Google+ Facebook Twitter XING LinkedIn GoogleCurrents YouTube

DSGVO

Die Frage nach dem Datenschutzbeauftragten

| Autor / Redakteur: Kivanç Semen und Markus Fisseler / Melanie Krauß

Um Datenschutzkonformität zu gewährleisten, können Unternehmen entweder intern einen Datenschutzbeauftragten ernennen oder auf externe Dienstleister zurückgreifen.
Um Datenschutzkonformität zu gewährleisten, können Unternehmen entweder intern einen Datenschutzbeauftragten ernennen oder auf externe Dienstleister zurückgreifen. (Bild: ©PRODUCTION PERIG - Perig MORISSE)

Die DSGVO kann Industrieunternehmen vor Kosten und Herausforderungen stellen. Ein guter externer Datenschutzbeauftragter (DSB) kann Ihnen mittelfristig Kosten sparen und Sie bei den Themen Datenschutz und IT Sicherheit pragmatisch unterstützen.

Die Datenschutzgrundverordnung wirft noch immer viele Fragen auf. Nutzereinwilligungen, Verfahrensverzeichnisse, Cookie-Plugins, Abmahnanwälte – die Liste der Reizworte ist lang und für den Laien häufig schwer verständlich. Unterstützung bietet hier der Datenschutzbeauftragte (DSB). Als Kontrollorgan sorgt er dafür, dass die Arbeit mit personenbezogenen Informationen datenschutzkonform abläuft – im Idealfall beschränkt sich die Unterstützung jedoch nicht nur darauf.

Doch was denken Unternehmen überhaupt zum Thema Datenschutz? Nehmen sie das Thema ernst? Tatsache ist, dass sich zum Teil deutliche Unterschiede nach Branchen ausmachen lassen. Während zum Beispiel Industrieunternehmen mit der Qualitätsmanagement-Zertifizierung ISO dem Datenschutz angemessene Bedeutung einräumen, geht die Kreativbranche das Thema bislang eher zurückhaltend an. Und damit sind sie nicht die Einzigen. Datenschutz und IT-Sicherheit stehen bei vielen Unternehmen an zweiter Stelle. Das Problem: Anpassungen machen Abläufe häufig komplizierter. Hier gilt es, die richtige Balance zu finden – denn der Datenschutz darf für Mitarbeiter keinen überbordenden Mehraufwand bedeuten. Ein sich täglich änderndes Passwort ist zwar in der Theorie der Traum eines jeden Datenschutzbeauftragten, in der Praxis jedoch eine Zumutung.

5 DSGVO-Sofort-Maßnahmen für B2B-Unternehmen

EU-Datenschutzgrundverordnung

5 DSGVO-Sofort-Maßnahmen für B2B-Unternehmen

07.05.18 - Am 25. Mai tritt die neue EU-Datenschutzgrundverordnung, kurz EU-DSGVO, in Kraft. Jedes Unternehmen, das in der EU aktiv ist, ist davon betroffen – das gilt auch für B2B-Anbieter. Wer sich unsicher ist, kann mit diesen fünf „Last-Minute-Sofort-Maßnahmen“ noch kurzfristig die Weichen stellen. lesen

Auf die Unternehmensgröße kommt es an

Fakt ist: Nicht für alle Unternehmen ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben. Dennoch geht es häufig nicht ohne einen internen oder externen DSB. Denn zum einen müssen alle Unternehmen in Deutschland, bei denen mehr als zehn Personen mit personenbezogenen Daten arbeiten, einen DSB benennen und diesen offiziell bei den Aufsichtsbehörden melden (Freelancer oder Praktikanten werden dabei ebenso mit eingerechnet wie Festangestellte).

