Datenschutz Hannover

Neben der Datenschutz-Grundverordnung (DSGVO) gibt es nach wie vor das Bundesdatenschutzgesetz (BDSG-neu). In § 38 BDSG ist definiert, wann ein Unternehmen (sog. „nicht öffentliche Stellen“) dazu verpflichtet ist, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen. Demnach liegt eine gesetzliche Verpflichtung zur Bestellung vor, sofern eine der folgenden Bedingungen erfüllt ist:

• Soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist, ob es sich um Voll- oder Teilzeitbeschäftigte handelt. Freie Mitarbeiter, Leiharbeitnehmer, Auszubildende und Praktikanten sind ebenso bei der Bestimmung einzubeziehen.
• Soweit Verarbeitungen vorliegen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen.
• Soweit sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Bei den beiden letztgenannten Bedingungen sieht der Gesetzgeber ein besonderes Gefährdungspotenzial, weshalb die die Anzahl der Beschäftigten keine Rolle spielt. Ist die Bestellung nicht gesetzlich vorgeschrieben, bedeutet dies nicht, dass der Datenschutz für diese Unternehmen weniger relevant ist. Die Geschäftsleitung muss auch dann die Konformität mit den Datenschutzgesetzen unbedingt sicherstellen, um Haftungsrisiken zu vermeiden. Es besteht ebenso die Möglichkeit, freiwillig eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen.

Die Aufgaben einer Datenschutzbeauftragten oder eines Datenschutzbeauftragten sind in der Datenschutz-Grundverordnung (DSGVO) geregelt. Nach Art. 39 DSGVO sind zumindest nachfolgende Aufgaben zu erfüllen:

• Unterrichtung und Beratung hinsichtlich der Pflichten aus der DSGVO und anderer Datenschutzvorschriften;
• Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der Strategien zum Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung und der diesbezüglichen Überprüfungen;
• Beratung (auf Anfrage) bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO sowie Überwachung ihrer Durchführung;
• Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde bei mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Praxisorientiert zusammengefasst hat der Datenschutzbeauftragte zunächst darauf hinzuwirken, ein ausreichendes Datenschutzniveau im Unternehmen herzustellen. Ganz entscheidend ist dabei festzustellen, wo Handlungsbedarf besteht – und die sich daraus ergebenden Maßnahmen risikoorientiert zu priorisieren. Wir unterstützen Sie dabei mit unserer Datenschutz-Analyse, in der wir die Ist-Situation erfassen und die Handlungsempfehlungen aus dem Ergebnisbericht mit Ihnen besprechen.

Fortan besteht die Aufgabe darin, das Datenschutzniveau zu erhalten und zu verbessern. Das umfasst die Kontrolle, Dokumentation und Bewertung aller Prozesse und Verarbeitungstätigkeiten mit Datenschutzbezug. Er unterstützt den Verantwortlichen oder Auftragsverarbeiter dabei, mit Hilfe eines Datenschutzmanagementsystems, die Einhaltung aller datenschutzrechtlicher Bestimmungen einzuhalten. Dies erfordert auch, dass risikominimierende Maßnahmen stets – nach dem Stand der Technik – (neu) bewertet werden. Er dient allen Beschäftigten zudem als Ansprechpartner und arbeitet mit der Datenschutz-Aufsichtsbehörde zusammen.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben (vgl. Art. 37 Abs. 5 DSGVO).

Welche „Anforderungen“ an Qualifikation und Fachwissen zu stellen sind, ergibt sich dabei auch aus dem Tätigkeitsfeld des Unternehmens. Art, Umfang und Risiko der Verarbeitungstätigkeiten beeinflussen diese Bewertung, weshalb die Qualifikation eines bestimmten Mitarbeites in einem kleinen Handwerksbetreib noch als ausreichend angesehen werden kann, während sie in einer größeren Online-Marketing-Agentur nicht genügen. Denn der Datenschutzbeauftragte benötigt zur Erfüllung seiner Aufgaben ein weitreichendes Verständnis für die gesetzlichen Vorschriften sowie die Datenschutzpraxis. Ein technisches und juristisches Grundverständnis ist also nicht nur hilfreich, sondern kann auch absolut erforderlich sein.

Die Qualifikation muss im Zeitpunkt der Benennung des Datenschutzbeauftragten vorhanden und über die Dauer der Tätigkeit erhalten bleiben. Bedeutet: Der Datenschutzbeauftragte hat sich über die, zum Teil sehr dynamischen Entwicklungen im Datenschutzumfeld (u.a. Urteile, Stellungsnahmen, Gesetzesänderungen und technische Neuerungen), fortzubilden, weil dies Einfluss auf seine Tätigkeit hat. So sind technische Schutzmaßnahmen bspw. am Stand der Technik zu bemessen, um ihre Wirksamkeit festzustellen.

Aufgrund des vielfältigen Aufgabenspektrums und die mitunter hohen Anforderungen an die Position des Datenschutzbeauftragten lagern viele Unternehmen dieses Amt an einen externen Datenschutzbeauftragten aus. Die Bestellung eines externen Datenschutzbeauftragten hat viele Vorteile:  

• Sie sparen sich die Kosten für die Ausstattung, Einarbeitung, Qualifizierungsmaßnahmen und fortwährende Weiterbildung im Datenschutz durch interne Mitarbeiter
• Sie sparen sich wichtige Personalressourcen, da sich ihre Mitarbeiter auf die Kerntätigkeit konzentrieren können
• Sie umgehen den besonderen Kündigungsschutz für einen internen Datenschutzbeauftragten
• Sie profitieren von der branchenübergreifenden Erfahrung externer Berater, die für die allermeisten datenschutzrechtlichen Herausforderungen best-practice-Lösungen anwenden
• Sie behalten den Überblick über die Kostenstruktur durch den transparenten Dienstleistungsvertrag
• Die Stellvertretung bei Abwesenheit des Datenschutzbeauftragten ist sichergestellt
• Sie ersparen sich unternehmensinterne Interessenkonflikte und stellen eine neutrale Herangehensweise an datenschutzrechtliche Bewertungen sicher

Die Datenschutz-Analyse soll dem Verantwortlichen sowie dem Datenschutzbeauftragten als „Bestandsaufnahme“ einen ersten Eindruck vermitteln, wo akuter Handlungsbedarf besteht. Sie dient damit als Grundlage für die Umsetzungsphase, in der eine möglich hohe Datenschutzkonformität erreicht werden soll. Die Analyse eignet sich insbesondere für Unternehmen, die noch kein Datenschutz-Management etabliert haben und wo Verantwortliche unsicher sind, an welchen Stellen Handlungsbedarf besteht. 

Wie bei der Analyse wird auch bei der Datenschutz-Auditierung die IST-Situation im Datenschutz überprüft und bewertet. Diese Bewertung geht allerdings deutlich mehr in die Tiefe. Das bedeutet, unsere Experten rücken dabei vermehrt in den Fokus wie Datenschutzmaßnahmen umgesetzt wurden und ob diese geeignet und ausreichend sind, die Schutzziele zu erreichen. Auch die Datenschutzorganisation im Unternehmen spielt dabei eine größere Rolle. Ein Audit ist die Grundlage für den Erhalt des Datenschutzsiegels und empfiehlt sich für Unternehmen, die schon verstärkt Maßnahmen zum Erreichen einer Datenschutzkonformität umgesetzt haben.