Schon gewusst?

"Gelebter Datenschutz ist die Visitenkarte eines modernen Unternehmens!"

Vom BDSG zur EU-DSGVO

"Sind Sie bereit für den nächsten Schritt im Datenschutz?"

Kein Datenschutz ohne Datensicherheit

"Realisieren Sie Zusatznutzen bei der Implementierung eines gesetzeskonformen Datenschutzes."

Sind Sie sicher?

"Der gesetzliche Vertreter des Unternehmens haftet für einen mangelhaften Datenschutz."

Häufige Fragen

Um was geht es beim Datenschutz nach dem Bundesdatenschutzgesetz überhaupt?

Bereits 1983 hat das Bundesverfassungsgericht in seinem Urteil zur Volkszählung festgehalten, dass jeder Mensch grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen soll. Dies war auch die Intention hinter der von der Europäischen Union 1995 beschlossenen Leitlinie, die anschließend von den EU-Staaten im Rahmen nationaler Gesetzgebung - in Deutschland mit dem Bundesdatenschutzgesetz (BDSG) - umgesetzt wurde. Das BDSG gilt für die Erhebung, Bearbeitung und Nutzung sämtlicher Formen personenbezogener Daten im nicht-privaten Bereich, sofern dazu nicht bereits eine spezifische Regelung in einem anderen Gesetz existiert. Somit sind Unternehmen, Behörden, Vereine und sonstige Insitutionen zur Einhaltung der im BDSG enthaltenen Vorgaben verpflichtet. Personenbezogene Daten sind dabei alle Arten von Daten, die sich direkt oder indirekt einer natürlichen Person zuordnen lassen, wie z.B. Name, Anschrift, Kreditkartennummer, IP-Adresse und Körpermaße, aber auch Hobbys, Krankheiten, ethnische Zugehörigkeit, persönliche Interessen und Vorlieben oder politische sowie religiöse Überzeugungen. Unternehmen sind verpflichtet, sämtliche im Rahmen ihrer Geschäftstätigkeit anfallenden personenbezogenen Daten gemäß den Vorgaben des BDSG zu handhaben, d.h. insbesondere für deren gesetzeskonformen Schutz zu sorgen. Dies sind zunächst einmal die personenbezogenen Daten der eigenen Beschäftigten, aber auch diejenigen von Privatkunden bzw. Ansprechpartner von Geschäftskunden, sowie dementsprechend auch von Lieferanten, Dienstleister usw.

Wann brauche ich für mein Unternehmen einen Datenschutzbeauftragten?

Bereits 1983 hat das Bundesverfassungsgericht in seinem Urteil zur Volkszählung festgehalten, dass jeder Mensch grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen soll. Dies war auch die Intention hinter der von der Europäischen Union 1995 beschlossenen Leitlinie, die anschließend von den EU-Staaten im Rahmen nationaler Gesetzgebung - in Deutschland mit dem Bundesdatenschutzgesetz (BDSG) - umgesetzt wurde. Das BDSG gilt für die Erhebung, Bearbeitung und Nutzung sämtlicher Formen personenbezogener Daten im nicht-privaten Bereich, sofern dazu nicht bereits eine spezifische Regelung in einem anderen Gesetz existiert. Somit sind Unternehmen, Behörden, Vereine und sonstige Institutionen zur Einhaltung der im BDSG enthaltenen Vorgaben verpflichtet. Personenbezogene Daten sind dabei alle Arten von Daten, die sich direkt oder indirekt einer natürlichen Person zuordnen lassen, wie z.B. Name, Anschrift, Kreditkartennummer, IP-Adresse und Körpermaße, aber auch Hobbys, Krankheiten, ethnische Zugehörigkeit, persönliche Interessen und Vorlieben oder politische sowie religiöse Überzeugungen. Unternehmen sind verpflichtet, sämtliche im Rahmen ihrer Geschäftstätigkeit anfallenden personenbezogenen Daten gemäß den Vorgaben des BDSG zu handhaben, d.h. insbesondere für deren gesetzeskonformen Schutz zu sorgen. Dies sind zunächst einmal die personenbezogenen Daten der eigenen Beschäftigten, aber auch diejenigen von Privatkunden bzw. Ansprechpartner von Geschäftskunden, sowie dementsprechend auch von Lieferanten, Dienstleister usw.

Was bringt mir ein Datenschutzbeauftragter?

