Exter­ner Daten­schutz­beauf­trag­ter für kleine Unter­neh­men?

Warum macht gerade in klei­nen Unter­neh­men die Benen­nung eines exter­nen Datenschutz­beauftragten Sinn?

Über­ar­bei­tet am 09.10.2019

Inter­es­sens­kon­flikt ver­mei­den

Nicht erst die Daten­schutz­grund­ver­ord­nung (DSGVO) for­dert, dass es durch den benann­ten Daten­schutz­beauf­tragten zu kei­nem Inter­es­sens­kon­flikt kommt, was vor allem bei sehr klei­nen Unter­neh­men ein schwie­ri­ges Unter­fan­gen wird. Somit lohnt sich hier das Out­sour­cing an einen exter­nen Daten­schutz­beauf­tragten im Sinne der Rechts- und Daten­si­cher­heit.

Zukünf­tig Daten­schutz­beauf­trag­ter erst ab 20 Mit­ar­bei­ter nötig

“Aber ich habe gele­sen, dass die Bun­des­re­gie­rung das Daten­schutz­ge­setz ände­ret, um die Büro­kra­tie bei klei­nen Unter­neh­men zu redu­zie­ren, indem ein Daten­schutz­beauf­trag­ter erst ab 20 Mit­ar­bei­ter nötig ist!”

Naja – fast. Also zuerst ein­mal betraf die Schwelle von 10 Mit­ar­bei­tern auch zuvor nicht die Kleinst- und Ein­zel­un­ter­neh­men, außer­dem zäh­len nicht die Mit­ar­bei­ter gesamt, son­dern die­je­ni­gen, die regel­mä­ßig per­so­nen­be­zo­gene Daten ver­ar­bei­ten. Beach­ten Sie aber, dass selbst ein Mit­ar­bei­ter, der ein Mal im Jahr E-Mails abruft, mit der E-Mail-Adresse “regel­mä­ßig” ein per­so­nen­be­zo­ge­nes Datum ver­ar­bei­tet und daher mit­ge­zählt wird. Die­je­ni­gen die mei­nen, sich nun den Daten­schutz und die Umset­zung der DSGVO spa­ren zu kön­nen, da sich zwar über 10 aber unter 20 Mit­ar­bei­ter per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten, täu­schen sich.

Die Pflich­ten blei­ben die­sel­ben, es ist nur nie­mand mehr zustän­dig

Der Bun­des­da­ten­schutz­be­auf­tragte Ulrich Kel­ber (SPD), der zustän­dig für die Über­wa­chung des Daten­schut­zes in Deutsch­land ist, hatte bereits im Vor­feld erklärt, dass die Anhe­bung der Schwelle auf 20 Mit­ar­bei­ter eine fal­sche Maß­nahme sei. Denn die Pflich­ten blei­ben exakt die­sel­ben, es ist nur nie­mand mehr zustän­dig. So ist es lei­der wirk­lich. Wenn Sie nun auf den Daten­schutz­beauf­tragten ver­zich­ten, sei es, dass Sie erst gar kei­nen benen­nen oder dem vor­han­de­nen kün­di­gen, dann haben Sie selbst die Pflich­ten am Hals. Diese Büro­kra­tie nun ein­zu­spa­ren, indem Sie ein­fach untä­tig blei­ben, birgt ein sehr hohes Risiko.

Haben Sie einen Steu­er­be­ra­ter?

Eine andere Frage: Haben Sie einen Steu­er­be­ra­ter? Wenn ja: warum? Sie sind ja nicht dazu ver­pflich­tet. Was sind Ihre Beweg­gründe? Das Thema ist Ihnen zu kom­pli­ziert und Sie haben nicht die Ner­ven und die Muße, sich darum selbst zu küm­mern? Auf der ande­ren Seite möch­ten Sie sich aber selbst um die Ein­hal­tung des Daten­schut­zes küm­mern?

Ken­nen Sie die Anfor­de­run­gen der DSGVO an Sie?

