Die Praxis externer Datenschutzbeauftragter unter der DSGVO

Der Datenschutzbeauftragte ist laut DSGVO ein Ausnahmefall – nur in wenigen Einzelfällen ist eine Benennung notwendig. Das deutsche Recht geht hier aber weiter: bereits ab einer Anzahl von 20 ständig mit der Verarbeitung personenbezogener Daten befassten Mitarbeiter muss ein Unternehmen einen internen oder externen Datenschutzbeauftragten benennen. Mit welchen Herausforderungen das verbunden ist und wo die Anforderungen liegen, hat Sascha Kremer in einem Beitrag der Informatik Spektrum 4/2020 dargestellt, der Zeitschrift der Gesellschaft für Informatik. Die wichtigen Aussagen haben wir hier für Sie zusammengefasst.

Zur Ausgangslage

Die Ausgangslage ist oft die Gleiche:

Die Ernennung eines Datenschutzbeauftragten wird als leidige Pflicht angesehen, mit dem die rechtlichen Anforderungen des Staats und die Vertragspartner beschwichtigt werden sollen. Der damit verbundene Mehraufwand an Arbeit und Ausgaben führt nicht selten zu einer ‚Mach mal‘-Einstellung gegenüber dem Datenschutzbeauftragten. Ist diese Einstellung auch verständlich, so wird dabei dennoch übersehen, dass Datenschutz nun mal kein standardisierter Prozess ist, sondern immer individuell an ein Unternehmen mit seinen Beschäftigten und Produkten bzw. Dienstleistungen angepasst werden muss.

One Size Fits All?

Hierfür ist es wichtig, als ersten Schritt einen Überblick über die aktuellen Prozesse und eine Anforderungsliste für ein adäquates Datenschutzniveau zu erstellen. Da die DSGVO als ‚one size fits all‘-Modell für alle Mitgliedstaaten angedacht ist, bestehen viele, teilweise widersprüchliche Interpretationsmöglichkeiten. Riskant wird dies, wenn ein Unternehmen sich dann blind auf einen möglicherweise fachlich nicht qualifizierten oder unseriösen Externen vertrauen. Datenschutzverletzungen und die dadurch entstandenen Schäden/ Bußgelder fallen nämlich ausschließlich dem betroffenen Unternehmen zu Last.

Was kann die/der DSB erreichen?

Insgesamt sollte das Ziel der Arbeit mit einem Datenschutzbeauftragten sein, das Thema Datenschutz so in der Unternehmensstruktur zu verwurzeln, dass es bereits von Beginn an Teil eines jeden Änderungsansatzes wird und nicht erst ein Nachgedanke. So kann sich im Laufe der Zeit ein angemessenes Niveau etablieren, mit dem Audits, Vertragspartner und der Staat zufrieden gestellt sind.

Ein Mindeststandard, nach dem sich Unternehmen je nach Art und Größe richten könnten, würde die datenschutzrechtliche Arbeit erleichtern und Unternehmen einen klareren Ansatzpunkt liefern. Denn das Bestreben der DSGVO war es, ganz ohne Datenschutzbeauftragten auszukommen. Die ‚one size fits all‘-Lösung führte aber zu einem Flickenteppich, der ohne fachkenntliche Beratung und Unterstützung kaum zu bewältigen ist.

Den gesamten Beitrag können Sie (kostenpflichtig) im eMagazin der Informatik Spektrum aufrufen.

Bei Fragen wenden Sie sich gerne direkt an den Autoren Sascha Kremer oder schauen Sie auf der Teamseite, wer noch bei uns arbeitet.