Zum anderen müssen auch all diejenigen Unternehmen, die nicht gesetzlich zur Benennung eines DSB verpflichtet sind, die umfassenden Vorgaben der DSGVO, des Bundesdatenschutzgesetzes (BDSG) sowie der deutschen Aufsichtsbehörden einhalten. Dies ist in der Praxis ohne die professionelle Begleitung eines DSB vielfach kaum möglich. Dies gilt insbesondere dann, wenn für das Unternehmen die verschärften Bestimmungen für die Verarbeitung besonders sensitiver Daten gelten – als solche gelten beispielsweise Informationen zur Gesundheit, Ethnie, Religion, sexuellen Orientierung oder politischen Ausrichtung einer natürlichen Person.

Erste zertifizierte App für Mitarbeiterkommunikation

Datenschutz

Erste zertifizierte App für Mitarbeiterkommunikation

25.07.18 - Alternative zu Whatsapp, Snapchat und Co auf dem Diensthandy: Das Start-up Beekeeper hat sich zeitgleich zum Inkrafttreten der DSGVO als erster Anbieter einer Mitarbeiter-App nach ISO 27001 zertifizieren lassen. lesen

Das Aufgabengebiet hängt vom Unternehmen ab

Generell ist der Datenschutzbeauftragte für Verbesserungen in drei übergeordneten Bereichen zuständig: Unternehmen sollen nach Möglichkeit sparsam mit Daten umgehen, das heißt, möglichst wenig personenbezogene Daten erheben und verarbeiten. Diejenigen Personen, deren Daten erhoben werden, müssen darüber hinaus um ihre Einwilligung zur Speicherung und Verwendung ihrer Daten gebeten werden und die Möglichkeit haben diese bei Bedarf zu widerrufen.

Darüber hinaus ist eine angemessene Sicherung der personenbezogenen Daten essentiell. Betriebsangehörige anderer Unternehmen etwa dürfen nur Zugriff auf personenbezogene Daten des Unternehmens erhalten, wenn zuvor ein Auftragsverarbeitungsvertrag geschlossen worden ist. Zudem sind diese Daten vor dem Zugriff durch Fremde zu schützen. In der Praxis bedeutet dies zum Beispiel, dass Festplatten von Arbeitscomputern verschlüsselt werden müssen. Geht ein Laptop oder Arbeitshandy verloren oder wird gestohlen, kann eine nicht ausreichende Sicherung als Fahrlässigkeit eingestuft werden.

Die konkreten Aufgaben des Datenschutzbeauftragten sind daher vielfältig: zum beständigen Hinwirken auf DSGVO-Konformität gehören neben Mitarbeiterschulungen, Datenschutzerklärung et cetera auch der gesamte Bereich Datenschutz-Audit und Datenschutz-Dokumentation (sogenannte Verzeichnisse von Verarbeitungstätigkeiten). Der Audit umfasst eine Analyse laufender Datenverarbeitungsprozesse und die Prüfung, wo personenbezogene Daten wie verarbeitet werden. Auf Basis dieser detaillierten datenschutzrechtlichen Bestandsaufnahme erstellt der DSB eine Gap-Analyse und legt der Geschäftsführungen konkrete – und im Idealfall praxisnahe und verständliche – Handlungsempfehlungen zum weiteren Vorgehen nahe.

Themennewsletter Management & IT
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Das Gesetz schreibt vor, dass der Datenschutzbeauftragte sowohl datenschutzrechtliche als auch technische Fachkenntnis besitzen muss. In der Praxis ist es für beide Seiten überaus hilfreich, wenn er eine gewisse Branchenkenntnis hat und über die technischen und organisatorischen Abläufe im Unternehmen im Bilde ist beziehungsweise auf dem Laufenden gehalten wird. Im Idealfall sollte der DSB mit technisch-organisatorische Maßnahmen und dem Bereich IT-Security vertraut sein – so kann er dem Unternehmen bei der Umsetzung der Handlungsempfehlungen pragmatisch zur Hand gehen anstatt datenschutzrechtlich beratende Außenstelle zu sein. Einen Datenschutzbeauftragten zu benennen, der lediglich Strohmann ist und die Aufgaben nicht zur Genüge erfüllen kann, kann der Geschäftsführung als vorsätzliche Täuschung von Kunden und Geschäftspartnern zur Last gelegt werden.

