Andrea Pfisterer, externe Datenschutzbeauftragte der Ext-Com IT GmbH

 

Frau Pfisterer, was ist eigentlich ein externer Datenschutzbeauftragter und welche Funktion erfüllt dieser?

Gemäß der europäischen Datenschutzgrundverordnung (EU-DSGVO) gibt es sehr viele Vorgaben, die eine Person erfüllen muss, damit diese die Funktion eines Datenschutzbeauftragten wahrnehmen kann. So wird u. a. gefordert, dass man ausreichend Wissen in den Bereichen IT und Recht vorweisen muss. Ferner sollte man für diese Tätigkeit persönlich geeignet sein. Der Datenschutzbeauftragte muss insbesondere über Fachwissen im Datenschutzrecht und in der Datenschutzpraxis verfügen und in der Lage sein, die ihm obliegenden Aufgaben der Beratung und Überwachung sowie der Zusammenarbeit mit den Aufsichtsbehörden akkurat erfüllen zu können. Für einen Datenschutzbeauftragten gibt es bisher keine zuvor einheitliche Berufsausbildung. Der Begriff steht also nicht für eine geschützte Berufsbezeichnung, sondern stellt in erster Linie eine zentrale Funktion in einem Unternehmen dar. Darüber hinaus muss ein Datenschutzbeauftragter bereit sein, sich ständig fortzubilden. Beim TÜV oder der Dekra kann man sich deshalb als Fachkraft für Datenschutz zertifizieren lassen. Es handelt sich hier um sehr hochwertige Zertifikate, weil beide Anbieter gute Standards setzen.

 

 

Warum ist das so wichtig?

Das deutsche Bundesdatenschutzgesetz (BDSG) vervollständigt und konkretisiert die Datenschutz-Grundverordnung (DS-GVO) an den Stellen, die nationalen Regelungen der EU-Staaten überlassen sind. Die Datenerhebung ist demnach nur zulässig, wenn sie durch die DS-GVO selbst, durch eine bestimmte Rechtsvorschrift oder eine Einwilligung des Betroffenen tatsächlich erlaubt wird. Außerdem müssen in einem Unternehmen alle personenbezogenen Daten erfasst werden, die gespeichert oder verarbeitet werden. Hierfür muss ein Verarbeitungsverzeichnis erstellt werden, in dem alle Bestände und Speicherorte erfasst sind. Kurzum: Durch die DS-GVO besteht eine erhöhte Dokumentationspflicht und Unternehmen müssen zudem die Rechtmäßigkeit, dass sie Daten konform verarbeiten dürfen, stets nachweisen können. Sobald der Nachweis fehlt, kann schon jenes zu einem sehr hohen Bußgeld führen. Und zwar auch dann, wenn die Daten dennoch konform verarbeitet worden sind. Die Umsetzung kann durch technische Lösungen nachgewiesen werden. Dabei gilt: Wer schreibt, der bleibt. Mehr noch: Unternehmen müssen ihre Datenschutzbestimmungen transparent sowie in klarer und einfacher Sprache zum Ausdruck bringen. Bei der Datenschutzerklärung handelt es sich um eine Verpflichtungserklärung im Umgang mit den personenbezogenen Daten. Die DS-GVO setzt außerdem voraus, dass Firmen ihre Rechtsgrundlage zur Verarbeitung personenbezogener Daten dokumentieren. Diese muss in der Datenschutzerklärung genau vermerkt sein und bei Anfragen durch betroffene Personen mitgeteilt werden. Die DS-GVO verlangt die Bereitstellung von Informationen über die Rechte der Betroffenen. Ferner muss ebenso den Betroffenen die Rechtsgrundlage der Verarbeitung bei Erhebung ihrer Daten mitgeteilt werden. Die Website eines Unternehmens muss zudem alle Cookie-Richtlinien erfüllen. Darüber hinaus müssen die Kontaktdaten des Ansprechpartners für den Datenschutz im Unternehmen auf der Website veröffentlicht werden.

Sind alle Unternehmen davon betroffen?

Ein deutsches Unternehmen mit mehr als 20 Mitarbeitern muss einen Datenschutzbeauftragten klar benennen. Ob es sich dabei um fest angestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt, ist in diesem Zusammenhang irrelevant.  Fernab dessen, müssen auch bei kleineren Unternehmen alle Vorgaben erfüllt werden – und zwar unabhängig von der Benennung oder dem Verzicht auf einen Datenschutzbeauftragten. Gleichwohl ist bei jedweder Unternehmensgröße ein Datenschutzbeauftragter immer dann einzuführen, sobald automatisiert personenbezogene Daten erhoben werden. Hierzu zählt unter anderem auch Internettracking oder Profiling. Werden Daten verarbeitet, die überdies Auskunft über genaue personenbezogene Merkmale geben, wie etwa Gesundheit oder ethnische Herkunft, muss ebenso ein betrieblicher Datenschutzbeauftragter bestellt werden. Auch hier spielt die Größe des Unternehmens keine Rolle. Die rechtlichen Grundlagen bilden § 4f Abs. 1 Satz 3 BDSG und § 4f Abs. 1 Satz 5 BDSG. Ein betrieblicher Datenschutzbeauftragter kann ein Mitarbeiter des Unternehmens sein, er kann aber ebenso extern bestellt werden.

