Erfahrungen & Bewertungen zu Barth Datenschutz GmbH

Schluss mit DSGVO-Latein: Das sind die Voraussetzungen für einen wirklich guten betrieblichen Datenschutzbeauftragten

12. Juni 2023

von Achim Barth

Es gibt viele Gründe, warum Unternehmen einen betrieblichen Datenschutzbeauftragten einstellen. Manche wollen sich einfach absichern. Andere sind nach Art. 37 DSGVO dazu verpflichtet. Egal ob Sie aktuell vor der Benennung stehen oder Ihren bisherigen Beauftragten dringend austauschen möchten: In diesem Artikel finden Sie die wichtigsten Voraussetzungen, um einen guten betrieblichen Datenschutzbeauftragten zu finden.

Wann braucht man einen Datenschutzbeauftragten im Unternehmen?

Laut DSGVO müssen Unternehmen „auf jeden Fall einen Datenschutzbeauftragten“ benennen, wenn mindestens eine dieser Bedingungen erfüllt ist:

  1. Mindestens 20 Mitarbeiter sind im Unternehmen beschäftigt, die dauerhaft personenbezogene Daten verarbeiten.
  2. Das Unternehmen verarbeitet personenbezogene Daten – z.B. als Marktforschungsinstitut – geschäftsmäßig.
  3. Es handelt sich um eine Behörde oder eine andere offizielle Stelle. Das Unternehmen verarbeitet Daten im Sinne von Artikel 35 DSGVO. Das heißt:
  • „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen […] die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.“

Soweit also die gesetzlich vorgeschriebenen Pflichten. Was Ihnen überlassen ist: Ob Sie einen internen oder externen betrieblichen Datenschutzbeauftragten ernennen. Und: Ob Sie den einmal ernannten Datenschutzbeauftragten weiterhin beauftragen.

Häufig ist mir bei meiner Arbeit als Datenschutzberater nämlich schon aufgefallen, dass viele Unternehmer mit ihrem Datenschutzbeauftragten absolut unzufrieden sind. Entweder erfüllt dieser die die nötigen Voraussetzungen gar nicht – oder er steckt so tief im Thema Datenschutz, dass ihm niemand folgen kann.

Ich möchte vermeiden, dass Sie an diese Art Datenschutzbeauftragte geraten oder sich unnötig lange mit solchen herumschlagen. Datenschutz ist schon kompliziert genug. Da sollten Sie nicht Gefahr laufen, durch einen „Fachidioten“ und sein DSGVO-Latein eine Datenschutzpanne zu begehen.

Schauen wir uns also an, worauf Sie unbedingt Wert legen sollten.

Was sind die Aufgaben eines betrieblichen Datenschutzbeauftragten?

Der Begriff „Datenschutzbeauftragter“ ist etwas irreführend – denn die Aufgaben des betrieblichen Datenschutzbeauftragten umfassen vor allem Datenschutz-Beratung und Unterstützung in Datenschutz-Fragen. Wichtig: Zur Rechenschaft gezogen wird bei Datenschutzpannen der Datenschutz-Verantwortliche. Das ist in der Regel der Geschäftsführer. Der Datenschutzbeauftragte spricht Empfehlungen aus, setzt sich mit Behörden auseinander und schult Mitarbeiter – aktive Entscheidungen zum Datenschutz im Unternehmen trifft er jedoch nicht.

Um diese Aufgabe zuverlässig zu erfüllen, sollte ein Datenschutzbeauftragter zwingend diese Voraussetzungen mitbringen:

  • Fachkenntnisse/Qualifikationen
  • Erfahrung
  • Unabhängigkeit
  • Kommunikationsfähigkeit
  • Technisches Verständnis/IT-Wissen
  • Interesse an Weiterbildung
  • Offenheit für digitale Tools
  • Gesunder Menschenverstand

Erste Voraussetzung eines guten betrieblichen Datenschutzbeauftragten: Fachkenntnisse und Qualifikationen

„Betrieblicher Datenschutzbeauftragter“ ist kein geregelter Ausbildungsberuf oder Studiengang. Viele Wege führen hier nach Rom. In jedem Fall zählt eine nachweisbare Spezialisierung auf den Datenschutz zu den wichtigsten Voraussetzungen für einen guten Datenschutzbeauftragten. Wie wollen Sie andernfalls darauf vertrauen, dass der Ihnen auch das Richtige rät? Hinweise auf die Kompetenz des DSB liefern z.B.

