Wer sich mit dem Informationssicherheits-Management befasst, dürfte inzwischen über die anstehenden allgemeinen Datenschutzrichtlinien (DSGVO) der EU Bescheid wissen. Und auch die meisten anderen Personen dürften davon gehört haben, weil das Thema so große Resonanz findet. Kein Wunder, denn die neue Verordnung wird die bisher umfangreichste Regelung zum Datenschutz sein. Auch wenn sie von der Europäischen Union festgelegt wird, sind Unternehmen in der ganzen Welt davon betroffen – schließlich repräsentieren die 28 EU-Mitgliedsstaaten den weltweit größten Wirtschaftsraum und sind gleichzeitig der wichtigste Handelspartner für 80 weitere Länder der Erde. Tatsächlich bedeutet es, dass alle Länder, die mit personenbezogenen Daten von EU-Bürgern arbeiten, die Einhaltung der DSGVO sicherstellen müssen.
Nachdem die ersten Informationen über die DSGVO bekannt wurden, fiel auch wieder der Begriff des Datenschutzbeauftragten (DSB). Der DSB ist an sich keine neue Rolle, doch aufgrund seiner Bedeutung bzgl. der rechtlichen Aspekte des Datenschutzes ist es nur logisch, dass wir uns intensiver mit seiner Rolle auseinandersetzen. Die International Association of Privacy Professionals hat ursprünglich geschätzt, dass für die neue DSGVO ungefähr 28.000 DSBs in Europa und den USA benötigt werden. Diese Zahl wurde inzwischen auf bis zu 75.000 neue DSB-Positionen weltweit korrigiert. 75.000 sind eine Menge neuer Stellen, und das führt uns zu der Frage: Wer braucht eigentlich einen Datenschutzbeauftragten?
Das Kleingedruckte
Auch wenn Sie vielleicht etwas anderes gehört haben, so müssen nicht alle Unternehmen einen DSB einstellen. Gemäß den EU-Richtlinien heißt es zur Benennung eines Datenschutzbeauftragten
Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Kurz: Jedes Unternehmen, das als Behörde auftritt oder für das die Verarbeitung von Daten zu seinen Kerntätigkeiten gehört oder damit eng verknüpft ist, muss einen Datenschutzbeauftragten benennen.
Beachten Sie jedoch, dass die Verordnung nicht definiert, was eine “Behörde” oder “Körperschaft” ausmacht, da sich die Gesetzgebung von Land zu Land unterscheidet. Das Unternehmen muss daher selbst wissen, ob es sich für diese Rolle qualifiziert oder nicht. Wenn ein Unternehmen nicht von Anfang an unter die Regelung fällt, die die Ernennung eines DSB zwingend erfordert, sollten die Verantwortlichen und Auftragsverarbeiter beurteilen, ob es für das Unternehmen wichtig oder sinnvoll ist, einen DSB zu benennen.
Maßnahmen
Wenn Sie sich dafür entschieden haben, einen DSB zu benennen, müssen Sie im nächsten Schritt festlegen, in welchem Umfang Sie diesen beschäftigen wollen. Naheliegend wäre natürlich eine Festanstellung. Je nach Größe Ihres Unternehmens und anderer Faktoren kann es jedoch auch ausreichen, einen externen Berater als Datenschutzbeauftragten zu haben oder sich einen DSB mit einem anderen Unternehmen zu teilen. Die erste Option könnte die idealste sein, da der DSB in diesem Fall die Abläufe des Unternehmens am besten kennt und immer vor Ort ist, aber auch die anderen beiden Möglichkeiten sind im Rahmen der DSGVO möglich, solange Sie den DSB jederzeit erreichen können.
Auch wenn Ihr Unternehmen nicht zur Benennung eines DSB verpflichtet ist, sind Sie noch nicht aus dem Schneider. Wenn Ihr Unternehmen Daten irgendwelcher Art verarbeitet, müssen Sie mit der neuen DSGVO und ihren möglichen Konsequenzen vertraut sein. Wenn Sie also keinen DSB brauchen, wie können Sie die Konformität mit der DSGVO in der täglichen Praxis sicherstellen, ohne dass dies zu einem bürokratischen Chaos führt?
Unserer Erfahrung nach lassen sich Controlling und Konformität am besten mit einem Software-Tool erreichen, statt sich auf manuelle Prozeduren, Excel-Tabellen und die Arbeit eines einzigen Mitarbeiters zu verlassen. Genau wie bei unserem Programmpaket GRC Compliance Tool haben wir ein Tool entwickelt, das das Verständnis der DSGVO erleichtert und die laufende Konformität sicherstellt. Der Vorteil eines Software-Tools ist es, den Überblick darüber zu behalten, was genau Sie tun müssen. Außerdem erleichtert es dem Datenschutzbeauftragten seine Aufgabe, weil es ihm einen klaren Überblick über die anstehenden Aufgaben zur Ausbildung der Mitarbeiter und ihre Einbindung in die Prozesse liefert. Ob Sie also einen eigenen DSB beschäftigen oder nicht, wenn Sie personenbezogene Daten verarbeiten wird Ihr Unternehmen immer von einem Softwareprodukt profitieren, das die Einhaltung der DSGVO erleichtert. Am Ende des Tages ist es wichtig zu wissen, dass ein DSB zu aller erst ein Controller und Berater ist und nicht derjenige, der den Datenschutz implementiert; Ihr Unternehmen ist weiterhin verantwortlich für die Durchführung einer Reihe von Praktiken, mit denen die Konformität bzgl. der neuen Regelungen sicherzustellen ist.