Keine banale Aufgabe

Diese Bestimmung gilt, wenn mehr als vier Mitarbeiter mit der elektronischen Verarbeitung personenbezogener Daten beschäftigt sind. Betroffen sind Unternehmen ebenso wie Behörden, Verbände und selbstständige Einzelunternehmer, zum Beispiel Ärzte, Architekten, Rechtsanwälte oder Steuerberater. Der Begriff der personenbezogenen Daten ist dabei weit gefasst: Er meint die persönlichen und sachlichen Angaben über „natürliche Personen“. Angefangen bei persönlichen Angaben wie Namen, Adressen, Beruf, Familienstand, Bankverbindung, Einkommen und Vermögen, Umsätze oder beruflichen Werdegang.

Viele Unternehmen wissen von dieser Verpflichtung nichts, dabei kann die Überwachungsbehörde jedem Unternehmen jederzeit einen unangemeldeten Kontrollbesuch abstatten. Wer dann keinen Datenschutzbeauftragten vorweisen kann, dem droht ein Bußgeld von bis zu 25 000 Euro. Wird bei der Kontrolle ein Datenmissbrauch aufgedeckt, sind sogar Strafen bis zu 250 000 Euro vorgesehen.

Betrachtet man das Aufgabengebiet eines Datenschutzbeauftragten, wird schnell klar, dass es für kleine und mittlere Unternehmen sehr schwierig sein wird, diese Aufgabe intern zu erfüllen: Der Datenschutzbeauftragte berät sowohl die Geschäftsleitung als auch die Mitarbeiter, den Betriebsrat und natürlich die IT-Abteilung in allen Datenschutzfragen. Gleichzeitig ist er auch für die Überwachung verantwortlich: Entspricht die vorhandene IT den aktuellen Datenschutzrichtlinien? Werden die Vorschriften in allen Phasen der Datenverarbeitung eingehalten? Erfüllen neue oder geplante Systeme die geforderten Standards? Außerdem wirkt er bei der Dokumentation der Verarbeitung personenbezogener Daten mit, berät bei der Ausgestaltung von Verträgen und bearbeitet entsprechende Anfragen und Beschwerden – um nur einige Aufgaben zu nennen. Das Tätigkeitsprofil eines Datenschutzbeauftragten ist also alles andere als trivial. Deshalb sind hier qualifizierte Experten gefragt.

Betroffene Unternehmen haben zwei Möglichkeiten: Entweder sie besetzen die Position des Datenschutzbeauftragten intern. Das heißt, sie lassen einen Mitarbeiter entsprechend ausbilden und regelmäßig schulen. Dieser muss über ausreichend juristischen und technischen Sachverstand verfügen und darf, um die Unabhängigkeit der Tätigkeit zu gewährleisten, ausdrücklich keine leitende Funktion im Unternehmen ausüben. Damit scheiden zum Beispiel Inhaber oder Geschäftsführer, Personalleiter oder IT-Administratoren als mögliche Kandidaten aus. Für viele kleine und mittlere Unternehmen ist diese interne Variante auf Grund dünner Personaldecke kaum machbar. Die zweite Möglichkeit ist ein externer Datenschutzbeauftragter. Für Unternehmen bringt eine solche externe Lösung Vorteile: Der externe Dienstleister besitzt das notwendige Know-how und die erforderlichen Kapazitäten. Darüber hinaus unterliegt er keinen betriebsinternen Zwängen und hat es als neutral Außenstehender häufig leichter, auch unliebsame Entscheidungen anzustoßen. Vor allem aber bleiben Unternehmen flexibler, wenn sie auf externe Datenschutzdienstleistungen setzen. Sie binden kein Personal und können mit festen Kosten kalkulieren. Außerdem bekommen sie die Leistung sofort nach Vertragsabschluss und müssen nicht erst die Schulung eines ihrer Mitarbeiter abwarten. Und auch wenn einem Unternehmen trotz externem Datenschutzbeauftragten ein Verstoß gegen das Gesetz nachgewiesen wird, kann sich dessen Geschäftsführer ruhig zurücklehnen: Externe Dienstleister tragen die Verantwortung für ihre Services und sind damit auch wirtschaftlich haftbar zu machen.

Wer ein externes Unternehmen mit Datenschutzservices beauftragt, sollte folgende zehn Punkte einfordern:

• Beratung der Unternehmens- und IT-Leitung in allen organisatorischen, datenschutzrechtlichen und sicherheitsrelevanten Fragen des IT-Einsatzes.
• Ermittlung individueller Anforderungen und Ziele für eine sichere IT-Infrastruktur.
• Prüfung und Überwachung der aktuellen und künftigen IT-Systeme auf besondere Risiken für die Rechte und Freiheiten der Betroffenen (Vorabkontrolle) sowie der Datenschutz- und Datensicherungsmaßnahmen.
• Erstellung des Verfahrensverzeichnisses, das eine unternehmensweite Übersicht über die Verfahren zur IT-basierenden Verarbeitung von personenbezogenen Daten enthält.
• Unterstützung bei der Entwicklung beziehungsweise Weiterentwicklung des Datenschutzes, der relevanten Richtlinien und des Datensicherungskonzepts sowie bei der Einführung technischer Sicherheitsmaßnahmen.
• Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte, Bearbeitung von Beschwerden und Überprüfung von Datenschutzverletzungen.
• Unterstützung bei der datenschutzgerechten Formular- und Vertragsgestaltung und bei Überwachung der Einhaltung von Verpflichtungserklärungen.
• Überwachung der rechtskonformen Anwendung aller Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden.
• Kontinuierliche Dokumentation der Ergebnisse, Erstellung eines Tätigkeitsberichtes und regelmäßiges Reporting über den Stand des Datenschutzes an die Geschäftsführung.
• Schulung der Mitarbeiter, die bei der Verarbeitung personenbezogener Daten tätig sind, um sie mit den gesetzlichen Vorschriften über den Datenschutz und deren besonderen Erfordernissen vertraut zu machen.