Vor drei Jahren schlug das Thema Datenschutz hohe Wellen: Seit dem 25. Mai 2018 bildet die Datenschutz-Grundverordnung, kurz DSGVO, den gemeinsamen europäischen Rechtsrahmen für den Schutz personenbezogener Daten.

Mehr Datenschutz – verschärfte gesetzliche Vorgaben

Mit der DSGVO ist der Datenschutz im Alltag angekommen. Für die meisten Verbraucherinnen und Verbraucher ist es mittlerweile Routine, zum Beispiel beim Besuch einer Arztpraxis die sogenannte Datenschutzerklärung auszufüllen. DSGVO sei Dank: Die europäische Datenschutz-Grundverordnung soll den Schutz personenbezogener Daten innerhalb der EU sicherstellen und zugleich den freien Datenverkehr innerhalb des europäischen Binnenmarkts gewährleisten. 2018 hat sie die bisherige Datenschutzgesetzgebung abgelöst, so auch das Bundesdatenschutzgesetz (BDSG alt) in Deutschland.

Die signifikanteste Änderung für Unternehmen ist sicherlich die Anhebung der möglichen Bußgelder von ehemals „bis zu 300.000 Euro“ (BDSG alt) auf „10 bis 20 Millionen Euro oder 2 bis 4 Prozent des Gesamtumsatzes“. Neuerungen gibt es aber auch bei der Benennung (vormals „Bestellung“) von Datenschutzbeauftragten. So sind in Deutschland alle Betriebe zur Benennung verpflichtet, bei denen mehr als 20 Mitarbeitende ständig mit der automatisierten Verarbeitung von personenbezogenen Daten betraut sind. Unabhängig davon kann eine Benennung auch zwingend erforderlich sein, wenn eine „datenschutzfolgeabschätzungsrelevante“ Verarbeitung erfolgt (Art. 35 DSGVO) – oder bei geschäftsmäßiger Übermittlung sowie Verarbeitung zum Zweck der Markt- oder Meinungsforschung.

Spezialisiertes Know-how gefragt

Fakt ist: In der „Vor-DSGVO-Welt“ wurde die Position des oder der Datenschutzbeauftragten oftmals als „Add-On“, als zusätzliches „Amt“ vergeben –vergleichbar mit den „Arbeitssicherheitsbeauftragten“ oder „Umweltbeauftragten“. Vielen Unternehmen erschien es vertretbar, dass die gesetzlich geforderte Fachkunde der „Amtsträger*innen“ in einem kompakten Zertifizierungskurs erworben wurde – sie vertrauten darauf, dass keine größeren Pannen eintreten. Das ist heute nicht mehr empfehlenswert, vielmehr erfordert der Job eine umfassende und tiefergehende Fachkunde von Systemen wie z.B. Cloud, Big Data und Künstliche Intelligenz. Ohne die erforderliche IT-Fachkunde ist eine Einschätzung und Bewertung der Risiken einer Datenverarbeitung nicht mehr möglich. Gerade das Thema Risikobewertung spielt an vielen Stellen der DSGVO eine wichtige Rolle und wirft die Frage nach der erforderlichen Kompetenz der Bewertenden auf.

Zunehmende „Verrechtlichung“ im Datenschutz

Mit über 70 Öffnungsklauseln, der Regelungsmechanik der sogenannten Erwägungsgründe zu einzelnen Artikeln der DSGVO und einer Vielzahl unbestimmter Rechtsbegriffe sind die Anforderungen an das juristische Fachwissen der Datenschutzbeauftragten deutlich gestiegen. Immerhin ist das Thema durch die Höhe möglicher Strafen auch in den Geschäftsleitungen und Vorständen angekommen. Gleichwohl entschärft die Rollenbeschreibung des Art. 39 DSGVO das Mandat erkennbar: „Unterrichten und Beraten des Verantwortlichen bzw. Überwachen der Umsetzung“ lesen sich deutlich zurückhaltender als die vertraute Formulierung des „Hinwirkens“ auf die Einhaltung der Datenschutzgesetze (BDSG alt).

des Gesamtumsatzes als Bußgeld

Unternehmen, die nicht im eigenen Haus über die notwendigen Kompetenzen verfügen und empfindliche Bußgelder vermeiden wollen, können die Unterstützung sachkundiger externer Dienstleister*innen in Anspruch nehmen. Ein Vorteil: Üblicherweise verfügen externe Datenschutzbeauftragte über ein Backoffice aus Informatiker*innen, Informationssicherheitsfachleuten, Betriebswirt*innen und Volljurist*innen – und sind so imstande, die ganze Komplexität und Bandbreite der aktuellen Datenschutzanforderungen abzudecken. Zudem haben sie auch das internationale Geschehen im Blick. So sind etwa Datenflüsse in einer globalen Shared Service IT-Struktur oder die Einführung von Cloud-Infrastrukturen nicht nur in Mittelstandskonzernen ein zunehmend wichtiges Thema.