Wuss­ten Sie zum Bei­spiel, dass mit der DSGVO die Rechen­schafts­pflicht Ein­zug erhielt, also eine Art Beweis­last­um­kehr? Nicht die Auf­sichts­be­hörde muss Ihnen einen Ver­stoß nach­wei­sen, son­dern Sie müs­sen die Umset­zung des Daten­schut­zes nach­wei­sen kön­nen – und das jeder­zeit. Wie steht es um Ihre Doku­men­ta­tion? Ist Ihr Ver­zeich­nis von Bear­bei­tungs­tä­tig­kei­ten gepflegt? Haben Sie dar­aus tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men abge­lei­tet und die Umset­zung geplant, um die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten? Ein Lösch­kon­zept ist vor­han­den? Die Mit­ar­bei­ter sind geschult?

Daten­schutz ist Chef­sa­che

Daten­schutz ist immer Chef­sa­che, das heißt ver­ant­wort­lich ist der Inha­ber oder Geschäfts­füh­rer. Das ist auch mit einem Daten­schutz­beauf­tragten so, nur kann der sie bera­ten, sie als Lotse an die Hand neh­men und mit Ihnen gemein­sam den Daten­schutz in Ihrem Unter­neh­men sicher­stel­len. Im Prin­zip wie beim Steu­er­be­ra­ter. Für die Steu­er­erklä­rung sind Sie mit Ihrer Unter­schrift selbst ver­ant­wort­lich. Arbei­tet der Steu­er­be­ra­ter schlam­pig, indem er zum Bei­spiel Fris­ten ver­säumt, dann ist er, wie der Daten­schutz­be­auf­tragte auch, haft­bar. Hier­für hat der DSB eine Berufs­haft­pl­ficht­ver­si­che­rung. Ich übri­gens bei der His­cox mit einer Ver­si­che­rungs­summe von 2 Mil­lio­nen Euro. Aber Ansprü­che wegen wis­sent­li­cher Pflicht­ver­let­zung oder wis­sent­li­chen Abwei­chens von Gesetz, und Vor­schrift sind auch nicht dar­über ver­si­chert. Daher arbei­tet der Daten­schutz­be­auf­tragte sehr gewis­sen­haft und doku­men­tiert nahezu jeden Punkt und jede Abspra­che im Daten­schutz Manage­ment Sys­tem.

Die Panne kommt schnel­ler als man denkt

Erst neu­lich musste ich schmun­zeln, als ein Unter­neh­mer beschwich­tigte, dass bei ihm alle Daten sicher seien – wäh­rend aus einem Sam­mel­su­rium an auf sei­nem Schreib­tisch lie­gen­den Papie­ren jedem Besu­cher sofort eine große Menge an per­so­nen­be­zo­ge­nen Daten ins Auge spran­gen, ob man wollte oder nicht. Die kurze Abwe­sen­heit zum Holen eines Kaf­fees könnte so jeder nut­zen, um diese Daten an sich zu neh­men.

In einem Hand­werks­un­ter­neh­men kam es neu­lich zu einer Daten­schutz­panne, da ein Mit­ar­bei­ter nicht mehr benö­tigte Bewer­bungs­un­ter­la­gen in der gel­ben Tonne ent­sorgte, was einem Anwoh­ner auf­fiel, der dies dar­auf­hin der Auf­sichts­be­hörde mel­dete. Wurde der Daten­schutz dann eher stief­müt­ter­lich behan­delt und die DSGVO nicht umge­setzt, dro­hen emp­find­li­che Geld­bu­ßen – selbst­ver­ständ­lich mit der Pflicht, die Maß­nah­men in rela­tiv kur­zer Zeit nach­zu­ho­len.

Kon­ti­nu­ier­li­cher Pro­zess

Seit dem 25. Mai 2018 musste bereits jeder 25. Mit­tel­ständ­ler eine Daten­panne mel­den (http://bit.ly/2AXZz2i). Seien Sie sich also der Gefah­ren bewusst und beden­ken Sie immer: Die Ein­hal­tung der DSGVO ist kein “ein­ma­li­ger Auf­wand”. Es ist ein Pro­zess der kon­ti­nu­ier­li­chen Ver­bes­se­rung.

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.