Zum Inhalt springen

Bestellung

Auf­ga­ben des exter­nen Datenschutzbeauftragten

Was sind die Auf­ga­ben des exter­nen Datenschutzbeauftragten?

Arti­kel 39 Absatz 1 DSGVO defi­niert die Auf­ga­ben des Daten­schutz­be­auf­trag­ten. Dar­aus erge­ben sich 1:1 die Auf­ga­ben des exter­nen Daten­schutz­be­auf­trag­ten, denn hier wird kei­ne Unter­schei­dung zwi­schen intern und extern getroffen:

Dem Daten­schutz­be­auf­trag­ten oblie­gen zumin­dest fol­gen­de Aufgaben:

a) Unter­rich­tung und Bera­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und der Beschäf­tig­ten, die Ver­ar­bei­tun­gen durch­füh­ren, hin­sicht­lich ihrer Pflich­ten nach die­ser Ver­ord­nung sowie nach sons­ti­gen Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mitgliedstaaten;

b) Über­wa­chung der Ein­hal­tung die­ser Ver­ord­nung, ande­rer Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mit­glied­staa­ten sowie der Stra­te­gien des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Zuwei­sung von Zustän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen betei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen Überprüfungen;

c) Bera­tung – auf Anfra­ge – im Zusam­men­hang mit der Daten­schutz-Fol­gen­ab­schät­zung und Über­wa­chung ihrer Durch­füh­rung gemäß Arti­kel 35;

d) Zusam­men­ar­beit mit der Aufsichtsbehörde;

e) Tätig­keit als Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen, ein­schließ­lich der vor­he­ri­gen Kon­sul­ta­ti­on gemäß Arti­kel 36, und gege­be­nen­falls Bera­tung zu allen sons­ti­gen Fragen.

Als exter­ne Daten­schutz­be­auf­trag­te kann und darf man durch­aus noch etwas mehr an Auf­ga­ben übernehmen

  • Pfle­ge des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach inter­ner Zuarbeit
  • Kon­ti­nu­ier­li­che Schu­lung und Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch eLear­ning, Web­i­na­re, Vor-Ort-Schu­lun­gen, Mit­ar­bei­ter­zei­tung, News­let­ter und vie­les mehr
  • Prü­fung von Ver­ein­ba­run­gen mit exter­nen Dienst­leis­tern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prü­fen und Über­wa­chen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men Ihrer exter­nen Dienst­leis­ter nach Art. 28 + 32 DSGVO
  • und noch so eini­ges mehr

Was ein Daten­schutz­be­auf­trag­ter nicht leis­ten kann?

Lei­der immer noch viel zu oft ist eine etwas irra­tio­na­le Erwar­tungs­hal­tung anzu­tref­fen. Mit der Benen­nung eines (exter­nen) Daten­schutz­be­auf­trag­ten ist eine Orga­ni­sa­ti­on mit­nich­ten von den Ver­pflich­tun­gen aus der DSGVO für die Orga­ni­sa­ti­on und die damit ver­bun­de­nen Tätig­kei­ten, Auf­ga­ben und Zuar­bei­ten befreit. Es sind nach wie vor alle Orga­ni­sa­ti­ons­ebe­nen gefor­dert, aktiv das The­ma Daten­schutz zu gestal­ten und dem Daten­schutz­be­auf­trag­ten zuzu­ar­bei­ten. Wenn Sie sich die Auf­stel­lung der Auf­ga­ben des Daten­schutz­be­auf­trag­ten aus Art. 39 DSGVO zu Beginn die­ses Bei­trags noch mal in Erin­ne­rung rufen, sind des­sen Beratungs‑, Kon­troll- und Über­prü­fungs­auf­ga­ben kon­kret defi­niert. Bei die­ser Auf­zäh­lung fehlt zu Recht der Begriff “Umset­zen”. Daten­schutz wird durch alle Mit­ar­bei­ter einer Orga­ni­sa­ti­on “umge­setzt” bzw. gelebt. Der Daten­schutz­be­auf­trag­te wirkt auf die rechts­kon­for­me Daten­ver­ar­bei­tung in der Orga­ni­sa­ti­on hin, u.a. durch Bera­tung, und über­prüft die­se im Rah­men sei­ner Kon­troll- und Überwachungsfunktion.

Inter­es­se an einem exter­nen Daten­schutz­be­auf­trag­ten geweckt?

Sie benö­ti­gen einen (exter­nen) Daten­schutz­be­auf­trag­ten? Dann nut­zen Sie unse­re lang­jäh­ri­ge Erfah­rung und das Know How als exter­ne Daten­schutz­be­auf­trag­te für zahl­rei­che unter­schied­li­che Orga­ni­sa­tio­nen zum Schutz Ihres Unter­neh­mens. Spre­chen Sie uns an.

Inter­es­sens­kon­flik­te bei Daten­schutz­be­auf­trag­ten vermeiden

Rechts­la­ge: Ver­mei­dung von Inter­es­sens­kon­flik­ten bei einem Daten­schutz­be­auf­trag­ten vorgeschrieben

Bereits im Anwen­dungs­rah­men des alten BDSG (vor Mai 2018) galt es, Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den. Art. 38 Abs. 6 DSGVO (exter­ner Link) regelt das seit Mai 2018 nicht anders:

“Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.”

