DSGVO eine wichtige Rolle und wirft die Frage nach der erforderlichen Kompetenz der Bewertenden auf.
Zunehmende „Verrechtlichung“ im Datenschutz
Mit über 70 Öffnungsklauseln, der Regelungsmechanik der sogenannten Erwägungsgründe zu einzelnen Artikeln der DSGVO und einer Vielzahl unbestimmter Rechtsbegriffe sind die Anforderungen an das juristische Fachwissen der Datenschutzbeauftragten deutlich gestiegen. Immerhin ist das Thema durch die Höhe möglicher Strafen auch in den Geschäftsleitungen und Vorständen angekommen. Gleichwohl entschärft die Rollenbeschreibung des Art. 39 DSGVO das Mandat erkennbar: „Unterrichten und Beraten des Verantwortlichen bzw. Überwachen der Umsetzung“ lesen sich deutlich zurückhaltender als die vertraute Formulierung des „Hinwirkens“ auf die Einhaltung der Datenschutzgesetze (BDSG alt).
des Gesamtumsatzes als Bußgeld
Unternehmen, die nicht im eigenen Haus über die notwendigen Kompetenzen verfügen und empfindliche Bußgelder vermeiden wollen, können die Unterstützung sachkundiger externer Dienstleister*innen in Anspruch nehmen. Ein Vorteil: Üblicherweise verfügen externe Datenschutzbeauftragte über ein Backoffice aus Informatiker*innen, Informationssicherheitsfachleuten, Betriebswirt*innen und Volljurist*innen – und sind so imstande, die ganze Komplexität und Bandbreite der aktuellen Datenschutzanforderungen abzudecken. Zudem haben sie auch das internationale Geschehen im Blick. So sind etwa Datenflüsse in einer globalen Shared Service IT-Struktur oder die Einführung von Cloud-Infrastrukturen nicht nur in Mittelstandskonzernen ein zunehmend wichtiges Thema.
Darüber hinaus wird es erkennbar essenziell, auch die „Randbereiche“ des Datenschutzes in Form von anderen Gesetzen, Regularien und Standards zu verstehen und Synergien zu heben. So sind beispielsweise viele Industrieunternehmen verpflichtet, ein Informationssicherheits-Managementsystem („ISMS“) nach ISO 27001 zu betreiben und regelmäßig prüfen zu lassen. Die dadurch geschaffene Struktur lässt sich hervorragend über die Scope-Erweiterung der ISO 27701 als Grundlage eines Datenschutz-Managementsystems nutzen.
Externe Datenschutzbeauftragte – Entlastung und Mehrwert für Uternehmen
Nicht zuletzt das aktuelle Pandemiegeschehen hat gezeigt, welchen Mehrwert die Zusammenarbeit mit externen Datenschutzbeauftragten für die Unternehmen schaffen kann. So stehen die „Externen“ von TÜV Rheinland regelmäßig im Kontakt mit allen relevanten Datenschutzaufsichtsbehörden und unterstützen ihre Kund*innen mit Handlungsempfehlungen und Arbeitshilfen. Aktuelle Beispiele sind Informationsschreiben zur Verarbeitung von Gesundheitsdaten, das Aufstellen datenschutzkonformer Verfahren zum Einsatz von Corona-Schnelltests im Unternehmen, die Überwachung des Infektionsgeschehens oder die datenschutzrechtliche Begleitung des Impfangebots durch Betriebsärzt*innen.
Unter dem Strich lässt sich festhalten:
Im Hinblick auf die gestiegenen Anforderungen an die Fähigkeiten von Datenschutzbeauftragten sowie die Haftungs- und Bußgeldrisiken kann es für Unternehmen durchaus sinnvoll sein, die Aufgabe auszulagern. Die Zusammenarbeit mit externen Datenschutzbeauftragten kann die Qualität und Kosteneffizienz in diesem Bereich verbessern – und zusätzlichen Mehrwert generieren. Sprechen Sie uns an.
Autor des Beitrags

Stefan Eigler
Practice Leader Mastering Risk & Compliance
Meist gelesene Beiträge
Ein Tag mit dem Wasserstoffauto
Sicherheits-Check für Industrie-Roboter
Kommentare
0 Kommentare