Isabelle Fircks, ProlianceVor allem in kleineren Unternehmen wird die DSGVO als lästiges Übel gesehen. Datenschutz findet oft nur beiläufig Beachtung und externen Datenschutzbeauftragten wird mit Skepsis begegnet. Geschäftsführer unterliegen zudem immer wieder typischen Irrtümern: »Datenschutz wird leider oft mit IT-Sicherheit verwechselt«, erklärt Isabelle Fircks, Geschäftsführerin des Datenschutzdienstleisters PROLIANCE (Datenschutzexperte.de). »IT-Sicherheit deckt letztlich nur einen Teil des eigentlichen Datenschutzes ab. Für jede Unternehmensabteilung – etwa Buchhaltung, Personal oder Vertrieb – bestehen besondere datenschutzrechtliche Vorgaben, die für IT-Abteilung meist nicht überschaubar sind.«

Kleine Unternehmen gehen regelmäßig davon aus, dass sie keinen Datenschutzbeauftragten benötigten. »Doch bereits ab zehn Mitarbeitern, die Zugriff auf personenbezogene Daten haben, beispielsweise über Outlook, ist ein Datenschutzbeauftragter vorgeschrieben«, stellt Fircks klar. »Als Mitarbeiter zählen auch Teilzeitkräfte, Freelancer und Praktikanten.«

»Wir wurden noch nie kontrolliert« ist auch eine beliebte Ausrede. Meist rechnet man nicht damit, dass eine Kontrolle das eigene Unternehmen trifft, bis es passiert. »Schon vor dem 25. Mai 2018 waren die Aufsichtsbehörden restriktiv«, sagt Fircks. »Nach Geltung der DSGVO muss mit einem noch härteren Durchgreifen gerechnet werden.«

Datenschutzbeauftragter: Nicht jeder ist zulässig

Die DSGVO regelt die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten im Artikel 37, 38 und 39. Vereinfacht ausgedrückt, kann jeder Datenschutzbeauftragter (DSB) werden, der sich die dafür nötige fachliche Qualifikation aneignet. Dabei kann es sich um einen internen Mitarbeiter handeln oder einen externen Dienstleister.

Der DSB berichtet unmittelbar an die Geschäftsleitung oder Vorstandsebene. Ihm kommt eine Kontrollpflicht zu, daher ist sicherzustellen, dass ihm keine Weisungen erteilt werden und der DSB völlig unabhängig arbeiten kann. Zudem darf der DSB wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Ein interner DSB erwirbt mit der Ernennung quasi den Stellenwert eines Betriebsrates.

Der DSB kann andere Aufgaben und Pflichten wahrnehmen, allerdings muss gewährleistet sein, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Das heißt, Mitglieder der Geschäftsleitung können nicht zum DSB benannt werden. Sie würden sich selbst kontrollieren und dies ist ausgeschlossen.

Da der DSB einen tiefen Einblick ins Unternehmen erhält, ist er zur Wahrung der Geheimhaltung und Vertraulichkeit verpflichtet. Speziell die Beauftragung eines externen DSB hat natürlich etwas mit Vertrauen zu tun. Derzeit muss man aber fast nehmen, was man kriegen kann. Die DSGVO hat alle Datenschutzfirmen an den Rand ihrer Kapazitäten gebracht – und vielfach darüber hinaus.

Vorsicht: IT-Dienstleister als Datenschutzbeauftragter

Nicht nur aus Ermangelung an Alternativen, könnte es durchaus praktisch sein, wenn der IT-Dienstleister die Aufgaben des Datenschutzbeauftragten mit übernehmen könnte. Er kennt das Unternehmen und die IT-Struktur, was durchaus als Vorteil gesehen werden kann. Natürlich benötigt er einen Mitarbeiter mit der entsprechenden Qualifikation und Erfahrung. Zulässig ist es trotzdem nicht.

Stephan Hansen-Oest, Fachanwalt für IT-RechtStephan Hansen-Oest, Rechtsanwalt mit Spezialisierung auf Datenschutz und IT-Recht, erklärt in seinem Datenschutz-Guru-Podcast, dass hier mit einem Interessenskonflikt zu rechnen sei. Laut Artikel 39.1b DSGVO überwacht der DSB die Einhaltung der Verordnung. Betreut ein IT-Dienstleister eine Firma umfassend, hat er auch mit Datenverarbeitung zu tun und würde sich demnach selbst kontrollieren.