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-Würt­tem­berg, Dr. Ste­fan Brink hat dies in sei­nem 38. Tätig­keits­be­richt 2018 (exter­ner Link) aus­führ­li­cher beleuch­tet. “Der Ver­ant­wort­li­che bzw. Auf­trags­ver­ar­bei­ter hat aller­dings dafür Sor­ge zu tra­gen, dass […] kei­ne Unver­ein­bar­kei­ten bzw. Befan­gen­heit vorliegen.”

Wer darf bzw. darf die Funk­ti­on des Daten­schutz­be­auf­trag­ten in einem Unter­neh­men oder einer Behör­de ausüben?

In Anbe­tracht der wei­ten Prüf- und Kon­troll­pflich­ten eines Daten­schutz­be­auf­trag­ten, zieht Brink hier eine deut­li­che Grenze:

“Für eine kor­rek­te Erfül­lung der Auf­ga­ben des DSB ist viel­mehr eine wei­test­ge­hen­de Distanz gegen­über der zu kon­trol­lie­ren­den Stel­le uner­läss­lich, denn eine effek­ti­ve Kon­trol­le ist dann zu bezwei­feln, wenn der Kon­trol­leur sich selbst kon­trol­lie­ren muss.”

Das mit der zu kon­trol­lie­ren­den Stel­le die Orga­ni­sa­ti­on (Unter­neh­men, Behör­de, Ver­ein) gemeint ist, wel­che den Daten­schutz­be­auf­trag­ten zu bestel­len hat, liegt auf der Hand. Gene­rell soll der DSB kei­ne ande­re Funk­ti­on aus­üben, in der er oder sie über die Zwe­cke oder Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten selbst zu ent­schei­den hat. Doch was bedeu­tet das nun kon­kret (Sei­ten 28–30 des TB), wer schei­det für die Aus­übung des Daten­schutz­be­auf­trag­ten gene­rell aus:

  1. Leitungs‑, Chef- und Inha­ber­ebe­ne: Inha­ber, Lei­ter, Part­ner, Vor­stand, Geschäfts­füh­rer, Mit­glied der Geschäfts­lei­tung, Mana­ger, Bür­ger­meis­ter, Land­rat oder ander­wei­tig beru­fe­ne Lei­tung der Organisation
  2. Nach­ge­ord­ne­te Posi­tio­nen mit Füh­rungs­auf­ga­ben und Ent­schei­dungs­kom­pe­tenz über die Fest­le­gung von Zwe­cken und Mit­teln der Daten­ver­ar­bei­tung (IT): IT-Lei­ter, Lei­ter des ope­ra­ti­ven Geschäfts­be­reichs, Lei­ter Mar­ke­ting, Lei­ter Per­so­nal, Betriebs­lei­ter, Amts- bzw- Geschäfts­lei­ter, aber durch­aus auch nach­ge­la­ger­te Funk­tio­nen, wenn die­se ähn­li­che Inter­es­sens­kon­flik­te mit sich bringen
  3. Berei­che mit hohem Ver­ar­bei­tungs­um­fang: Mit­ar­bei­ter aus dem Personal‑, Ver­triebs- oder Marketingbereich
  4. Beauf­trag­te: Geheim­schutz­be­auf­trag­te, Geldwäschebeauftragte

Bei der Prü­fung auf mög­li­che Inter­es­sens­kon­flik­te sind auch fami­liä­re Ver­hält­nis­se zu berück­sich­ti­gen. So kann bei zu engen fami­liä­ren Bezie­hun­gen zwi­schen Orga­ni­sa­ti­ons­lei­tung bzw. Inha­ber und dem zu bestel­len­den Daten­schutz­be­auf­trag­ten die not­wen­di­ge Unab­hän­gig­keit nach Art. 38 Abs. 3 DSGVO nicht mehr gewähr­leis­tet sein. Das gilt übri­gens unab­hän­gig davon, ob der oder die Ver­wand­te bei der bestel­len­den Orga­ni­sa­ti­on beschäf­tigt ist oder nicht.

Dann bestel­len wir doch ein­fach einen exter­nen Daten­schutz­be­auf­trag­ten, der hat kei­ne Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vor­han­de­ne Inter­es­sens­kon­flik­te zu ver­mei­den. So ist lt. Brink der genutz­te IT-Dienst­leis­ter eben­falls befan­gen und soll­te daher nicht als exter­ner Daten­schutz­be­auf­trag­ter bestellt wer­den. Das gilt auch für den Fall, dass der Dienst­leis­ter für die IT-Betreu­ung und den Daten­schutz zwei unter­schied­li­che Mit­ar­bei­ter ein­setzt. Soll­te der exter­ne Daten­schutz­be­auf­trag­te die Orga­ni­sa­ti­on in daten­schutz­recht­li­chen Sachen vor Gericht ver­tre­ten, ist eben­falls ein Inter­es­sens­kon­flikt anzunehmen.

Durch unse­re Fokus­sie­rung auf die bei­den The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind wir bei Aus­übung der Funk­ti­on des exter­nen Daten­schutz­be­auf­trag­ten frei von Inter­es­sens­kon­flik­ten. Wir sind in kei­nen ande­ren Berei­chen für Sie tätig und bestim­men wei­ter­hin nicht über Zweck und Mit­tel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Ihrer Orga­ni­sa­ti­on. Spre­chen Sie uns an (inter­ner Link).

