Datenschutz-Tipp Nr. 28 – Was ein Datenschutzbeauftragter können muss

Datenschutz

Wichtiger Hinweis:
Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen. Nicht alle Newsletter werden auf diesen Internetseiten veröffentlicht. Außerdem erfolgt die Online Veröffentlichung manchmal nur in Auszügen und zeitlich immer später als der Versand des E-Mail-Newsletters. Wenn Sie keinen Newsletter verpassen wollen und den Newsletter stets nach Erscheinen erhalten wollen, dann sollten Sie den kostenlosen E-Mail-Newsletter abonnieren. Die Registrierung dauert weniger als eine Minute:
Datenschutz-Tipps für Unternehmen

Erinnern Sie sich an TIM? Das ist gut.

TIMs Gespräch mit seinem Chef über die Gefahr, die durch Bußgeldrisiken drohen kann, ist gut gelaufen. Er war in der Lage, das Wesentliche in komprimierter Form gut zusammen zu fassen. Er hat nicht dramatisiert, aber auch nichts schön geredet. Er hat getan, was er für richtig hielt.

Wenn der Geschäftsführer von TIMs Firma manchmal auch etwas cholerisch ‘rübergekommen ist…wenn es um ernstzunehmende Themen ging, dann hat er meist ein Ohr und vor allem auch den Mut, Entscheidungen zu treffen.

Die Neural Pathway GmbH, in der TIM neuerdings arbeitet, ist ein noch junges Unternehmen. Sehr erfolgreich dazu und ziemlich schnell dynamisch gewachsen. “Dynamisch gewachsen” – das kennen Sie vielleicht auch in der Praxis als gern gesehene Ausrede, um einen “klitzekleinen” Missstand zu rechtfertigen oder – korrekter formuliert – zu entschuldigen.

Bei Neural Pathway sah das dynamische Wachstum so aus, dass innerhalb von 18 Monaten aus einem Unternehmen mit vier festen und einigen freien Mitarbeitern ein fester Mitarbeiterstamm von knapp 50 Leuten entstanden ist. So ein Thema wie DATENSCHUTZ ist für Neural Pathway wichtig. Denn Datenschutz ist ein wesentlicher Baustein für Vertrauen gegenüber den Kunden. Wenn Sie IT-Systeme von Kunden warten wollen, dann ist es schon beim Verkaufsgespräch von immenser Bedeutung, dass der Kunde ein gutes Gefühl hat: Ein gutes Gefühl, dass die Wartung der IT-Systeme durch Neural Pathway SICHER ist.

Und ja…die Sicherheit der Daten von Kunden wird im Unternehmen groß geschrieben. Das hat TIM schon kurz nach seinem Einstieg in das neue Unternehmen kennengelernt. Keine Passwortschludrigkeit, neue Technologien nach dem Stand der Technik und und und…im Hinblick auf die praktische Umsetzung von Datensicherheit war Neural Pathway wirklich gut davor.

Nun war es aber TIMs Aufgabe, das Thema Datenschutz näher zu beleuchten. Und TIM musste dabei feststellen, dass die praktische Umsetzung von Datensicherheit wirklich in guten Händen war. Aber immer, wenn es um die Dokumentation der getroffenen Maßnahmen ging, wurde die Luft dünner. Ja…es gab Listen der Passwörter und Zugriffsberechtigungen. Und ja, die Daten wurden verschlüsselt gespeichert. Aber weitergehende Dokumentation? Fehlanzeige.

Und wenn wir ehrlich sind, ist das sicher kein Einzelfall. Es gibt für IT-Praktiker häufig nichts Lästigeres als die kontinuierliche und vollständige Dokumentation von IT-Systemen und IT-Vorgängen. Und wer könnte das nicht nachvollziehen. Wenn Sie ein prozedural ausgerichteter “Detailsortierer” sind, dann hätten Sie sicher Spaß an einer solchen Aufgabe. In der IT-Praxis sind viele Mitarbeiter aber eben nicht prozedural und häufig auch nicht an Details, sondern eher am “großen Ganzen” interessiert.

Als TIM im Unternehmen gebeten worden war, sich des Themas “Datenschutz” näher anzunehmen, hatte er schon mit an Sicherheit grenzender Wahrscheinlichkeit geahnt, dass es bislang keinen formal bestellten DATENSCHUTZBEAUFTRAGTEN bei Neural Pathway gegeben hat. Wenn er seine Kollegen fragte, erhielt er keine sichere Antwort: “Macht das nicht der Müller?”, “Das macht doch unser Geschäftsführer.”, “Weiß ich nicht. Ich bin’s jedenfalls nicht.” – So und ähnlich lauteten die Antworten.

Es war also so, wie er dachte. Und im schon angesprochenen Gespräch mit dem Geschäftsführer bestätigte dieser, dass bisher kein Datenschutzbeauftragter bestellt wurde. TIM möge sich bitte darum kümmern. Heißt: Recherchieren, was es für Anforderungen gibt und wer es machen kann.

TIM wollte das Thema gerne schnell lösen. Denn in einem alten Wartungsvertrag für ein Projekt für einen größeren Kunden hatte er diese Klausel gesehen:

“Der Auftragnehmer sichert zu, dass er einen betrieblichen Datenschutzbeauftragten gemäß § 4f BDSG bestellt hat.”