Datenschutz und IT-Security gehen Hand in Hand

Auch wenn der zuständige Datenschutzbeauftragte bereits über tiefgreifende Kenntnisse der IT-Sicherheit verfügt, sind Berührungsängste und eine Portion Skepsis auf Seiten der Mitarbeiter der IT-Abteilung nicht unüblich. Datenschutz und IT-Sicherheit sind jedoch eng miteinander verknüpft: Neben offensichtlichen Fragen nach Serverstandort und Sicherung, der Nutzung von Clouddiensten, der Abwicklung des E-Mail-Verkehrs oder der Netzwerkstruktur geht es auch um indirekte Probleme wie Spamware, Firewall oder Intrusion-Prävention.

Datenschutzbeauftragte raten in diesem Zusammenhang gern zu sogenannten Penetrationstests. Dabei finden professionelle Fachleute heraus, wie einfach es ist, sich in die IT-Infrastruktur betreffender Unternehmen zu hacken. Obwohl Hackerangriffe nicht notwendigerweise personenbezogene Daten zum Ziel haben, sind diese in der Regel beim Eindringen von Hackern oder bei Datenleaks betroffen. Somit spielt der personenbezogene Datenschutz hier eine wichtige Rolle. Aufgrund der Wahrnehmung, dass Hackerangriffe relativ selten vorkommen, hat die Absicherung von (personenbezogenen) Daten bei den meisten Unternehmen schlicht eine niedrigere Priorität.

Wie betriebssicher ist Ihr Rechenzentrum?

Risikomanagement

Wie betriebssicher ist Ihr Rechenzentrum?

24.09.18 - Es ist das Worst-Case-Szenario, von dem alle hoffen, es möge niemals eintreten: Stillstand in der Produktion. Ein Ausfall der IT kann Unternehmen richtig ins Schleudern bringen. Zur Prävention hat der TÜV Rheinland einen „Elchtest“ für Data Center entwickelt. lesen

Interner versus externer DSB?

Kann ein bestehender Mitarbeiter die Rolle des internen Datenschutzbeauftragten übernehmen oder ist es sinnvoller, dass ein externer Profi das Unternehmen als DSB betreut? Für die überwiegende Mehrzahl der kleinen und mittleren Unternehmen erweist sich letztere Lösung als effektiver und kostengünstiger – unter der Bedingung, dass sie den Anbieter bedacht auswählen. Tatsächlich bringt die Benennung eines internen DSB eine Reihe an Komplikationen mit sich, die vielen Geschäftsführern nicht bewusst sind.

Ein DSB benötigt umfangreiche rechtliche und technische Fachkunde und muss entsprechende Zertifizierungen und (Nach-)Schulungen vorweisen können. Zudem muss er in Teilzeit freigestellt werden, um seiner Arbeit als DSB nachgehen zu können. Jedoch dürfen weder die Geschäftsführung noch Arbeitnehmer mit hoher Verantwortung im Bezug auf personenbezogene Datenverarbeitung (beispielsweise Leiter Personal, Leiter IT) den Job übernehmen.

Zudem genießt der DSB Sonderrechte: Er hat vollständige Einsicht in die personenbezogenen Daten im Unternehmen – und ist auf Grund seiner Kontrollfunktion nur schwierig kündbar. Während dies aus Sicht der Geschäftsführung Probleme bereiten könnte, hat der interne DSB selbst mit ganz anderen Herausforderungen zu kämpfen: Er muss sich die entsprechende Kenntnis aneignen, die Gesetzeslage und einschlägige Urteile beziehungsweise Behördenentscheide verfolgen et cetera. Nicht zuletzt gilt er im Kollegenkreis oftmals als unbequemer Kontrolleur.

Doch egal ob intern oder extern: der beste Datenschutzbeauftragte nützt nichts, wenn seine Handlungsempfehlungen nicht befolgt werden. Denn Datenschutzkonformität wird nicht allein dadurch erreicht, dass ein zuständiger DSB benannt wird – die Geschäftsführung und die Mitarbeiter müssen das Thema gemeinsam angehen. Der Vorteil ist: Diejenigen Unternehmen, die den Datenschutz praxisnah und effektiv umsetzen, haben darin mehr als eine reine Kostenstelle – sie können ihn als vertrauens- und verkaufsförderndes Argument nach innen und außen nutzen.