  • Abgeschlossene Lehrgänge, Aus- oder Weiterbildungen an anerkannten Instituten wie der IHK
  • Siegel von Datenschutz-Organisationen wie dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), der GDD-Datenschutz-Akademie oder der Ulmer Akademie für Datenschutz (udis)

Genauso wichtig: Erfahrung im Datenschutz

Fast im gleichen Atemzug möchte ich die Erfahrung als grundlegende Voraussetzung eines guten Datenschutzbeauftragten nennen. Sicher – die muss er auch erst einmal irgendwo sammeln. Gleichzeitig laufen Sie Gefahr, dass ein besonders erfahrener betrieblicher Datenschutzbeauftragter schon so tief im Thema steckt, dass er Sie mit Fachbegriffen und Konzepten förmlich erschlägt. Hier sollten Sie parallel auf jeden Fall die anderen Voraussetzungen im Blick behalten.

In jedem Fall können Sie sich bei einem erfahrenen Datenschutzbeauftragten eher darauf verlassen, dass Sie korrekt beraten werden. Das minimiert das Risiko von Datenschutzpannen und lässt Sie nachts besser schlafen. Halten Sie die Augen nach Referenzen offen (idealerweise in Ihrer Branche, wenn es hier Besonderheiten gibt). Wichtig ist zudem Erfahrung im Umgang mit Behörden – denn wie eine meiner Fallstudien zeigt, kann hier einiges schiefgehen!

Beim Datenschutzbeauftragten ist Unabhängigkeit Voraussetzung

Diese Voraussetzung gilt besonders für interne betriebliche Datenschutzbeauftragte. Niemals sollte Ihr DSB Interessenkonflikten ausgesetzt sein – z.B., wenn ihm beim Lieblingskollegen ein Datenschutzverstoß auffällt.

Weiter geht es mit der Kommunikationsfähigkeit

Das ist wohl eine Voraussetzung, die über den betrieblichen Datenschutzbeauftragten hinaus für alle Kunden, Kollegen und Führungskräfte gilt. Als Datenschutzverantwortlicher müssen Sie einfach verstehen, was der DSB Ihnen rät. Was nützt es Ihnen, wenn er mit Fachbegriffen und DSGVO-Latein um sich wirft und noch ein bisschen IT-Kauderwelsch darüberstreut? Genau – wenn Sie nicht ebenso kompetent im Datenschutz sind, nützt Ihnen das rein gar nichts. Und welcher Unternehmer, der parallel 1000 andere Themen im Kopf hat, ist das schon?

Ich nehme es Ihnen nicht übel. Datenschutz ist ein komplexes Thema, bei dem ständig Neues hinzu kommt. Umso wichtiger ist es, dass Sie sich darauf verlassen können:

  • Mein Datenschutzbeauftragter kann mir klipp und klar erklären, was Sache ist und welche Schritte ich gehen sollte.
  • Wenn etwas schiefläuft, wird er es mir ebenso ehrlich mitteilen.
  • Meine Mitarbeiter schult er in Datenschutzfragen so, dass sie die Regeln und To-dos verstehen und sicher umsetzen können.

Technisches Verständnis und IT-Wissen als Basis für Datenschutz in der digitalen Welt

Was bringt Ihnen ein betrieblicher Datenschutzbeauftragter, der mit Internet und Computer völlig überfordert ist? Richtig – im 21. Jahrhundert rein gar nichts. Ein Datenschutzbeauftragter sollte in der Lage sein, Datenverarbeitungssysteme zu verstehen, um sie bewerten zu können. Und er sollte sich auch mit dem Internet auskennen, um dort die Datenschutzpflichten Ihres Unternehmens zu erfüllen.

Juristisches und organisatorisches Know-how sollte dem DSB ebenfalls nicht fremd sein.