Darüber hinaus wird es erkennbar essenziell, auch die „Randbereiche“ des Datenschutzes in Form von anderen Gesetzen, Regularien und Standards zu verstehen und Synergien zu heben. So sind beispielsweise viele Industrieunternehmen verpflichtet, ein Informationssicherheits-Managementsystem („ISMS“) nach ISO 27001 zu betreiben und regelmäßig prüfen zu lassen. Die dadurch geschaffene Struktur lässt sich hervorragend über die Scope-Erweiterung der ISO 27701 als Grundlage eines Datenschutz-Managementsystems nutzen.

Externe Datenschutzbeauftragte – Entlastung und Mehrwert für Uternehmen

Nicht zuletzt das aktuelle Pandemiegeschehen hat gezeigt, welchen Mehrwert die Zusammenarbeit mit externen Datenschutzbeauftragten für die Unternehmen schaffen kann. So stehen die „Externen“ von TÜV Rheinland regelmäßig im Kontakt mit allen relevanten Datenschutzaufsichtsbehörden und unterstützen ihre Kund*innen mit Handlungsempfehlungen und Arbeitshilfen. Aktuelle Beispiele sind Informationsschreiben zur Verarbeitung von Gesundheitsdaten, das Aufstellen datenschutzkonformer Verfahren zum Einsatz von Corona-Schnelltests im Unternehmen, die Überwachung des Infektionsgeschehens oder die datenschutzrechtliche Begleitung des Impfangebots durch Betriebsärzt*innen.

Unter dem Strich lässt sich festhalten:

Im Hinblick auf die gestiegenen Anforderungen an die Fähigkeiten von Datenschutzbeauftragten sowie die Haftungs- und Bußgeldrisiken kann es für Unternehmen durchaus sinnvoll sein, die Aufgabe auszulagern. Die Zusammenarbeit mit externen Datenschutzbeauftragten kann die Qualität und Kosteneffizienz in diesem Bereich verbessern – und zusätzlichen Mehrwert generieren. Sprechen Sie uns an.

Autor des Beitrags

Stefan Eigler

Stefan Eigler

Practice Leader Mastering Risk & Compliance

Stefan Eigler leitet seit Mitte 2018 als Practice Leader Mastering Risk & Compliance den Bereich Datenschutz bei TÜV Rheinland. Als ausgewiesener Asien-Experte hat er gemeinsam mit den Kolleginnen und Kollegen in Shenzen (Greater China) für die dortige Fachschaft, die Datenschutzberatung als Dienstleistung von TÜV Rheinland aufgebaut und entwickelt diese in vielfältigen lokalen Kundenprojekten weiter. Stefan Eigler ist Master of Laws (Compliance) und Diplom Wirtschaftsinformatiker sowie zertifizierter CISM, CISA, CCSP, ISO27001 Lead Auditor und SAP CBA. Als leidenschaftlicher Rheinländer ist er in seiner Freizeit vorzugsweise mit seiner Frau und seinen Kindern in der Region auf Erkundungstouren unterwegs. Unterstützt wird er dabei von zwei Hunden.

Meist gelesene Beiträge

Wasserstoffauto-Test

Ein Tag mit dem Wasserstoffauto

Wie fährt sich eigentlich ein Wasserstoffauto? Was ist beim Tanken zu beachten? Jan Scholten von TÜV Rheinland hat erste Erfahrungen beim Praxistest gesammelt.
Industrie Roboter

Sicherheits-Check für Industrie-Roboter

Roboter – aus Produktion und Logistik sind sie nicht mehr wegzudenken. Für mehr Sicherheit bei ihrem Einsatz sorgen verschiedene Normen und Prüfstandards.
Ransomware

Ransomware – Kidnapping im Digital-Zeitalter

Immer mehr Unternehmen werden Opfer von Daten-Kidnapping. Studie von TÜV Rheinland zeigt Beratungsbedarf. Tipps zum Schutz vor Ransomware-Angriffen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.