Wofür brauchen Unternehmen einen Datenschutzbeauftragten?

Datenschützer haben in der Geschäftswelt einen schlechten Ruf. Viele empfinden sie als Bremser oder Digitalisierungsgegner – zumindest als jemanden, der Prozesse verkomplizieren, Firmen das Leben und Arbeiten schwer machen, Innovationen verhindern und unnötige Kosten verursachen will. Die Wahrheit: Genau das Gegenteil ist der Fall.

Wer als Firmenchef das Thema DSGVO und Co. in trockene Tücher bringen will, startet in der Regel mit der Frage: Brauche ich eigentlich einen Datenschutzbeauftragten? Und was macht dieser Experte überhaupt genau? Umgangssprachlich wird dieser Titel häufig doppeldeutig genutzt. Zum einen verstehen einige darunter die verschiedenen Aufsichtsbehörden der Bundesländer. Die DSGVO (Datenschutz-Grundverordnung) meint mit dem Begriff jedoch vielmehr einen betrieblichen Experten, der kontrolliert, ob das Unternehmen die vorgegebenen Richtlinien einhält.

Welche Organisationen einen solchen Posten ausweisen müssen, regelt das Bundesdatenschutzgesetz in §38 ziemlich konkret: Alle Unternehmen, die „…in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Soll heißen: Wer als Inhaber mehr als 20 Personen unter Vertrag hat, ist im Regelfall verpflichtet, einen Datenschutzbeauftragten zu bestellen. Azubis fallen bei der Zählung raus. Bei Teams mit 19 und weniger Kollegen greift diese Pflicht somit nicht.

Das ändert aber nichts an der Verbindlichkeit zur Vorsorge – alles, was die DSGVO fordert, muss umgesetzt werden. Auch bei Ein-Mann-Betrieben. Der formelle Unterschied: Unter der magischen 20-Personen-Grenze kann der Chef frei wählen, wie er es handhaben will. Will er keinen Beauftragten benennen, muss er sich als Verantwortlicher selbst darum kümmern, dass alles regelkonform abläuft.

30 Minuten DSGVO richtig umsetzen

Bei Amazon kaufen!

Intern oder extern besetzen?

Als nächstes kommt die Frage auf, ob ein interner oder externer Kandidat die Aufgabe erfüllt. Dabei sollten Entscheider Folgendes im Hinterkopf haben: Bei einem internen Datenschutzbeauftragten haftet der Arbeitgeber. Entsprechend fallen Pannen und Bußgelder auf ihn zurück. Außerdem: IT-Sicherheit, digitale Privatsphäre sowie Schutz der personenbezogenen Daten sind komplexe, dynamische Themen, dessen Leitplanken sich durch neue Urteile ständig verändern. Ein Beauftragter muss diese Entwicklungen konsequent im Blick haben, sich permanent informieren und die eigenen Systeme entsprechend kontrollieren. Bei großen Firmen kann das zum Fulltimejob werden.

In der Regel haben interne Akteure jedoch noch andere Aufgaben im Tagesgeschäft. Der Fokus liegt folglich nicht allein auf dem Datenschutz. Es bleibt wenig Zeit für Weiterbildung. Solange keine Probleme auftreten, mag das ausreichen. Doch schon bei einer banalen Auskunftsanfrage kann das schnell zu Fehlern führen – und Irrtümer verursachen Kosten und Imageschäden. Oftmals fehlt internen Kandidaten zudem die Erfahrung im Umgang mit Behörden. Ungeschickte Kommunikation verschlimmern kritische Situationen dann noch. Ein externer Profi hingegen steht täglich in den verschiedensten Branchen mit Behörden im Austausch. Das schließt Handwerksfehler von vornherein aus. Gleichzeitig weiß er, wie sich brenzlige Situationen schnell beruhigen lassen, falls es doch einmal zu einer Panne kommt.

Chef, Team und Kunden beraten – Bürokratie und Kosten vermeiden

Welche Aufgaben ein Datenschutzbeauftragter konkret wahrnimmt, steht in Artikel 39 der DSGVO: Sein wichtigster Job ist es, die Geschäftsleitung und alle Mitarbeiter über die gesetzlichen Pflichten zu unterrichten und bei der Umsetzung zu beraten. Er beantwortet offene Fragen von Team und Inhaber und kontrolliert, ob das Unternehmen alle Vorgaben erfüllt: Sind die Schutzstrategien zielführend? Kennt jeder seine Zuständigkeit? Sind alle Mitarbeiter informiert? Er berät Betriebe bei der Datenschutz-Folgenabschätzung und dient als Ansprechpartner für die Aufsichtsbehörde.

Ein externer Beauftragter setzt Datenschutz somit nicht selbst um, sondern leitet Chef, Crew und Kunden an. Er bewertet, ob Verarbeitungstätigkeiten rechtmäßig sind und berücksichtigt das Risiko für die Betroffenen. Außerdem behält er im Auge, ob definierte Prozesse und Sicherheitsmaßnahmen eingehalten werden. Ein Profi unterstützt das System so, dass die Geschäftsprozesse so wenig Bürokratie wie möglich belastet. Denn wer sich ohne profunde Kenntnis selbst ans Werk macht, provoziert meist genau das: Formularwahnsinn und Frust.

Dass externe Profis in Einzelfällen Maßnahmen trotzdem umsetzen, ist häufige Praxis. Effizienter ist aber, wenn qualifizierte interne Teamkollegen die Technik warten. Die Mehrheit glaubt zudem, der externe Datenschützer sei derjenige, der für das ganze Thema verantwortlich ist. Das stimmt so nicht. Verantwortlich bleibt der Geschäftsführer, Vorstand oder Inhaber. Der Kopf des Betriebes kann zwar Elemente und Fragen auslagern, nicht aber die Verantwortung. Gleichzeitig müssen Unternehmen sicherstellen, dass der Beauftragte seine tatsächlichen Aufgaben überhaupt erfüllen kann. Ein systematischer Prozess muss ihn über relevante Betriebsabläufe informiert halten. Zudem muss er direkt an die oberste Leitung berichten und weisungsfrei aktiv werden können.

Innovationen nach vorne bringen – und nicht bremsen

Summa summarum: Eine kompetente Datenschutzfachkraft hilft Organisationen, wettbewerbsfähig zu bleiben. Das gelingt, indem sie wichtige Prozesse zum Schutz personenbezogener Informationen integriert. Sie kennt die spezifischen Anforderungen des technischen Datenschutzes – angepasst an die Besonderheiten der jeweiligen Branche. Sie trägt dazu, die Kosten für die interne IT-Infrastruktur zu optimieren. Was sie nicht tut, ist den digitalen Fortschritt oder Investitionen in neue Technologien zu verhindern. Vielmehr vermeidet ein Profi Fehlkäufe überteuerter Software und hilft, den richtigen Weg einzuschlagen, sodass neue Technik den Betrieb voranbringt und nicht bremst.

^{Bildnachweis: ©Depositphotos.com}