 

 

Exter­ner behörd­li­cher Daten­schutz­be­auf­trag­ter (Baye­ri­sche Kommunen)

DIE EU-DSGVO macht es mög­lich – der exter­ne Daten­schutz­be­auf­trag­te für baye­ri­sche Kommunen

Die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestellen.

Ent­las­tung für klei­ne­re Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know-How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Ent­las­tung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun einen Daten­schutz­be­auf­trag­ten auch extern bestellen.

Vor­tei­le der exter­nen Bestel­lung eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kommunen

Die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Kom­mu­nen lie­gen klar auf der Hand

  • Trans­pa­renz in Zeit und Kosten
  • Stets aktu­el­les Know-How durch Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung des exter­nen Daten­schutz­be­auf­trag­ten (nicht zu Las­ten der Kommune)
  • Sofort im The­ma: Der exter­ne Daten­schutz­be­auf­trag­te kennt sich mit Theo­rie und Pra­xis im Daten­schutz­recht und Daten­schutz­all­tag bes­tens aus und kann sofort loslegen
  • Gemein­sa­me Bestel­lung mög­lich: Meh­re­re Kom­mu­nen im Land­kreis kön­nen sich im Rah­men der Inter­kom­mu­na­len Zusam­men­ar­beit zeit und Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten teilen

Über­gangs­lö­sung durch exter­ne Bera­tung zum 25.05.2018

Nichts ist schlim­mer, als nichts zu tun. Daher emp­feh­len wir, nicht bis zum 25.05.2018 abzu­war­ten. Holen Sie bereits heu­te einen ver­sier­ten Daten­schutz­be­ra­ter an Bord, der Ihre Kom­mu­ne fit für den Daten­schutz und die Anfor­de­run­gen der EU-Daten­schutz­grund­ver­ord­nung macht. Damit legen Sie erfolg­reich den Grund­stein für die erfolg­rei­che Tätig­keit des exter­nen Daten­schutz­be­auf­trag­ten für (baye­ri­sche) Kom­mu­nen ab dem 25.05.2018.

Die exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz für baye­ri­sche Kommunen

Spe­zi­ell für baye­ri­sche Kom­mu­nen ste­hen die aus­ge­bil­de­ten Bera­ter und spä­te­ren exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz bereit. Mit dem The­ma Daten­schutz zumeist bereits seit Jah­ren befasst, haben unse­re Mit­ar­bei­ter die Daten­schutz-Kur­se der Baye­ri­schen Ver­wal­tungs­schu­le (BVS) erfolg­reich absol­viert oder sich in ande­ren geeig­ne­ten Maß­nah­men für den Ein­satz in öffent­li­chen und nicht-öffent­li­chen Stel­len qua­li­fi­ziert. Zusätz­lich sind unse­re Mit­ar­bei­ter zer­ti­fi­zier­te Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (BVS) und kön­nen Ihren Bezirk, Ihr  Land­rats­amt, Ihre Stadt oder Ihre Gemein­de voll­um­fäng­lich unter­stüt­zen. Soll­ten Sie einen exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten für baye­ri­sche Kom­mu­nen benö­ti­gen, ste­hen wir Ihnen damit eben­falls zur Verfügung.

Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nen anfordern

Sie wün­schen ein Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für Ihre Kom­mu­ne? Nut­zen Sie ein­fach das For­mu­lar aus unse­rem Fly­er (Down­load am Ende des Bei­trags) oder schrei­ben Sie uns eine Email.

[wpfi­le­ba­se tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /​]

Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unterliegen

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

“Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ansbach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestellen?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann eine gene­rel­le Mög­lich­keit der exter­nen Bestel­lung für Behör­den /​ Kom­mu­nen gege­ben sein.

Wann ist von einem Inter­es­sens­kon­flikt auszugehen?

Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten bestellt, so darf er jedoch dane­ben nicht zusätz­lich /​ wei­ter­hin für sol­che Auf­ga­ben zustän­dig sein, wel­che die Gefahr von Inter­es­sens­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen. Der Gesetz­ge­ber ver­langt hier salopp, nicht “den Bock zum Gärt­ner zu machen”. Ähn­lich hat dies auch die EU-Daten­schutz­richt­li­nie (Art. 18) gefor­dert, völ­li­ge Unab­hän­gig­keit des DSB in sei­ner Funk­ti­on als Kon­troll­in­stanz. Mit Arti­kel 38 und 39 der EU-DSGVO wird dies in 2018 kei­ne Ände­rung erfahren.

In ein­schlä­gi­gen Kom­men­ta­ren zum Bun­des­da­ten­schutz­ge­setz (z.B. Gola /​ Schome­rus) wird expli­zit dar­auf ver­wie­sen, dass sich hier­aus bestimm­te Funk­tio­nen für die Tätig­keit des Daten­schutz­be­auf­trag­ten von vorn­her­ein aus­schlie­ßen. Dazu zäh­len auf jeden Fall

  • Inha­ber, Vor­stand, Geschäfts­füh­rer (aus­nahms­los),
  • Lei­ter der IT,
  • Per­so­nal­lei­ter,
  • Ver­triebs­lei­ter (zumin­dest im Direktvertrieb).