Auch die Möglichkeit, den Datenschutzbereich in eine Tochterfirma auszulagern, sehen Anwälte und Aufsichtsbehörden kritisch. Eine Unabhängigkeit gegenüber der Muttergesellschaft, die vermutlich das Geld hat, könne nicht glaubhaft gewährleistet werden. Da es sich um ein EU-Gesetz handelt, seien die Aufsichtsbehörden auch um eine einheitliche Regelung bemüht. Daher ist davon auszugehen, dass alle im Zweifel eher auf Nummer sicher gehen.

Datenschutzbeauftragter: Kosten und Nutzen

Die Kosten für einen DSB variieren je nach Unternehmensgröße, Branche und Geschäftsfeld. In der Regel ist mit einer monatlichen Pauschale zu rechnen sowie mit einem einmaligen Honorar für das Anfangs-Audit und die dazugehörige Dokumentation (Verfahrensverzeichnis, TOM). Der Einstieg für kleinere Betriebe wie Handerker, Werkstätten und Einzelhändler beginnt bei Audit-Gebühren von zirka 1.250 Euro und monatlich 150 Euro. Ärzte, Apotheker, Online-Shops und kleinere IT-Firmen sollten mit über 2.000 Euro und 350 Euro monatlichen kalkulieren. Unternehmen mit mehr als 100 Mitarbeitern sind ab 3.000 Euro und ab 500 Euro/mtl. dabei. Wobei diese Preise eher als Anhaltspunkt gesehen werden sollten.

Im Moment spielt die Marktlage den Dienstleistern in die Karten. Gleichfalls darf auch der Aufwand, der hinter einer Bestandsanalyse steht, nicht unterschätzt werden. Auch steht der DSB mit seinem Namen für die Richtigkeit der Angaben. Datenschutz ist kein Freundschaftsdienst. Zudem muss sich der DSB immer auf dem Laufenden halten, auch über die Entwicklungen in den Branchen seiner Kunden. Es ist nicht damit getan, einmal ein Zertifikat zu erwerben. Vor allem für KMUs ist ein externer Dienstleister eigentlich eine sinnvolle »Anschaffung«.

Und auch für Firmen, die keinen DSB benennen müssen, ist es ratsam für die Bestandsaufnahme einen Experten zu Rate zu ziehen. Den einmaligen Ausgaben sollte eine Zeitersparnis gegenüberstehen und man hat dann eine korrekte Basis. Auf dieser können Betriebe aufbauen bzw. hat Bestand bis zu nächsten großen Überarbeitung der Datenschutzverordnung.

Datenschutz-Wissen aufbauen

Die Prüfung zum Datenschutzbeauftragten sollte eigentlich jeder bestehen, der den Lehrgängen ein bisschen Aufmerksamkeit geschenkt hat. Die Probleme kommen erst in der Praxis. Checklisten und Muster gehören meist zu den Seminarunterlagen. Mit der praktischen Anwendung steht der Datenschutznovize aber erstmal alleine da.

Die Anforderungen sind hoch, die Vorgaben aber eher unkonkret. Daher ergeben sich viele Fragen und Unsicherheiten. Einer der hier hilft, ist Stephan Hansen-Oest, Rechtsanwalt mit Spezialisierung auf Datenschutz und IT-Recht, der im Web unter datenschutz-guru.de sein Wissen weitergibt. Ein großer Teil ist frei zugänglich, seinen Coaching-Mitgliedern bietet er aber eine noch viel umfangreichere Download-Bibliothek.

Monatlich findet ein Live-Webinar zu einem aktuellen Thema statt. Ein Novum sind die sogenannten Office-Hours. Das darf man sich als eine Art Telefonsprechstunde vorstellen. Fragen können vorab eingereicht oder live »on Air« gestellt werden. Natürlich sind Aufzeichnungen verfügbar und auf Wunsch erhält der Teilnehmer auch eine Fortbildungsbescheinigung. Kosten: ca. 41 Euro für 1 Monat, 429 Euro für 12 Monate.