Der betriebliche Datenschutzbeauftragte ist direkt der Geschäftsleitung als verantwortliche Stelle unterstellt. Er berät die Geschäftsleitung in allen Fragen zum Thema Datenschutz und wirkt auf die Einhaltung der gesetzlichen Auflagen zum Datenschutz hin. Insbesondere sorgt er dafür, dass alle MItarbeiter bedarfsgerecht im Datenschutz unterwiesen und auf dessen Einhaltung verpflichtet werden. Außerdem wird er dafür Sorge tragen, dass die vom Gesetzgeber geforderten Dokumentationen vorhanden sind und ggf. auf den Abschluss von Verträgen zur Auftragsdatenverarbeitung hinwirken. Ein ganz wesenlicher Punkt ist die Einhaltung der gesetzlichen Anforderungen zu den sog. technischen und organisatorischen Maßnahmen (TOM), die insbesondere die Unternehmens-IT betreffen. Gerade hierdurch wird quasi als Nebeneffekt oftmals eine deutliche Verbesserung der IT-Sicherheit erreicht, die dem gesamten Unternehmen hinsichtlich Ausfallsicherheit und Schutz sensibler Firmendaten zugute kommt. Außerdem ist der Datenschutzbeauftragte erster Ansprechpartner zu allen Datenschutzfragen für Mitarbeiter, Kunden, Lieferanten, Behörden uns sonstigen Institutionen und Einzelpersonen. Kurz gesagt: Der Datenschutzbeauftragte sorgt dafür, dass das Unternehmen in Datenschutzfragen sauber dasteht und somit die Haftungsrisiken für die verantwortliche Stelle minimiert werden.

Interner oder externer Datenschutzbeauftragter?

Jedem Unternehmen, das verpflichtet ist, einen betrieblichen Datenschutzbeauftragten (DSB) zu bestellen, ist es freigestellt, hierzu einen eigenen Mitarbeiter zu verpflichten (interner DSB) oder einen externen Dienstleister zu beauftragen (externer DSB). Für beide Varianten kann es gute Gründe geben. Um zu entscheiden, welche im jeweiligen Fall die bessere ist, sollte man sich die Anforderungen des Gesetzgebers an einen DSB in Erinnerung rufen:

  • Sachkunde: DSB ist zwar ein Berufsbild, jedoch kein Ausbildungsberuf. Zum DSB kann sich grundsätzlich jeder weiterbilden lassen, wobei es aber einen deutlicher Hinweis auf die benötigten Qualifikationen darstellt, dass es sich bei externen DSB, die diese Tätigkeit als professionelle Dienstleistung anbieten, fast ausschließlich um Juristen oder ITler handelt. Im Falle eines internen DSB ist also zunächst ein Mitarbeiter mit einer geeigneten Grundqualifikation und Interesse an dieser Tätigkeit zu finden, der dann noch auf eine entsprechende Schulung zu schicken ist. Außerdem muss sich ein DSB kontinuierlich und nachweislich weiterbilden, wozu auch der Besuch mindestens einer entsprechenden Schulungs- oder Informationsveranstaltung pro Jahr gehört. Ein externer DSB, der diese Tätigkeit hauptberuflich ausübt, kann hier verständlicherweise einen ganz anderen Kenntnisstand erreichen als ein interner DSB, der sich nur einige Stunden pro Woche um den Datenschutz in seinem Unternehmen kümmert. Die Kosten hierfür verteilen sich bei einem externen DSB außerdem auch auf mehrere Kunden. Andererseits kennt die Geschäftsleitung den internen DSB bereits aus seiner bisherigen Tätigkeit und dieser wiederum kennt - zumindest zum Teil - das Unternehmen und seine Abläufe. Bei einem externen DSB besteht das Risiko, auf ein "schwarzes Schaf" der Branche hereinzufallen (worauf übrigens oftmals eine sehr niedrige Monatspauschale hindeutet) und in jedem Fall muss dieser das Unternehmen erst einmal kennenlernen. Dafür verfügt der externe DSB über ungleich mehr Routine und profitiert von den Erfahrungen aus seinen anderen Kundenmandaten.
  • Zuverlässigkeit: Hiermit ist zunächst einmal ganz klassisch gemeint, dass der DSB charakterlich geeignet ist, um die Tätigkeit eines DSB mit der gebotenen Sorgfalt, einem entsprechenden Verantwortungsbewusstsein und der notwendigen Standhaftigkeit im Konfliktfall auszuüben. Bei einem eigenen Mitarbeiter, den man bereits seit Jahren kennt, fällt diese Einschätzung naturgemäß leichter, als bei einem externen Dienstleister, den man vielleicht nur nach einem einzigen persönlichen Gespräch einschätzen muss. Empfehlungen anderer Kunden können hier hilfreich sein.
  • Unabhängigkeit: Dies ist oftmals ein ganz entscheidender Punkt bei der Überlegung, wer als DSB infrage kommt. Die für den Datenschutz verantwortliche Person soll sich nicht selbst kontrollieren können, d.h. Vertreter der Geschäftsleitung und Abteilungsleiter der IT, des Vertriebs, der Personal- oder Rechtsabteilung scheiden von vornherein aus. Gleichzeitig sollte es aber idealerweise ein Mitarbeiter mit einem gewissen juristischen oder besser noch einem fundierten informations-technologischen Basiswissen sein. In jedem Fall muss er in Konfliktsituationen auch gegenüber seinen eigentlichen Vorgesetzten oder gar der Geschäftsleitung das Datenschutzrecht vertreten können, weswegen interne DSB einen weitreichenden Kündigungsschutz genießen. Ein externer DSB ist per se unabhängig - wenn man einmal davon absieht, dass er es sich natürlich trotzdem nicht mit ihrem Auftraggeber verscherzen will Aber grundsätzlich die Tätigkeit des  DSB zum Wohle und im Interesse des Auftraggebers - bzw. im Falle des internen DSB des Arbeitgebers - auszuüben, ist ja auch nichts Verwerfliches - im Gegenteil: Die Beratung der Geschäftsleitung in allen Fragen zum Datenschutz ist schließlich eine der originären Aufgaben eines betrieblichen DSB. Nur muss in jedem Fall eine professionelle Distanz gewahrt bleiben, um den Anforderungen, die der Gesetzgeber an einen DSB stellt, gerecht zu werden.
  • Zeit, Räumlichkeiten und Arbeitsmittel: Diese Dinge sind einem internen DSB vom Arbeitgeber zu stellen; ein externer DSB verfügt selbst darüber bzw. bringt sie mit. Konkret muss ein interner DSB vom Arbeitgeber in angemessenem Umfang von seiner sonstigen Tätigkeit freigestellt werden. Wieviele Stunden dies pro Woche oder Monat sind, hängt sowohl von der Unternehmensgröße als auch von der Art der Geschäftstätigkeit des Unternehmens ab. Außerdem benötigt der interne DSB einen eigenen Raum, in dem er z.B. vertrauliche Gespräche mit Mitarbeitern führen kann, und entsprechend Arbeitsmittel zur Ausübung seiner Tätigkeit.