 

 

Für welche Unternehmen eignet sich die externe Lösung?

Grundsätzlich darf es keine potenziellen Interessenskonflikte geben, welche die Zuverlässigkeit des Datenschutzbeauftragten infrage stellen könnten. Das Wissen um den Datenschutz kann man entweder intern aufbauen oder schnell und genauso gut extern einkaufen. Ersteres nimmt Ressourcen und Zeit in Anspruch und ist infolgedessen sehr kostenintensiv. Auch im Hinblick auf Fortbildungen. Im schlimmsten Fall verlässt der interne Beauftragte das Unternehmen. Dann ist das ganze Know-how weg. Und das tut weh. Im Gegenzug gilt: Wenn man sich für einen externen Datenschutzbeauftragten entscheidet, kann man sich vor allem auf sein originäres Kerngeschäft konzentrieren. Ein externer Datenschutzbeauftragter ist zugleich unabhängiger und kann folglich datenschutzrelevante Prozesse unter einem anderen Blickwinkel vielleicht auch besser reflektieren und bewerten.

Welche technischen Hilfsmittel stehen dem Datenschutzbeauftragten bei seiner Arbeit zur Verfügung?

Unternehmen sollten geeignete Software einsetzen, welche die Voraussetzung „Privacy by Design“ automatisch erfüllen. Das erleichtert die Arbeit massiv. Darüber hinaus gibt es auch Software as a Service-Lösungen, die zum Beispiel bei der Datenschutzfolgeabschätzung helfen können. Dennoch ist im Hinblick auf die gesamte Datenschutzthematik auch eine gewisse Routine erforderlich.

Gibt es hierfür fundierte Zertifizierungen, die über die vorhandenen Angebote hinaus gehen?

Wir brauchen auf mittlere Frist für diesen Bereich eine eigene Iso-Norm, sprich eine Iso-Zertifizierung. Das fehlt beim Datenschutz bislang noch. Allerdings spielt der Datenschutz bei der Zertifizierung von Datenschutzkonformität nach ISO 27001, ISO 27701 und ISO 27018 eine Rolle.

 

 

Frau Pfisterer, wie oft sollten Meetings mit Kunden Ihrer Ansicht nach stattfinden?

Das kommt immer auf die jeweilige Unternehmensgröße und die zu verarbeitenden Daten an. Sobald in einem Unternehmen personenbezogene Daten verarbeitet werden – auch unter Verwendung automatisierter Entscheidungen – sollte man mehrere Audits pro Jahr vornehmen. Bei einem kleineren Unternehmen im Business-to-Business-Bereich reichen oftmals maximal ein bis zwei Meetings pro Jahr. Dennoch gilt immer: Man ist auf die aktive Mitarbeit aller Beteiligten immerzu angewiesen. Zum Beispiel wenn unternehmensintern ein Umzug des Servers ansteht.

Was kann ein externer Datenschutzbeauftragter leisten, und was nicht?

Die Funktion des Datenschutzbeauftragten muss nicht unbedingt durch einen Juristen besetzt werden. Auch ein Nichtjurist kann als zertifizierte Fachkraft für den Datenschutz alle relevanten Aspekte zur DS-GVO und zum Themenkreis Datenschutz genau prüfen. Hierzu gehören beispielsweise Verträge zur Auftragsverarbeitung und weitere Teilbereiche. Um die Vertragswerke also zu verstehen, ist nicht immer ein Anwalt notwendig. Eine abschließende Rechtsberatung kann jedoch eine Fachkraft für den Datenschutz nicht erbringen. In diesem Fall sollte man eine Anwaltskanzlei mit ins Boot nehmen.

Die EU-DSGVO ist seit 2018 in Kraft. Welche Gesetze müssen in Zukunft außerdem beachtet werden?

Abgesehen von der DS-GVO, ist das Bundesdatenschutzgesetz (BDSG) natürlich nach wie vor in Kraft. Ferner wurde es komplett überarbeitet und stellt auf nationaler Ebene eine Ergänzung zur DS-GVO dar. Darüber hinaus sollte man in diesem Zusammenhang auch die Strafprozessordnung kennen. Weil auch der Wert von Daten in Zukunft kontinuierlich zunehmen wird.

Frau Pfisterer, ich danke Ihnen für das Gespräch.

 

Mehr unter: https://ext-com.de/