Was macht ein Datenschutzbeauftragter?
Von DSGVO hat mittlerweile schon jeder noch so kleine Unternehmer gehört. Doch weshalb ist die Beachtung der DSGVO so wichtig? Was passiert, wenn Sie die Vorgaben nicht einhalten? Und was genau macht eigentlich ein Datenschutzbeauftragter? Um diese Themen geht es in dem aktuellen Blogartikel.
DSGVO – Riskiere ich ein Bußgeld von bis zu 20 Millionen Euro?
20 Millionen Euro? Das klingt zunächst ziemlich überzogen. Doch der Bußgeldkatalog der DSGVO (Datenschutz-Grundverordnung) sieht tatsächlich Geldbußen in dieser Höhe vor. Die Aufsichtsbehörde darf sogar Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres als Geldbuße verhängen.
Maßgeblich ist nicht der geringere, sondern der höhere der beiden Werte! Damit Sie nicht, wie so viele andere, in die Falle tappen und alle nötigen Maßnahmen ergreifen können, möchte ich Ihnen gerne im Folgenden einige Grundlagen zum Thema DSGVO an die Hand geben.
Wie hoch ist das Bußgeld tatsächlich?
Wie hoch ein Bußgeld letztendlich ausfällt, hängt von einer Vielzahl unterschiedlicher Faktoren ab. Im Allgemeinen berechnet die Aufsichtsbehörde der DSGVO die Bußgelder nach folgendem Schema:
Die Kernfrage, die sich uns nun stellt, ist also nicht „wie hoch“, sondern viel mehr „ist ein Bußgeld vermeidbar“? Und brauche ich einen Datenschutzbeauftragten oder kann ich mich selbstständig absichern?
Brauche ich einen Datenschutzbeauftragten?
Viele Einzelunternehmer denken im ersten Moment, ein Datenschutzbeauftragter wäre nur für größere Konzerne oder Unternehmen, die mit Big-Data hantieren, von Nöten. Das ist nicht falsch. Wenn ein Unternehmen mehr als zwanzig Mitarbeiter beschäftigt, sensible Daten verarbeitet (oder verwendet) und eventuell noch ein Geschäftsmodell verfolgt, dass auf der Erhebung von personenbezogenen Daten basiert, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden.
Doch um das bestehende Risiko möglicher Bußgelder maßgeblich zu minimieren, empfehle ich jedem Unternehmen auch unter 20 Mitarbeitern sich mit einem professionellen Datenschutzbeauftragten auseinander zu setzten. Auch wenn es nur darum geht, das gesamte Konstrukt einmalig aufzusetzen. Allein dieses Vorgehen senkt das Risiko von Datenschutzverstößen und damit auch das Risiko, ein Bußgeld gem. DSGVO verhängt zu bekommen.
Die Aufgaben eines Datenschutzbeauftragten bestehen in der Beratung der Geschäftsführung zu Datenschutzthemen. Dafür muss er die komplette Betriebsstruktur analysieren und die Prozesse auf datenschutzrechtliche Relevanz prüfen. Der Datenschutzbeauftragte kann aus dem Unternehmen herauskommen, oder man bedient sich an einem externen Datenschutzbeauftragten.
Um Ihnen die Arbeit eines Datenschutzbeauftragten ein Stück näher zu bringen, erkläre ich Ihnen, wie ich als professioneller Datenschutzbeauftragter vorgehe, um meine Klienten bestmöglich zu schützen.
Sollten Sie Fragen haben oder ein kostenloses Erstgespräch in Anspruch nehmen wollen, stehe ich Ihnen als zertifiziertes Mitglied des BvD. Ev. (Berufsverband Datenschutzbeauftragten Deutschlands) selbstverständlich jederzeit zur Verfügung.
Wie sieht das mögliche Vorgehen eines Datenschutzbeauftragten aus?
Angestrebtes Ziel: Aus den gesetzlich geregelten Aufgaben des Datenschutzbeauftragten geht kein Arbeitsablauf hervor. Die Vorgaben von Datensicherheit und aus vorhandener Dokumentation ergeben jedoch ein klareres Bild des Arbeitsablaufs.
1. Ordnungsgemäße Bestellung des Datenschutzbeauftragten
Gem. der Datenschutz-Grundverordnung muss ein Auftrag offiziell erfolgen und der zuständigen Landesdatenschutzbehörde gemeldet werden. Der Datenschutzbeauftragte kann aus dem Unternehmen herauskommen, oder man bedient sich eines externen Datenschutzbeauftragten.
2. Offizielle Vorstellung des DSB im Unternehmen
Transparenz ist an dieser Stelle sehr wichtig. Schließlich geht es um Datenschutz. Damit jeder Mitarbeiter eines Unternehmens über den Einsatz des Datenschutzbeauftragten Bescheid weiß, ist es die Aufgabe der Geschäftsführung, den Datenschutzbeauftragten entsprechend vorzustellen. Auch Hauszeitung, interner Newsletter oder das schwarze Brett können genutzt werden. Es folgt die Nennung auf der Webseite, um auch für Personen außerhalb des Unternehmens ansprechbar zu sein. Ein professioneller Datenschutzbeauftragter stellt sich auch persönlich bei der IT, in der Personalabteilung, dem Betriebsrat und dem IT-Sicherheitsbeauftragten vor. Diese Abteilungen sind in der Regel die Unternehmensorgane, mit denen ein Datenschutzbeauftragter eng zusammenarbeitet.
3. Erfassung der IST-Situation
Mit Hilfe von Befragungen und Rundgänge im Konzern muss sich der Datenschutzbeauftragte zunächst einen Überblick darüber verschaffen, wo personenbezogene Datenverarbeitung stattfindet. Damit diese dann sauber und strukturiert für die folgenden Dokumentationen erfasst werden kann.
