Unternehmen brauchen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten. Diese Voraussetzungen sind im Bundesdatenschutzgesetz festgelegt. Viele Unternehmen möchten sich auch ohne die Bestellungspflicht eines Datenschutzbeauftragten absichern und lassen einen Mitarbeiter entsprechend schulen, damit sie den Anforderungen an den Datenschutz gerecht werden können.
Die Ausbildung zum Datenschutzbeauftragten
Ein Unternehmen wird sich auf einen Mitarbeiter für die Weiterbildung zum Datenschutzbeauftragten fokussieren, der ohnehin mit Daten zu tun hat und grundlegende Kenntnisse in dem Bereich ggf. mitbringt. Die IHK bietet einwöchige Kurse an, die mit dem Nachweis „Betrieblicher Datenschutzbeauftragter (IHK)“ oder „Betrieblicher und externer Datenschutzbeauftragter (IHK)“ abgeschlossen werden. Doch auch private Bildungsanbieter können auf die entsprechenden Tests und Präsentationen vorbereiten und je nach Zusammenarbeit mit den Kammern vor Ort diese Abschlussprüfungen abnehmen lassen.
Die Inhalte der Ausbildung sind rechtliche Themen, die Aufgaben eines Datenschutzbeauftragten und die IT bzw. technische Seite des Datenschutzes. Das Datenschutzgesetz wird gelegentlich aktualisiert, so dass die aktuellen Gesetze behandelt werden, auf welcher Rechtsgrundlage Datenschutz ausgeübt werden kann und wann eine Datenverarbeitung zulässig ist. In der IT Sicherheit geht es um Basistechnologien und die Organisation des Datenschutzes.
Die Aufgaben des Datenschutzbeauftragten
Mit seiner Bestellung wird der Datenschutzbeauftragte das Datenschutzniveau im Unternehmen überprüfen und wenn nötig auf das erforderliche Niveau anpassen. Im Folgenden ist es dann seine Aufgabe, dieses Niveau stetig zu halten und zu optimieren. Dafür prüft der Datenschutzbeauftragte, ob die Vorschriften der DSGVO eingehalten werden und entwickelt ein Konzept, das Maßnahmen beinhaltet, die einen ausreichenden Datenschutz gewährleisten.
Des Weiteren überwacht der Datenschutzbeauftragte die Datenverarbeitung im Unternehmen und beugt Verstößen so vor oder greift sofort ein und bessert nach.
Die Verarbeitungstätigkeiten werden dokumentiert und regelmäßig aktualisiert. Außerdem muss das Risiko für die Datenverarbeitung bewertet werden, sobald personenbezogene Daten weiterverarbeitet werden.
Dem Datenschutzbeauftragten obliegt die Aufgabe, Mitarbeiter im Unternehmen zu schulen. Das bezieht sich sowohl auf den Datenschutz von personenbezogenen Daten, aber auch auf den Umgang mit der Technik und der Datensicherung. Verbunden mit dieser Aufgabe, ist er Ansprechpartner für die Mitarbeiter und auch für Kunden oder Geschäftspartner, wenn Fragen zum unternehmensinternen Datenschutz aufkommen.
Interdisziplinäre Zusammenarbeit
Je größer ein Unternehmen, desto mehr Mitarbeiter und Abteilungen haben mit personenbezogenen Daten zu tun. Der Datenschutzbeauftragte wird daher mit allen Abteilungen zusammen arbeiten und muss ein Datenschutzkonzept erarbeiten, das allen Belangen gerecht wird. Dies Konzept und die Grundlagen des Datenschutzes, muss er den Mitarbeitern dann entsprechend vermitteln.
Die IT-Abteilung hat üblicherweise einen sehr umfassenden Zugriff auf jegliche Daten, daher ist der Schulungsbedarf hier auch am höchsten. In der Praxis wird der Datenschutzbeauftragte auch mit dieser Abteilung am engsten zusammen arbeiten, weil hier Zugriffsrechte gemanagt und erteilt werden, was darüber mit bestimmt, wer zusätzlich Zugriff auf sensible Daten bekommt.
Die personenbezogenen Arbeitnehmerdaten laufen in der Personalabteilung zusammen. Daher ist auch hier besonders auf den Datenschutz zu achten. Speziell im Hinblick auf die Personalbeschaffung gibt es Vorschriften zum Umgang mit den Bewerberdaten und Löschfristen, deren Einhaltung vorgeschrieben und kontrolliert werden muss.
Einkauf, Verkauf und Marketing arbeiten ebenfalls mit Daten, die besonders zu schützen sind. Mailadressen für den Newsletterversand fallen hier ebenso darunter wie die Adressen von Kunden oder Lieferanten.