Für alle ande­ren Funk­tio­nen ist zu prü­fen, ob ein Inter­es­sens­kon­flikt aus­ge­schlos­sen wer­den kann und auch kei­ne wei­te­ren Beein­träch­ti­gun­gen für die Aus­übung der Funk­ti­on des Daten­schutz­be­auf­trag­ten bestehen. So ist es nicht unbe­dingt ziel­füh­rend, einen IT-Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten zu bestel­len, wenn der Kon­flikt mit dem Vor­ge­setz­ten — dem IT-Lei­ter — bereits vor­pro­gram­miert ist und der IT-Mit­ar­bei­ter sei­ne zusätz­li­che Auf­ga­be als DSB z.B. aus Angst vor Repres­sa­li­en nicht aus­üben kann /​ wird.

Wie kam es jetzt zu die­sem Buß­geld auf­grund eines Interessenskonflikts?

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) berich­tet in sei­ner Press­mit­tei­lung davon, dass im Rah­men der Über­prü­fung eines baye­ri­schen Unter­neh­mens die Bestel­lung des IT-Lei­ters zum inter­nen Daten­schutz­be­auf­trag­ten fest­ge­stellt wur­de. Dies lie­fe nach Mei­nung der Behör­de “letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus”. Aus Sicht der Behör­de (und der ein­schlä­gi­gen Rechts­kom­men­ta­re) wider­spricht dies der Funk­ti­on des Daten­schutz­be­auf­trag­ten, als unab­hän­gi­ge Instanz im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­zu­wir­ken (eine der Kern­auf­ga­ben des DSB).

Nach­dem das Lan­des­amt das Unter­neh­men mehr­fach über Mona­te auf­ge­for­dert hat, eine Bestel­lung ohne Inter­es­sens­kon­flikt her­bei­zu­füh­ren und dies sei­tens des Unter­neh­mens zuge­sagt, jedoch nicht umge­setzt wur­de, ver­häng­te die Behör­de ein Buß­geld. Die Geld­bu­ße ist mitt­ler­wei­le bestandskräftig.

„Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und ein sehr wich­ti­ges Ele­ment der Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer unab­hän­gi­gen, effek­ti­ven inter­nen Auf­sicht über den Daten­schutz ste­hen. Unter­neh­men, die gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind, kön­nen daher nur eine sol­che Per­son zum Daten­schutz­be­auf­trag­ten bestel­len, die in der Lage ist, die­se Auf­ga­be frei von sach­frem­den Zwän­gen aus­zu­üben. Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayLDA.

Was kön­nen Sie als Unter­neh­men tun, um sol­ches Buß­gel­der zu vermeiden?

Ent­we­der Sie ver­mei­den sol­che Inter­es­sens­kon­flik­te oder Sie grei­fen zu einer trans­pa­ren­ten und kos­ten­güns­ti­gen exter­nen Bestel­lung des Daten­schutz­be­auf­trag­ten, wie sie bei­spiels­wei­se a.s.k. Daten­schutz anbie­tet. Ein Ange­bot erhal­ten Sie zeit­nah mit­tels unse­rer Online-Anfra­ge.

Übri­gens gilt das The­ma Inter­es­sens­kon­flikt auch für behörd­li­che Datenschutzbeauftragte!!

Quel­le: Pres­se­mit­tei­lung des BayLDA

 

Wozu Big Brot­her Con­tai­ner? Wasch­an­la­ge reicht!

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­übewa­chung der Esse­ner Auto­wasch­ket­te Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Lan­des­be­auf­trag­ten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Ket­te zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­ti­on einer Video­über­wa­chungs­an­la­ge? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Daten­schutz in der Anwaltskanzlei

Update vom 03.05.2011

Mit Beschluss vom 20.08.2010 unter dem Akten­zei­chen 2 Ss 23/​07, 1 Ws (B) 51/​07 — 2 Ss 23/​07 hat das Kam­mer­ge­richt Ber­lin fest­ge­stellt, daß die Bestim­mun­gen der BRAO kei­ne “bereichs­spe­zi­fi­schen Son­der­re­ge­lun­gen” im Sin­ne des § 1 Absatz 3 Satz 1 BDSG dar­stel­len. Die BRAO ent­hal­te ledig­lich berufs­recht­li­che Bestim­mun­gen, deren Zweck nicht dar­in bestehe, die Daten von Pro­zess­geg­nern oder von außen­ste­hen­den Per­so­nen zu schüt­zen. Das sei viel­mehr Sache des BDSG.

Das BDSG berüh­re jedoch nicht die gesetz­li­chen Geheim­hal­tungs­pflich­ten. Zu die­sen Pflich­ten gehört nach Auf­fas­sung des Gerichts auch die Geheim­hal­tungs­pflicht des Rechtsanwalts.

Dies bedeu­tet, daß Rechts­an­wäl­te dem­nach den gesetz­li­chen Bestim­mun­gen des BDSG unter­wor­fen sind, wor­an die Kam­mer in ihrer aus­führ­li­chen Begrün­dung kei­nen Zwei­fel ließ. Es gilt nun für Anwäl­te, die für sie zutref­fen­den Punk­te des BDSG in ihrer Kanz­lei umzu­set­zen (sie­he unten)

Ori­gi­nal­ar­ti­kel vom 12.11.2010

In Gesprä­chen mit Anwäl­ten, aber auch mit Steu­er­be­ra­tern trifft  man häu­fig auf das Argu­ment, die Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) wür­den die Kanz­lei oder den Anwalt nicht betref­fen, da es eige­ne Rege­lun­gen zur Ver­schwie­gen­heit und Ver­trau­lich­keit gäbe.