Um das Vorgehen des Datenschutzbeauftragten nicht immer wiederholen zu müssen, ist es sinnvoll, den Datenschutzbeauftragten bei zukünftigen Verfahren vorab zu informieren und wenn möglich gleich zu integrieren. Sind Vorabkontrollen bei der Verarbeitung besonderer personenbezogener Daten nötig, muss der Datenschutzbeauftragte involviert werden.
4. Vorhandene Dokumentation
Um den Überblick zu behalten, erhält der Datenschutzbeauftragte von der IT ein Verfahrensverzeichnis. Das Verzeichnis zeigt auf, wo personenbezogene Daten verarbeitet werden und der Datenschutzbeauftragte kann diese Daten mit seinen eigenen Dokumentationen abgleichen. Dazu erhält er eine Auflistung der verwendeten Hard- und Software und eine Übersicht der Zugriffsberechtigungen.
Sind diese Dokumentationen nicht vorhanden, müssen sie erstellt werden.
5. Verarbeitungsverzeichnis und die Technisch-organisatorischen Maßnahmen (TOM)
Ziel oder besser formuliert, das Ergebnis der Schritte 3 & 4 ist zum einen das „Verarbeitungsverzeichnis“ und zum anderen das „TOM“
Verarbeitungsverzeichnis
Ein Verarbeitungsverzeichnis zu führen, betrifft so gut wie Jeden, der personenbezogene Daten verarbeitet und ist demnach Pflicht. Es muss akribisch dokumentiert werden, wie Unternehmer mit personenbezogenen Daten umgehen. Als Unternehmer nutzen Sie das Verarbeitungsverzeichnis, um folgendes festzuhalten: Welche Art von Daten Sie speichern, auf welcher Rechtsgrundlage dies geschieht, wie lange bestimmte Daten gespeichert werden, an wen diese personenbezogenen Daten weitergegeben werden, wie sie geschützt werden und vieles mehr.
Technisch-organisatorischen Maßnahmen (TOM)
Jeder Verantwortliche (inkl. des Auftragsverarbeiters) ist dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist. Hierbei muss er einiges berücksichtigen, um die Maßnahmen entsprechend zu bestimmen:
- den Stand der Technik
- die Implementierungskosten
- Art, Umfang, Umstände und Zweck der Verarbeitung
- die Eintrittswahrscheinlichkeit
- die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
6. Schulung von Mitarbeitern, Leitungsebene und Geschäftsleitung
Zu den Aufgaben des Datenschutzbeauftragten zählt auch die Schulung der Mitarbeiter. Unter Zuhilfenahme eines Schulungskonzepts sollen alle Beteiligten für den Umgang mit personenbezogenen Daten sensibilisiert werden.
7. Prüfung und Kontrolle der Datenverarbeitung
Auch nachdem das Grundgerüst fertig gestellt wurde, hat der Datenschutzbeauftragte weiterhin die Aufgabe regelmäßig die dokumentierten Themen zu überprüfen und zu kontrollieren. Meist nutzt der er hierfür unangekündigte Stichproben.
8. Tätigkeitsbericht
Einmal jährlich legt der Datenschutzbeauftragte der Geschäftsleitung seinen Tätigkeitsbericht vor. Um Bilanz ziehen zu können, präsentiert er diesen unter anderem auf der Betriebsversammlung. Im Tätigkeitsbericht des Datenschutzbeauftragten sind die umgesetzten Verbesserungen genauso erwähnt wie die noch notwendigen Optimierungsmaßnahmen in Bezug auf den Datenschutz, bzw. die Verarbeitung personenbezogener Daten. Dieser Bericht zeigt gleichzeitig Fortschritt und Verbesserungsnotwendigkeiten auf.
9. Ziel Datenschutzkonzept
Das Unternehmen kann dann auch samt Angebot und/ oder Produkten zertifiziert werden. Eine Datenschutzzertifizierung schafft zusätzliches Vertrauen bei Kunden und Auftraggebern und wird als Marketing- und Vertriebsinstrument gerne genutzt. Dafür erforderlich ist ein im Unternehmen platziertes Datenschutzkonzept, dass ich (auch unabhängig von einer Zertifizierung) ganz klar empfehle.
Wie vermeide ich also als Unternehmen ein DSGVO Bußgeld?
- Bestellen Sie unbedingt einen Datenschutzbeauftragten oder einen Anwalt
- Richten Sie sämtliche Prozesse im Unternehmen nach der DSGVO aus
- Holen Sie für eine Datenverarbeitung immer eine Einwilligung ein
- Melden Sie Datenschutzverletzungen schnellstmöglich. Das verhindert ein Bußgeld zwar nicht, aber eine kooperative Zusammenarbeit kann das Bußgeld erheblich mindern (siehe Grafik)
Bald gibt es mehr zum Thema DSGVO!
Um Ihnen als Berater bestmöglich zur Seite zu stehen, wird es bald weitere informative Artikel zum Thema DSGVO geben.
Hier ein kleiner Ausblick auf das, was noch kommt:
- Wie gehe ich bei einem DSGVO-Verstoß konkret vor?
- Das DSGVO Bußgeld im Detail
- Benennung und Stellung von Datenschutzbeauftragten
- Welche konkreten Aufgaben hat ein Datenschutzbeauftragter?
- Das „Verarbeitungsverzeichnis“
- Das „TOM“ (Technisch-organisatorischen Maßnahmen)
- Unterstützenden Software
Sie wollen nichts verpassen?
Dann tragen Sie sich jetzt für unseren kostenlosen Newsletter ein!
Falls Sie genug haben, können Sie den Newsletter jederzeit mit einem Klick wieder abbestellen..