„Datenschutzbeauftragte sind keine Frühstücksdirektoren“
Grundsätzlich gilt: Beim Beruf des Datenschutzbeauftragten handelt es sich um eine weitgehend unabhängig arbeitende Konsultations- und Kontrollinstanz, welche die Einhaltung der geltenden Datenschutzregeln laut DSGVO und BDSG im Unternehmen gewährleisten soll. Es besteht für Unternehmen und öffentliche Stellen die Verpflichtung, eine Person für diese Position zu ernennen. Hierbei ist ein Datenschutzbeauftragter direkt der jeweiligen Unternehmens- oder Behördenleitung zu unterstellen.
Was sind die Aufgaben eines Datenschutzbeauftragten? Laut Artikel 39 DSGVO sind dies die Unterrichtung des Betriebs über die Vorgaben des Datenschutzes, die Überwachung der Einhaltung der Vorgaben, Beratung bei einer Datenschutz-Folgeabschätzung sowie die Schulung der Belegschaft.
Im aktuellen Fall war der Datenschutzbeauftragte nicht an die höchste Managementebene angebunden. Ebenso war er nicht in vielfältige Fragen des Schutzes persönlicher Daten eingebunden worden. Außerdem erhielt der Datenschutzbeauftragte nicht ausreichend Qualifizierungsmaßnahmen. Das Unternehmen verfügte zudem über keinen formalisierten Kontrollplan, nach dem der Datenschutzbeauftragte die unternehmensinterne Einhaltung der DSGVO-Vorgaben überwachte. „Dies zeigt, dass wir mit unserem Vorgehen, ein formalisiertes (aber nicht bürokratisches) Audit-, Revisions- und Kontrollverfahren zu etablieren, goldrichtig liegen,“ so Dr. Voßbein weiter.
Apropos Qualifizierung: Der Datenschutzbeauftragte soll gemäß Artikel 37 Absatz 5 der DSGVO folgende Voraussetzungen erfüllen „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, […]“ Kurz: Eine umfangreiche Fachkunde ist zur Ausübung der Position zwingend erforderlich. Diese werden durch externe Datenschutzbeauftragte in der Regel erfüllt, ohne dass Weiterqualifikations-Maßnahmen bezahlt werden müssen.
„Wir begrüßen das konsequente Vorgehen der Datenschutzbehörde. Die Entscheidung belegt, dass Unternehmen nicht einfach pro forma den Hausmeister zum Datenschutzbeauftragten ernennen oder ihn mit zu geringen Kompetenzen ausstatten können. Es reicht nicht, einfach nur die Position des Datenschutzbeauftragten zu schaffen und zu besetzen. Sie muss auch entsprechend strukturell ausgestaltet und organisationstechnisch eingebunden sein. Wir bestärken und unterstützen die Verantwortlichen darin, die gesetzlichen Vorgaben zu erfüllen und somit Strafen durch die Aufsichtsbehörden zu verhindern“, verweist der erfahrene Datenschutzfachmann Dr. Jörn Voßbein auf seine Expertise.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de