Type something to search...
Wozu brauchen wir überhaupt einen Datenschutzbeauftragten?

Wozu brauchen wir überhaupt einen Datenschutzbeauftragten?

Teil 7 unserer Serie über den kompletten Aufbau eines datengetriebenen Unternehmens Teil 6 lesen

Spätabends, nach dem Meeting, in dem die Frage nach dem Datenschutzbeauftragten zum ersten Mal laut ausgesprochen wurde, googelt der Projektleiter von Thalberg “Datenschutzbeauftragter Pflicht Mittelstand”.

Er findet drei Anwaltskanzleien, die kostenlose Erstberatung anbieten, einen Foren-Post aus 2018, der mittlerweile veraltet ist, und jede Menge widersprüchlicher Antworten, die ,mehr verwirren, als dass sie ihm weiterhelfen. Um 23:17 Uhr klappt er genervt den Laptop zu, schlauer ist er nicht geworden.

Das Problem ist vielen bekannt, die sich schon einmal initial mit diesem Thema auseinandergesetzt haben. Hier sind die Antworten die er gesucht hat.

Wann ist ein Datenschutzbeauftragter Pflicht?

Die DSGVO und das Bundesdatenschutzgesetz (BDSG) definieren drei Fälle in denen ein Datenschutzbeauftragter (DSB) bestellt werden muss:

  1. wenn die Kerntätigkeit des Unternehmens in der systematischen und umfangreichen Verarbeitung personenbezogener Daten besteht. Das betrifft zum Beispiel Auskunfteien, Adresshändler oder Unternehmen die Nutzerprofile im großen Stil erstellen.
  2. wenn besondere Kategorien personenbezogener Daten verarbeitet werden wie Gesundheits- oder biometrische Daten, politische Überzeugungen etc.
  3. Der für die meisten Mittelständler relevante Fall: Wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das klingt auf Anhieb erst mal nach viel, diese Zahl ist in der Praxis jedoch recht schnell erreicht: Wer ein CRM, ein ERP und jetzt ein Data Warehouse betreibt und mehrere Mitarbeiter hat, die täglich damit arbeiten, ist schnell dabei.

Im Zweifel lohnt sich die Bestellung auch ohne gesetzliche Pflicht, denn ein DSB, der früh einbezogen wird kostet im Endeffekt deutlich weniger als ein Bußgeld, das man hättevermeiden können.

Intern oder extern?

Beides ist möglich, beides hat seine Vor- und Nachteile.

  • Ein interner DSB kennt das Unternehmen, die Prozesse und die Menschen. Er ist nah dran, verfügbar und gut vernetzt. Der Nachteil: Er muss die nötige Fachkunde mitbringen, er darf nicht in einem Interessenkonflikt stehen (ein IT-Leiter z. B. kann nicht gleichzeitig DSB sein, da er die Systeme verantwortet die er beaufsichtigen soll) und er braucht ausreichend Zeit für die Aufgabe neben seinem eigentlichen Job.
  • Ein externer DSB bringt Fachkunde mit, ist unabhängig und haftet für seine Beratungsleistung. Er kennt das Unternehmen weniger gut, muss sich einarbeiten und ist nicht täglich vor Ort. Die Kosten variieren je nach Umfang, liegen für einen Mittelständler aber je nach Komplexität der Datenverarbeitung oft zwischen 500 und 2.000 Euro im Monat.

Für viele Mittelständler ist der externe DSB die pragmatischere Lösung: Fachkunde ohne internen Stellenaufbau, Unabhängigkeit ohne Interessenkonflikt.

Was ein DSB eigentlich macht

Das größte Missverständnis: Der DSB ist kein Verhinderer. Er sitzt nicht im Projekt um Nein zu sagen, sondern um sicherzustellen, dass das Unternehmen datenschutzkonform arbeitet und dabei gleichzeitig handlungsfähig bleibt.

Konkret bedeutet das:

  • Er berät bei der Gestaltung neuer Projekte und Prozesse
  • überwacht die Einhaltung der DSGVO im Unternehmen
  • ist Anlaufstelle für Mitarbeiter und betroffene Personen
  • schult das Team
  • arbeitet mit Aufsichtsbehörden zusammen wenn es nötig wird

Was ein DSB nicht macht

Das Wichtigste zuerst: Er entscheidet nicht. Die Entscheidung ob ein Datenprojekt umgesetzt wird, trifft das Unternehmen. Der DSB berät dazu, aber die Verantwortung bleibt beim Unternehmen, nicht beim DSB. Das ist ein wichtiger Punkt den viele falsch verstehen.

Weiterhin haftet er nicht persönlich für Datenschutzverstöße des Unternehmens. Wenn Thalberg eine Datenschutzpanne hat, haftet Thalberg, nicht der DSB. Er ist auch kein Datenschutzpolizist der Mitarbeiter überwacht oder Prozesse blockiert.

Und er ist kein Freifahrtschein: Wer einen DSB bestellt und danach glaubt, das Thema sei erledigt, liegt falsch.

Ein guter DSB ist wie ein guter Steuerberater: Er kennt die Regeln, navigiert durch sie, und sorgt dafür dass das Unternehmen auf der sicheren Seite ist, ohne dass jede Entscheidung zum bürokratischen Albtraum wird.

Thalbergs Entscheidung

Thalberg bestellt einen externen DSB. Der erste Anruf dauert 45 Minuten. Der DSB hat danach eine Liste mit elf Punkten die er bearbeiten möchte.

Der Praktikant steht auf Punkt drei…

Wie geht es weiter

Mit dem DSB an Bord und dem Datenschutz-Fundament im Bau kehren wir nächste Woche zur Technik zurück.

Thalberg bekommt seine erste rollierende Umsatzprognose und der Vertriebsleiter, der seit Wochen skeptisch ist ob ein Algorithmus wirklich besser vorhersagen kann als er selbst, wird zum ersten Mal still.

Related Posts

Datenschutz im DWH: Was die DSGVO für Datenprojekte bedeutet

Datenschutz im DWH: Was die DSGVO für Datenprojekte bedeutet

Das DWH steht, die ETL Pipeline läuft und plötzlich fragt jemand ob vorab eigentlich der Datenschutzbeauftragte einbezogen wurde. Spoiler: wurde er nicht.