TIM stieß bei seiner Recherche zum Thema BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER schnell darauf, dass die Person zum Zeitpunkt der Bestellung über die erforderliche “Fachkunde” und “Zuverlässigkeit” verfügen muss. Aber was Fachkunde und vor allem Zuverlässigkeit bedeutet? Fehlanzeige.

In einem Internetforum stieß er auf einen sinnvollen Hinweis: Ganz aktuell habe der “Düsseldorfer Kreis” eine Stellungnahme zu dem Thema abgegeben, welche Anforderungen ein Datenschutzbeauftragter zu erfüllen habe.

Düsseldorfer Kreis? Das ist ein Zusammenschluss der Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich. Also eine Gruppe der Aufsichtsbehörden, die in einzelnen Bundesländern für den Datenschutz von Unternehmen zuständig sind. Die treffen sich ab und zu mal und geben dann Stellungnahmen zu bestimmten Themen ab, die dann eine harmonisierte Ansicht aller Aufsichtsbehörden darstellt. Für Unternehmen ist das enorm praktisch, denn wenn diese die Anforderungen des Düsseldorfer Kreises einhalten, dürfen sie sich gegenüber der Aufsichtsbehörde auf die Stellungnahme berufen.

TIM hat sich die Stellungnahme dann hier als PDF heruntergeladen:

Mindestanforderungen an Datenschutzbeauftragte (Düsseldorfer Kreis)

Wenn Neural Pathway die dort genannten Mindestanforderungen einhalten würde, dann könnten – so TIMs Überzeugung – auch die vertraglichen Anforderungen gegenüber den Kunden eingehalten werden.

Was sind denn nun die Mindestanforderungen?

Bei der erforderlichen FACHKUNDE unterscheiden die Aufsichtsbehörden zwischen allgemeinen Kenntnissen, die immer vorliegen müssen, und branchenspezifischen Kenntnissen, die im Einzelfall – je nach Art des Unternehmens – gegeben sein müssen.

TIM findet das Dokument sehr übersichtlich, es lässt aber leider einige Fragen offen. Der Punkt der FACHKUNDE ist recht gut erläutert. Nach Auffassung der Aufsichtsbehörden muss ein Datenschutzbeauftragter Grundkenntnisse im Bereich des Datenschutzes von Mitarbeitern und anderen Betroffenen (z.B. Kunden) haben. Außerdem soll er umfassende Kenntnisse der für das Unternehmen maßgeblichen rechtlichen Regelungen des BDSG haben. Und das soll auch Kenntnisse über die zu treffenden technischen und organisatorischen Maßnahmen beinhalten.

Das ist schon eine ganze Menge. Und hinzu kommen dann noch Kenntnisse der “Datenschutzprinzipien” und der Datensicherheitsanforderungen nach § 9 BDSG. Was “Datenschutzprinzipien” sind…das sagt uns der Düsseldorfer Kreis nicht. Hier darf Tim “ahnen”.

Die Fachkunde soll dann abhängig von der Branche noch weitere Inhalte umfassen, z.B. Kenntnis von Datenschutzregelungen in Spezialgesetzen, besondere Kenntnisse im Bereich der Informations- und Telekommunikationstechnologie etc.

Neben der Fachkunde soll der Datenschutzbeauftragte ja aber auch ZUVERLÄSSIG sein – so das Gesetz. Davon ist in dem Papier des Düsseldorfer Kreises aber nicht die Rede bzw. es wird nur an einer Stelle darauf hingewiesen, dann aber nichts weiter dazu ausgeführt. In dem Dokument werden dann weiter nur die Begriffe der Fachkunde und UNABHÄNGIGKEIT erwähnt. TIM findet das ein wenig schade. Denn seine bisherigen Recherchen waren gerade beim Punkt der ZUVERLÄSSIGKEIT kontrovers. Denn dort ging es darum, wer im Unternehmen (oder als Externer) überhaupt Datenschutzbeauftragter werden darf. ZUVERLÄSSIGKEIT wurde in dem Zusammenhang immer mit bestehenden bzw. nicht erlaubten Interessenkonflikten und der Vermeidung einer “In-Sich-Kontrolle” diskutiert. Einigkeit bestand darin, dass der Geschäftsführer einer GmbH nicht gleichzeitig Datenschutzbeauftragter sein darf…und auch beim IT-Leiter – so TIMs Recherche – besteht ein Interessenkonflikt. Aber was ist mit der Personalleiterin oder dem Justitiar und vor allem dem Leiter des Controllings – also ihm? TIM hatte gehofft, in dem Dokument der Aufsichtsbehörden Klarheit zu bekommen. Leider bleibt diese Frage im Nebel verborgen. Schade.

Die Antworten zur Unabhängigkeit des Datenschutzbeauftragten im Unternehmen waren für TIM eine Aneinanderreihung von Selbstverständlichkeiten. TIMs Aufgabe bestand nun darin, eine Lösung für einen SINNVOLLEN VORSCHLAG zu finden: einen Vorschlag, den er dem Geschäftsführer vorlegen kann, indem konkret dargelegt wird, welche Anforderungen bestehen und wer als DATENSCHUTZBEAUFTRAGTER von NEURAL PATHWAY in Betracht kommt.

TIM beschloss, das Thema erst einmal sacken zu lassen. Vielleicht findet sich dann eine Lösung.

In einer nächsten Folge…

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.