Das Bun­des­da­ten­schutz­ge­setz sieht hier klar vor, das für Sach­ver­hal­te, die durch kein bereich­spe­zi­fi­sches Recht expli­zit geregtl wer­den, die (all­ge­mei­ne­ren) Rege­lun­gen des Bun­des­da­ten­schutz­ge­set­zes zum Tra­gen kom­men. Dazu gehö­ren ins­be­son­de­re Punk­te wie

  • Ver­fah­rens­ver­zeich­nis­se
  • Daten­schutz­re­ge­lun­gen
  • Nut­zungs­richt­li­ni­en
  • IT Sicher­heit
  • Back­up- und Recovery-Strategien
  • Ver­schlüs­se­lung und Signatur
  • Bestell­pflicht eines Datenschutzbeauftragten
  • Auf­trags­da­ten­ver­ar­bei­tung exter­ne Dienst­leis­ter z.B. Fern­war­tung etc.

Die Bri­sanz des The­mas, u.a. die mit Ver­stö­ßen gegen das BDSG ver­bun­de­nen Buß­geld­ri­si­ken hat der Deut­sche Anwalt­ver­ein in sei­ner Depe­che 2010–42 auf­ge­grif­fen und zusätz­lich eine Check­lis­te mit Emp­feh­lun­gen zur Umset­zung in der Kanz­lei her­aus­ge­ge­ben. Hier­in ver­weist der DAV auf die Mög­lich­keit der Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten (bei vor­lie­gen­der Bestell­pflicht), aber auch auf die Inan­spruch­nah­me eines exter­nen Daten­schutz­be­ra­ters für die Sicher­stel­lung der not­wen­di­gen Umset­zun­gen und Formulierungen.

Die­se Leis­tun­gen kön­nen Sie als Anwalt oder Kanz­lei jeder­zeit bei mir fach­ge­recht und kos­ten­güns­tig in Anspruch neh­men. Ger­ne unter­brei­te ich Ihnen hier­zu ein Ange­bot.

Hilf­rei­che Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Kein Daten­schutz aus Kos­ten­grün­den? Das muss nicht sein

Ein Exper­te der IHK Regens­burg für Oberpfalz/​Kelheim äußert sich aktu­ell fol­gen­der­ma­ßen: „Gera­de für klei­ne­re Betrie­be ist es ver­mut­lich schwie­rig, auch die ent­spre­chen­den finan­zi­el­len Mit­tel für den Daten­schutz auf­zu­brin­gen, um immer alle Bestim­mun­gen ein­zu­hal­ten.“  Der Daten­schutz­be­auf­trag­te der IHK für Nie­der­bay­ern in Pas­sau schiebt nach: „Bei vie­len Unter­neh­men besteht eine erheb­li­che Rechts­un­si­cher­heit, wie sie mit den Daten ihrer Kun­den umge­hen sollen.“

Kein Daten­schutz aus Kos­ten­grün­den oder Unsi­cher­heit? Das muss nicht sein!

Der Gesetz­ge­ber unterstützt

Mit § 4f BDSG (Bun­des­da­ten­schutz­ge­setz) schreibt der Gesetz­ge­ber die Vor­aus­set­zun­gen für die gesetz­li­che Bestell­pflicht eines Daten­schutz­be­auf­trag­ten vor. Wohl wis­send, dass ein inter­ner Daten­schutz­be­auf­trag­ter für vie­le mit­tel­stän­di­sche Betrie­be kei­ne Ide­al­lö­sung ist (erwei­ter­ter Kün­di­gungs­schutz, man­geln­de Kos­ten­trans­pa­renz und Kon­trol­le, sie­he die­sen Bei­trag), bie­tet das BDSG auch gleich in Absatz 2 die pas­sen­de Lösung an — “Zum Beauf­trag­ten für den Daten­schutz kann auch eine Per­son außer­halb der ver­ant­wort­li­chen Stel­le bestellt werden.”

Vie­le Vor­tei­le spre­chen für Outsourcing

Wer die Vor- und Nach­tei­le des Ein­sat­zes eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten gegen­über­stellt, wird die unter­neh­me­ri­schen und zahl­rei­chen Vor­tei­le der exter­nen Bestell­mög­lich­keit für einen Daten­schutz­be­auf­trag­ten klar erken­nen. Bei­spiel­haft sei­en hier kurz angeführt

  • Vol­le Kos­ten­kon­trol­le und Transparenz
  • Weg­fall des erwei­ter­ten Kündigungsschutzes
  • Über­grei­fen­des, inter­dis­zi­pli­nä­res Bran­chen-Know-How des exter­nen Spezialisten
  • Weg­fall der inter­nen Kos­ten für Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung, Lite­ra­tur, Mate­ri­al und Räumlichkeiten
  • Wei­te­re Vor­tei­le kön­nen Sie in die­sem Bei­trag kennenlernen

„Bei vie­len Betrie­ben gibt es den Daten­schutz­be­auf­trag­ten nur auf dem Papier. Beson­ders für klei­ne­re Betrie­be kann es ein Pro­blem sein, Mit­ar­bei­ter in den eige­nen Rei­hen zu fin­den, die die nöti­ge Qua­li­fi­ka­ti­on, Zeit und Erfah­rung für die­se Auf­ga­be haben“, ver­mu­tet Bern­hard Matu­la, Daten­schutz­be­auf­trag­ter der Hand­werks­kam­mer Niederbayern/​Oberpfalz.