Pauschal kann man sagen, dass sich ein interner DSB in erster Linie in größeren Unternehmen lohnt, in denen er aufgrund des Arbeitsumfangs in Vollzeit als DSB tätig ist. In kleineren und mittleren Unternehmen dürfte zumeist ein externer DSB die besser Wahl sein. Aber dies ist keine pauschale Regel - es ist immer der Einzelfall zu betrachten. Auch Mischformen - interner DSB mit situativer Beratung/Unterstützung durch einen externen Dienstleister - können einen Überlegung wert sein.

Mein Unternehmen ist zu klein, um einen Datenschutzbeauftragten bestellen zu müssen - also bin ich doch beim Thema "Datenschutz" fein raus?

So einfach ist es leider nicht. Die datenschutzrechtlichen Anforderungen des Gesetzgebers bei der Handhabung personenbezogener Daten sind grundsätzlich bei einem Selbständigen die gleichen wie bei einem Großkonzern. Die verantwortliche Stelle ist in jedem Fall die - je nach Rechtsform - die entsprechende juristrische bzw. natürliche Person. Ein Datenschutzbeauftragter soll diese lediglich bei der Erfüllung der geforderten Aufgaben unterstützen bzw. ihr die entsprechenden Tätigkeiten weisungsgemäß abnehmen. D.h. ohne Datenschutzbeauftragten fällt lediglich diese Unterstützung (owie der Entfall einer ggf. notwendigen Meldepflicht von datenschutzrelevanten Verfahren an die Datenschutzaufsichtsbehörde) weg - ansonsten ändert sich praktisch nichts. Auch wenn Sie also keinen Datenschutzbeauftragten bestellen müssen, ist es sehr ratsam, sich zu dem Thema aufklären zu lassen und zumindest punktuell Unterstützung zu holen.

Bisher war Datenschutz bei uns noch nie ein Thema und wir hatten trotzdem keine Probleme  - warum sollten wir uns also damit belasten?

In der Vergangenheit hatten tatsächlich viele kleine und mittlere Unternehmen wenig Berührung mit dem Thema "Datenschutz", sofern die Verarbeitung personenbezogener Daten nicht gerade ihr Geschäftszweck war oder es zu einem Datenschutzvorfall kam. Die chronisch unterbesetzen Ausichtsbehörden sind selten durch nicht-anlassbezogene Prüfungen in Erscheinung getreten. Und wenn doch, dann waren die Strafzahlungen zumeist überschaubar. Aber mit der Einführung der EU-DSGVO wird sich hier einiges ändern. Die Höchstgrenzen für Strafzahlungen werden um ein Vielfaches angehoben, die Unternehmen werden deutlich mehr in die Nachweispflicht genommen und aufgrund der immer weiter anwachsenden Datenflut werden auch Datenschutzvorfälle zunehmend wahrscheinlicher. Unternehmen und deren gesetzliche Vertreter, die hiervor weiterhin die Augen verschließen, gehen ein hohes Risiko ein. Eine Geschäftsleitung, die erst reagiert nachdem etwas passiert ist, wird ihrer Verantwortung nicht gerecht. Und auf entsprechende Anfragen von Kunden, die bei sich bereits einen angemessenen Datenschutz implementiert haben, nicht angemessen antworten zu können, ist im besten Fall peinlich und kostet im schlechtesten Fall Aufträge.

Was hat es mit der Europäischen Datenschutzgrundverordnung auf sich?

Siehe hier.