Datenschutz hängt eng mit rechtlichen Fragen zusammen. Es ist deshalb eine unumgängliche Voraussetzung, dass der Datenschutzbeauftragte Ihrer Wahl auch hier zumindest über Grundlagen verfügt, um Sie beraten zu können. Organisatorisches Verständnis zählt darüber hinaus zu den Voraussetzungen, damit der Beauftragte Prozesse im Unternehmen versteht und bewerten kann. Wie genau läuft die Datenübermittlung zwischen Abteilung X und Y ab? Und ist das datenschutzrechtlich in Ordnung?

Interesse an Weiterbildung als zukunftskritische Voraussetzung für Datenschutzbeauftragte

Ständig ändert sich in der Welt des Datenschutzes etwas. Neue Urteile ändern die Rechtslage, plötzlich fallen ganze Abkommen wie der Privacy Shield weg oder Pandemien führen zu Homeoffice-Pflicht und damit einem Datenschutz-Chaos. Um da den Überblick zu behalten, gehört es zu den Voraussetzungen eines guten betrieblichen Datenschutzbeauftragten, sich zu informieren und weiterzubilden. Schließlich wollen Sie keine Datenschutzpanne im Haus, weil der Beauftragte ein Urteil verschlafen hat.

Doch allein das theoretische Wissen reicht längst nicht aus. Auch Praxiserfahrung zählt zu den wichtigsten Voraussetzungen eines Datenschutzbeauftragten. Wie setzt man diese oder jene Vorgabe der DSGVO am besten um? Welche neuen Gesetze kommen im nächsten Jahr dazu – und wie wirkt sich das auf Ihr Unternehmen aus? Eng damit hängt auch die nächste Voraussetzung zusammen.

Offenheit für digitale Tools

Die Digitalisierung ist da. Wir leben mitten im Informationszeitalter. Automatisierungen und KI nehmen den Menschen immer mehr Aufgaben ab und vereinfachen Prozesse. Nehmen Sie auch das als Voraussetzung für die Auswahl des betrieblichen Datenschutzbeauftragten: Ist er offen dafür, diese Möglichkeiten gewinnbringend einzusetzen? Oder beharrt er immer noch auf alten, zeitfressenden manuellen Methoden?

Hier ist natürlich auch wichtig, dass sich der DSB mit den Gefahren der digitalen Welt auskennt.

Datenschutz mit gesundem Menschenverstand: Eine Voraussetzung ganz in Ihrem Interesse

Brachial alle Vorgaben 1:1 und in vollem Umfang umzusetzen, ist nicht immer notwendig. Als Voraussetzung an Ihren Datenschutzbeauftragten dürfen Sie auch gerne eine Portion gesunden Menschenverstands stellen. Vor allem in kleineren Betrieben reicht es beispielsweise oftmals, auf praktische, gesetzeskonforme Tools zu setzen.

Oder – um ein endlos debattiertes Beispiel zu wählen: Durch die Kritik der Datenschutzkommission an Microsoft 365 verzichten viele Schulen im Distanzlernen auf Microsoft Teams. Sie setzen stattdessen auf zahlreiche andere Tools mit ebenso zahlreichen Problemchen. Dabei ist die Nutzung von Microsoft 365 meiner Meinung nach im risikobasierten Ansatz der DSGVO durchaus akzeptabel. Hier gilt: Gesunden Menschenverstand nutzen – nachprüfen, was sich aktuell in der Debatte getan hat – erkennen, dass Microsoft am Datenschutz arbeitet.

Prüfen Sie nach, ob Ihr (neuer) betrieblicher Datenschutzbeauftragter alle Voraussetzungen erfüllt

Datenschutz ist ein sehr sensibles Thema. Niemand möchte gerne eine Datenschutzanzeige erhalten oder sich für Datenschutzpannen rechtfertigen müssen. Umso wichtiger ist es deshalb, dass Sie voll und ganz auf das Wissen und die Fähigkeiten Ihres betrieblichen Datenschutzbeauftragten vertrauen können. Prüfen Sie daher genau, ob dieser auch wirklich alle Voraussetzungen mitbringt, die für diese Position erforderlich sind!

Von |2023-05-31T14:39:10+02:00Juni 2023|Datenschutzbeauftragter|