Ver­mei­den Sie Buß­gel­der und Auflagen

Doch weder die eige­ne Unsi­cher­heit im Umgang mit die­sem The­ma noch die Kos­ten gel­ten als Aus­re­de, soll­te die Nicht­be­stel­lung eines Daten­schutz­be­auf­trag­ten bei vor­lie­gen­der Bestell­pflicht akten­kun­dig wer­den. Emp­find­li­che Buß­gel­der dro­hen, die es zu ver­mei­den gilt. Wie Sie das machen? For­dern Sie doch ein­fach noch heu­te ihr unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten an.

Ich freue mich auf Sie
Sascha Kuhrau

 

Hilf­rei­che Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

 

Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten (DSB)

Vor­tei­le eines exter­nen Datenschutzbeauftragten

Unter­neh­men und Ver­ei­ne hat­ten schon vor der DSGVO die Mög­lich­keit, sich die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten zu sichern. Bis Mai 2018 war es für öffent­li­che Stel­len (Behör­den, Kom­mu­nen) je nach Bun­des­land sehr unter­schied­lich gere­gelt. Doch mit der DSGVO hat sich das geän­dert und auch die­se Ein­rich­tun­gen kom­men nun in den Genuß der Vor­tei­le eines exter­nen Datenschutzbeauftragten.

Daten­schutz geht alle an — Unter­neh­men, Unter­neh­mer und Behörden

Wer per­so­nen­be­zo­ge­ne Daten erhebt, ver­ar­bei­tet oder nutzt, unter­liegt den Rege­lun­gen der DSGVO, zusätz­lich des Bun­des­da­ten­schutz­ge­set­zes (BDSG) und als kom­mu­na­le Ein­rich­tun­gen des jewei­li­gen Lan­des­da­ten­schutz­ge­set­zes. Die­se Geset­ze gel­ten aus­nahms­los für Unter­neh­men, Unter­neh­mer, Behör­den und kom­mu­na­le Ein­rich­tun­gen — unab­hän­gig von der Anzahl der Mit­ar­bei­ter oder vor­han­de­nen Schwei­ge­pflich­ten. Die Anfor­de­run­gen sind hoch und Ver­stö­ße — ganz unab­hän­gig von image­schä­di­gen­den Daten­pan­nen — kos­ten schnell mal Geld.

Die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten wur­de im Zuge der DSGVO für öffent­li­che Stel­len ver­ein­heit­licht. Wie Unter­neh­men kön­nen die­se sich nun die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten sichern, die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten besteht gene­rell für alle Behör­den und Kommunen.

Per­so­nen­be­zo­ge­ne Daten

Die­se fal­len im Tages­ge­schäft über­all an — Mit­ar­bei­ter, Bewer­ber, Kun­den, Bür­ger, Lie­fe­ran­ten, Inter­es­sen­ten — und sind ent­we­der in IT-Sys­te­men oder auf Papier (z.B. Per­so­nal­ak­te) gespei­chert. Die­se Daten gilt es, vor Ver­lust, Zer­stö­rung und Miß­brauch (auch im eige­nen Haus) zu schüt­zen. Wer­den die Vor­schrif­ten nicht umge­setzt oder kommt es zu einer Daten­pan­ne, wer­den oft­mals gera­de für Unter­neh­men und Ver­ei­ne emp­find­li­che Buß­gel­der fällig.

Qual der Wahl, wenn ein Daten­schutz­be­auf­trag­ter benannt wer­den muss

Ab einer gewis­sen Mit­ar­bei­ter­an­zahl (manch­mal reicht jedoch bereits ein bestimm­ter Geschäfts­zweck) ist die Bestel­lung eines Daten­schutz­be­auf­trag­ten gesetz­lich vor­ge­schrie­ben. Öffent­li­che Stel­len müs­sen unab­hän­gig von der Mit­ar­bei­ter­zahl einen Daten­schutz­be­auf­trag­ten benen­nen. Die Benen­nung kann intern oder extern erfol­gen. Eine feh­len­de, eine ver­spä­te­te oder eine sog. “pro for­ma” Bestel­lung ist kein Kava­liers­de­likt und wird eben­falls mit Buß­gel­dern geahndet

Der Gesetz­ge­ber läßt Ihnen die freie Wahl – sichern Sie sich daher die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Ihre Orga­ni­sa­ti­on. Die Auf­ga­ben eines Daten­schutz­be­auf­trag­ten sind sehr viel­fäl­tig. Exter­ne Daten­schutz­be­auf­trag­te haben hier schnell die Vor­tei­le auf ihrer Seite.

