Ich möchte Ihnen hier kurz die Arbeit als externer Datenschutzbeauftragter (DSB) vorstellen. Ob Sie einen Datenschutzbeauftragten bestellen müssen, hängt von der Größe Ihrer Organisation und den Daten, die Sie verarbeiten, ab. Natürlich berate ich Sie auch dazu. Näheres darüber, wie ich für Sie tätig werden kann, finden Sie unter dem Punkt „Preise und Konditionen“.
Der externe oder auch interne Datenschutzbeauftragte (DSB) in einem Unternehmen ist niemand, der etwas verbieten oder anordnen kann. Vielmehr handelt es sich um eine Beratungs- oder Stabsstelle der Geschäftsführung. Und am Ende trifft die Geschäftsführung auch die Entscheidungen und ist dafür verantwortlich. Der DSB selbst ist nur in soweit verantwortlich, als dass er die Geschäftsführung richtig berät und seine Aufgaben vollständig erfüllt. Dabei sollte gerade der externe Datenschutzbeauftragte stets lösungsorientiert arbeiten. Es geht darum, datenschutzkonforme Wege für betrieblich notwendige Prozesse zu finden, die diese Prozesse so wenig wie möglich beeinträchtigen. Es geht im Datenschutz nicht darum, mit dem Datenschutz die betrieblichen Prozesse zum Stillstand zu bringen.
Der Datenschutzbeauftragte informiert ferner die Geschäftsführung über die allgemeinen Regelungen und Veränderungen im Datenschutz und über die Ausführungen der Aufsichtsbehörden zur Umsetzung des Datenschutzes in Unternehmen. Hierbei ist es sehr wichtig, dass der DSB stets aktuell informiert ist und sich fortlaufend weiterbildet.
Der DSB analysiert alle Prozesse einer Organisation, in welchen personenbezogene Daten verarbeitet werden. Hierbei untersucht der DSB insbesondere die Rechtsgrundlage für die Verarbeitung. Dieser Teil wird oftmals unterschätzt, ist aber in der Praxis sehr komplex. Oftmals sind gesetzliche Regelungen nicht auf den ersten Blick zu erkennen oder verstecken sich in den verschiedensten Gesetzen, Verordnungen und Satzungen. Nicht selten gibt es auch Vereinbarungen der Spitzenverbände mit öffentlichen Trägern, in denen bestimmte Regelungen getroffen werden, die datenschutzrelevant sind. Der Datenschutzbeauftragte findet also heraus, welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet und wie lange aufbewahrt werden dürfen. Auf dieser Basis gibt der DSB Empfehlungen zur Umsetzung des Datenschutzes in den verschiedenen Prozessen an die Geschäftsführung.
Der Datenschutzbeauftragte arbeitet für die Geschäftsführung Vorlagen als Empfehlung aus, welche Einwilligungsverfahren und Informationspflichten an betroffene Personen umsetzen. Er prüft Auftragsverarbeitungsverträge und nimmt Risikoabwägungen vor, zum Beispiel bei der Datenverarbeitung auf der Grundlage eines berechtigten Interesses. Ferner erstellt der DSB im Zusammenarbeit mit der Geschäftsführung ein Verzeichnis der Verarbeitungstätigkeiten (VVT) sowie ein betriebliches Verfahren zum Umgang mit Datenpannen. Wenn es im Einzelfall erforderlich ist, arbeitet der DSB zusammen mit der Geschäftsführung eine Datenschutzfolgeabschätzung (DSFA) aus.
Der Datenschutzbeauftragte empfiehlt der Geschäftsführung technische und organisatorische Maßnahmen, welche zur Umsetzung des Datenschutzes allgemein, sowie in bestimmten Prozessen, erforderlich sind. In diesem Zusammenhang schult der DSB auch regelmäßig die Mitarbeiter*innen auf den Datenschutz. Der DSB ist auch der Ansprechpartner der zuständigen Aufsichtsbehörde und führt ggf. die Kommunikation mit dieser. Bei Datenpannen empfiehlt der DSB der Geschäftsführung eine Vorgehensweise.
Letztlich kommt es dem Datenschutzbeauftragten auch zu, die Umsetzung des Datenschutzes in einem angemessenen Rahmen zu prüfen. Alle Prozesse sind am Ende nur so gut, wie sie auch wirklich in der Praxis umgesetzt werden oder technisch funktionieren. Hierbei ist als Qualifikation eines DSB, gerade auch eines externen Datenschutzbeauftragten, ein breites Grundwissen in der digitalen Welt und in IT erforderlich, damit technische Verfahren analysiert werden können. Findet der DSB in seinen Audits Umsetzungsfehler, unterrichtet er hierüber die Geschäftsführung.
Bei den technischen und organisatorischen Maßnahmen (TOMs), die sich vor allem auf die IT-Sicherheit beziehen. Findet sich der Schnittpunkt des DSB mit dem ISB, dem IT-Sicherheitsbeauftragten. Ich bin ebenso zertifizierter IT-Sicherheitsbeauftragter und kann auch als solcher tätig werden. Grundsätzlich können die beiden Funktionen, DSB und ISB, in Personalunion, auch extern, ausgeübt werden. Es ist nur wichtig, dass kein Interessenkonflikt vorliegt, was bei kleineren und mittleren Organisationen so gut wie nie der Fall ist. Ein IT-Sicherheitsbeauftragter wirkt bei der Datenschutz-Folgenabschätzung (DSFA) mit und ist die Person, die offiziell Schulungen zur IT-Sicherheit machen darf. Von daher kommt auch dieser Aufgabe eine wichtige Rolle zu.