DSGVO selbst umsetzen

Datenschutz

DSGVO selbst umsetzen

18.07.18 - Insbesondere bei kleinen Unternehmen kommt es bei der Umsetzung der DSGVO zu Ressourcenengpässen. Mithilfe von Datenschutz-Management-Software können Anforderungen schrittweise geprüft, angepasst und dokumentiert werden. lesen

Was kostet ein DSB?

Grundsätzlich gilt hier wie bei allen Dienstleistern die berühmte Antwort: Es kommt darauf an. Bei der Betreuung durch einen internen Mitarbeiter fallen in der Regel deutlich höhere Kosten an – und in jedem Fall ist die Betreuung durch einen DSB wesentlich günstiger als ein etwaiges Bußgeld. Doch auch im Markt für externe Datenschützer gibt es wesentliche Diskrepanzen: Anwaltskanzleien und Beratungshäuser aber auch große Anbieter wie der TÜV bewegen sich am obersten Ende des Preisspektrums und rechnen in der Regel nach Stundensätzen ab – dies führt dazu, dass sie eher für (mittel-)große Unternehmen in Frage kommen und für kleinere Unternehmen auf Grund der hohen Stundensätze und geringen Planbarkeit der Ausgaben weniger attraktiv sind.

Es bewegen sich auch windige Anbieter im Markt – am untersten Ende versprechen findige Berater den externen DSB für 50 Euro im Monat – zu diesem Preispunkt ist rein rechnerisch keine ausreichende Betreuung durch zertifizierte Fachleute möglich. Gesetzeskonformer Datenschutz ist viel Prüfungs-, Verwaltungs- und Beratungsarbeit – und lässt sich nur dann kostengünstig und KMU-freundlich abbilden, wenn der DSB-Anbieter Technik einsetzt (beispielsweise bei der Erstellung der umfassenden Datenschutz-Dokumentation).

Anbieter mit hohen Kundenzahlen profitieren an dieser Stelle von Ihrem Erfahrungsschatz und von entsprechenden Synergieeffekten – im Idealfall setzen sie Algorithmen und Machine Learning ein, um Prozesse zu beschleunigen oder sogar zu (teil-)automatisieren. Nur durch Technikeinsatz kann den Kunden eine gute und dennoch kostengünstige Leistungen zu wenigen Hundert Euro pro Monat geboten werden.

Ohne Daten fehlt häufig die Geschäftsgrundlage

Bitkom

Ohne Daten fehlt häufig die Geschäftsgrundlage

30.05.18 - Personenbezogene Daten sind für 46% der Unternehmen in Deutschland Grundlage ihres Geschäftsmodells. Das ergab eine Befragung des Digitalverbandes Bitkom. lesen

* Kivanç Semen, IT-Sicherheitsberater, und Dr. Markus Fisseler, Anwalt und Experte für Datenschutzrecht, sind Mitgründer von Dataguard in 80335 München, Tel. (0 89) 41 20 70 33, info@dataguard.de, www.dataguard.de

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45557412 / Management & IT)

Themen-Newsletter Management & IT abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Marktübersicht

Die Top-100 Automobilzulieferer des Jahres 2018

Das Jahr 2018 überraschte mit hohen Wachstumsraten und neuen Rekordumsätzen. Allerdings zeigten sich auch kräftige Bremsspuren: Viele Unternehmen wurden mit rückläufigen Margen konfrontiert. lesen

Dossier Maschinensicherheit 2019

Funktionale Sicherheit in allen Facetten

Ohne geht's nicht: Maschinensicherheit steht bei Konstrukteuren und Entwicklern ganz oben auf der Prioritätenliste – Hier die spannendsten Artikel der letzten Monate rund um die Funktionale Sicherheit in einem Dossier zusammengefasst. lesen