Kla­re Vor­tei­le für die Wahl eines exter­nen Datenschutzbeauftragten

Inter­ner Daten­schutz­be­auf­trag­terExter­ner Datenschutzbeauftragter
Nicht wei­sungs­ge­bun­denArbei­tet im Rah­men des Projektauftrags
Frei in sei­ner ZeiteinteilungFest defi­nier­te Zeitrahmen
Erwei­ter­ter KündigungsschutzKann wie jeder Ver­trag gekün­digt werden
Kann nicht abbe­ru­fen werdenExter­ne Bestel­lung widerrufbar
Kos­ten für Fort­bil­dung trägt das UnternehmenTrägt Kos­ten für Fort- und Wei­ter­bil­dun­gen selbst, muss die­se nachweisen
Kein Ver­si­che­rungs­schutzVer­si­che­rungs­schutz im Rah­men der Beraterhaftung
Intrans­pa­ren­te KostenKos­ten sind kal­ku­lier­bar und jeder­zeit nachvollziehbar
Inter­es­sens­kon­flik­te vorprogrammiertKei­ne Kon­flik­te, da nur ein Ziel: Datenschutz
Inter­dis­zi­pli­när und branchenübergreifend

Ham­bur­ger Unter­neh­men wei­ter unter Druck in Sachen Daten­schutz — der Lan­des­da­ten­schutz­be­auf­trag­te prüft nach

Im April letz­ten Jah­res hat der Ham­bur­ger Lan­des­da­ten­schutz­be­auf­trag­te Johan­nes Cas­par ver­stärk­te Daten­schutz­kon­trol­len bei Unter­neh­men ange­kün­digt und dies auch in die Tat umge­setzt. Über 700 Unter­neh­men aus den Berei­chen Spe­di­ti­on, Immo­bi­li­en, Arbeits­ver­mitt­lung, Pfle­ge­diens­te und Arzt­pra­xen stan­den auf der Prüf­lis­te. Die Ergeb­nis­se einer ers­ten Befra­gung lie­gen nun vor.

Wäh­rend Logis­tik- und Pfle­ge­un­ter­neh­men so gut wie kei­nen Grund zur Bean­stan­dung gaben, ist wohl jedes zehn­te Immo­bi­li­en­un­ter­neh­men der Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten nicht nachgekommen.

Cas­par sieht dies posi­tiv, denn er wer­tet die Beach­tung der Bestell­pflicht als Zei­chen, daß sich der Umgang mit dem The­ma Daten­schutz in den Unter­neh­men ver­bes­sert hat. Er schränkt dies jedoch sogleich wie­der ein und kün­digt Vor-Ort-Über­prü­fun­gen an. Zwei­fel über­kom­men ihn bei man­chen Anga­ben, wie die von Unter­neh­men mit mehr als hun­dert Mit­ar­bei­tern, von denen ledig­lich zwei (2!) mit per­so­nen­be­zo­ge­nen Daten gem. Bun­des­da­ten­schutz­ge­setz in Kon­takt kom­men. Die Zwei­fel schei­nen berech­tigt. Zusätz­lich wer­den die Über­prü­fun­gen nun auf wei­te­re Bran­chen ausgeweitet.

Im Kon­flikt mit der ECE-Grup­pe um all­zu über­mä­ßig ein­ge­setz­te Video­über­wa­chung in einem Ham­bur­ger Ein­kaufs­zen­trum hat Cas­par einn Erfolg vor­zu­wei­sen. 24 Kame­ras, die all­zu frei­zü­gig auf­zeich­ne­ten, wur­den auf Druck sei­ner Behör­de mitt­ler­wei­le ent­fernt. Ein deut­li­ches Signal an alle Unter­neh­men, die es mit der Legi­ti­ma­ti­on und dem Umfang die­ses durch­aus pro­ba­ten und zuläs­si­gen Mit­tels nicht sehr genau nehmen.

Hat Ihr Unter­neh­men eigent­lich einen Daten­schutz­be­auf­trag­ten? Liegt eine Bestell­pflicht vor? Unwis­sen­heit schützt vor Stra­fe nicht, Buß­gel­der dro­hen! Spre­chen Sie mich an oder for­dern Sie gleich ein pas­sen­des Ange­bot an.

Nichts dazu­ge­lernt? Unter­neh­men pfei­fen auf Datenschutz

Sony, Face­book und jetzt Necker­mann — bekann­te Mar­ken kämp­fen mit Daten­pan­nen. Par­al­lel dazu lie­fert eine Umfra­ge von TNS-Emnid im Auf­trag von PwC ein umso erstaun­li­che­res Ergeb­nis: Deut­sche Unter­neh­men pfei­fen auf Daten­schutz.

Ver­zerr­te Eigenwahrnehmung

Jeder vier­te Daten­schutz­be­auf­trag­te der 1.000 größ­ten deut­schen Unter­neh­men wur­de im Rah­men der Stu­die befragt. Zwei Drit­tel der Befrag­ten ant­wor­ten, Daten­schutz wür­de in ihrem Unter­neh­men als wich­tig wenn nicht sogar sehr wich­tig betrach­tet. Die Mei­nungs­for­scher schau­ten genau­er hin: so wird ledig­lich in 4 von 10 Unter­neh­men ein regel­mä­ßi­ger Daten­schutz­be­richt ange­for­dert. 25% der Befrag­ten erstel­len den Bericht unre­gel­mä­ßig und in 35% der Unter­neh­men wird die­ser erst gar nicht erstellt.