Gibt es Firmenwägen, müssen Führerscheine überprüft werden. Das Personal, das den Fuhrpark managt, muss geschult werden, weil sie bei dieser Überprüfung personenbezogene Daten erheben.
Die Betreuer des Webauftritts müssen mit der Cookie-Regelung vertraut gemacht werden und Webangebote so darstellen, dass Nutzer auf das hingewiesen werden, was im Hintergrund abläuft. Zudem sollten Möglichkeiten angeboten werden, spezielle Hintergrunddienste zur Analyse oder zum Marketing abzulehnen. Der Datenschutzbeauftragte berät mit der Abteilung, wie Datenschutz im Internet gewährleistet ist oder informiert externe Betreuer der Webseite darüber, welche Anforderungen die Webseite erfüllen muss, damit dem Unternehmen keine Datenschutzverstöße zur Last gelegt werden können.
Der externe Datenschutzbeauftragte
Steht ein Unternehmen vor der ersten Bestellung eines eigenen Datenschutzbeauftragten, so kann ein externer Datenschutzbeauftragter diesen beraten und begleiten und ggf. auch die wichtigen Schulungen für ihn übernehmen. Wer selbst gerade erst diese Weiterbildung gemacht hat, fühlt sich oft noch nicht sicher genug, andere anzuleiten. Erfahrene Datenschutzbeauftragte geben Sicherheit, dem Unternehmen und dem neu ernannten Datenschutzbeauftragten.
Hat sich der unternehmensinterne Beauftragte dann eingearbeitet, ist ein externer Berater gut, um Routinen auf den Prüfstand zu stellen und einer Betriebsblindheit ggf. entgegenzuwirken. Zudem muss der Datenschutzbeauftragte selbst ja auch permanent mit den aktuellsten Anforderungen vertraut gemacht werden und sollte selbst auch Schulungen besuchen.
Warum Datenschutz so wichtig ist
Manchmal können kleine Unachtsamkeiten im Datenschutz gravierende Folgen haben. Ein offener E-Mail Verteiler beispielsweise kann dazu führen, dass Kunden abwandern oder Konkurrenten untereinander Absprachen tätigen. Das Vertrauen ins Unternehmen wird beschädigt, wenn Kunden oder Geschäftspartner in einem Newsletter beispielsweise ihre Mail öffentlich zur Kenntnis nehmen oder gar Post von anderen Empfängern erhalten. Die Mailoption „Allen Antworten“ kann hier ein riesiges Chaos und zudem großen Unmut verursachen.
Ganz abgesehen davon, können bei Datenschutzverstößen sehr hohe Bußgelder verhängt werden. Die Bußgeldvorschriften im Bundesdatenschutzgesetz – neu sehen Strafen bis zu 50000 Euro vor, wenn Verstöße zur Anzeige kommen.
Das Ansehen in der Öffentlichkeit leidet natürlich auch, wenn bekannt wird, dass der Datenschutz im Unternehmen nicht ernst genug genommen wird.
Datenschutzverstöße passieren nicht nur digital
Sich beim Thema Datenschutz nur auf die digitale Datenverarbeitung zu konzentrieren kann ein fataler Fehler sein. Auch abseits von Tastatur und Rechner passieren Pannen, die unter Datenschutzverstöße fallen. Verwechselt die Personalabteilung bei Absagen an Bewerber beispielsweise die Bewerbungsmappen, so erhält ein Fremder kompletten Einblick in die Daten eines Bewerbers, von der Adresse bis zum Arbeitszeugnis.
Aktuell ist dieses Thema in der Öffentlichkeit diskutiert, wenn es darum geht, Corona bedingt seine Daten in Restaurants abzugeben. Ausgelegte Listen sind ebenso wenig Datenschutzkonform wie Sammelstellen für Formulare, die nicht abgeschlossen sind.
Selbst die Ehrung von Mitarbeitern durch Inserate in Regionalzeitungen zu runden Geburtstagen, die früher sehr geschätzt waren, stellt inzwischen einen Datenschutzverstoß dar. Auch Kommunalverwaltungen sind von dieser langjährigen Tradition abgewichen oder gratulieren nur noch, wenn ihnen eine schriftliche Erlaubnis vorliegt.
Datenschutz geht jeden an. Auch wenn Privatpersonen für Verstöße nicht so schnell verklagt werden, wie Unternehmen, so ist es wichtig, dass sich jeder für den Schutz von persönlichen Daten Dritter engagiert. Denn jeder erwartet ja auch den Schutz seiner eigenen Daten.