Kos­ten sparen

Das ist das vor­herr­schen­de Mot­to in den Unter­neh­men laut den Mei­nungs­for­schern, auch beim The­ma Daten­schutz. Feh­len­de per­so­nel­le Res­sour­cen des Daten­schutz­be­auf­trag­ten gepaart mit man­geln­der Ein­bin­dung in inter­ne Kom­mu­ni­ka­ti­on und Pla­nun­gen machen den Stel­len­wert des The­mas deut­lich. So wer­den bei­spiels­wei­se bei der Ein­füh­rung neu­er Daten­ver­ar­bei­tungs­sys­te­me nur in maxi­mal 60% der Unter­neh­men die Daten­schutz­be­auf­trag­ten in die wich­ti­ge Pla­nungs­pha­se mit eingebunden.

Die Hoff­nung stirbt zuletzt

Bleibt der Trost, daß in 2 von 3 Fäl­len einer Daten­schutz­ver­let­zung Unacht­sam­keit die Ursa­che war. Bei vier von zehn Vor­fäl­len war den Betei­lig­ten nicht mal bewußt, daß gegen bestehen­de Daten­schutz­ge­set­ze ver­sto­ßen wird.

Risi­ko für Unternehmen

Man­geln­der Daten­schutz birgt jedoch für Unter­neh­men ein nicht unbe­deu­ten­des Risi­ko, Buß­gel­der und Stra­fen sei­tens der Lan­des­da­ten­schutz­be­hör­den auf­er­legt zu bekom­men. Durch die Novel­lie­rung des Buß­geld­ka­ta­logs im Bun­des­da­ten­schutz­ge­setz in 2009 ste­hen kon­kre­te Buß­geld­ri­si­ken für jedes Unter­neh­men und jeden Unter­neh­mer im Raum — und das nicht erst, wenn es zu einer Daten­pan­ne gekom­men ist. Untä­tig­keit, feh­ler­haf­te oder feh­len­de Rege­lun­gen in der sog. Auf­trags­da­ten­ver­ar­bei­tung (Out­sour­cing), feh­len­de oder zu spä­te oder pro for­ma Bestel­lung eines Daten­schutz­be­auf­trag­ten sind nur eini­ge Punk­te, die ganz ohne Daten­pan­ne zu einem Buß­geld führen.

Und wer glaubt, Geld zu spa­ren, bis es das Unter­neh­men im Rah­men einer Stich­pro­be, einer Beschwer­de oder im schlimms­ten Fall einer Daten­pan­ne erwischt und meint, sich dann erst des The­mas anneh­men zu müs­sen, für den hält § 43 BDSG Absatz 3 eine klei­ne Über­ra­schung parat: Die Geld­bu­ße soll den wirt­schaft­li­chen Vor­teil, den der Täter aus der Ord­nungs­wid­rig­keit gezo­gen hat, über­stei­gen. Rei­chen die in Satz 1 genann­ten Beträ­ge hier­für nicht aus, so kön­nen sie über­schrit­ten wer­den.” Die Rech­nung kann also nicht aufgehen.

Chan­cen nutzen

Dabei kann Daten­schutz viel mehr sein, als die rei­ne Ver­mei­dung von Buß­gel­dern und Auf­la­gen. Moder­ne Unter­neh­men nut­zen die Chan­ce, um sich durch kon­se­quen­ten Daten­schutz vom Wett­be­werb abzu­he­ben. Sie set­zen nicht nur das gesetz­lich vor­ge­schrie­be­ne Min­dest­maß um, son­dern nut­zen Daten­schutz — oft in Ver­bin­dung mit Qua­li­täts­ma­nage­ment­pro­gram­men -, um kon­se­quent bes­ser zu wer­den und Vor­tei­le für sich zu nut­zen. Und die Vor­tei­le sind weit gefä­chert: begin­nend vom Qua­li­täts­merk­mal, um sich von Wett­be­wer­bern posi­tiv zu unter­schei­den, über Daten­schutz als Kun­den­bin­dungs­in­stru­ment bis hin zu den mög­li­chen Kos­ten­sen­kungs­po­ten­tia­len bei IT-Ausfällen.

Was kön­nen Sie tun?

Prü­fen Sie, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht vor­liegt! Wenn ja, dann holen Sie sich ein Ange­bot ein, um die wei­te­re Vor­ge­hens­wei­se und mög­li­che Kos­ten abzu­stim­men. Wenn nein, dann leh­nen Sie sich nicht zurück. Jetzt müs­sen Sie als Geschäfts­füh­rer /​ Unter­neh­mer selbst ran, um die gesetz­li­che vor­ge­schrie­be­nen Maß­nah­men zum Daten­schutz in Ihrem Unter­neh­men sicher­zu­stel­len. Feh­len Ihnen das Know-How und die Zeit? Auch dann ste­he ich Ihnen als Bera­ter mit mei­nen Leis­tun­gen zur Sei­te — ganz ohne Bestel­lung zum Daten­schutz­be­auf­trag­ten. Spre­chen Sie mich an. Die schlech­tes­te Alter­na­ti­ve: nichts tun und abwar­ten — das wird teuer!

Die mobile Version verlassen