„Datenschutzbeauftragte sind keine Frühstücksdirektoren“

Datenschutz hat nicht zuletzt durch die DSGVO einen hohen Stellenwert erhalten. In Unternehmen, Behörden und letztlich der gesamten Gesellschaft ist Datenschutz Thema, viel häufiger als in früheren Zeiten. Datenschutzbeauftragte sind längst keine Seltenheit mehr, sondern gelebter Alltag in Betrieben und öffentlicher Verwaltung. Für Aufsehen sorgt nun die luxemburgische Datenschutzbehörde. Sie verhängte zum Ende des vergangenen Jahres ein Bußgeld gegen ein Unternehmen. Grund für die Strafe: Die Position des Datenschutzbeauftragten war nicht im Einklang mit den rechtlichen Grundlagen der DSGVO ausgestaltet. „Die gesetzliche Pflicht zur Ernennung eines Datenschutzbeauftragten darf nicht auf die leichte Schulter genommen werden. Die Qualifizierung der Person sowie die Unabhängigkeit der Position müssen im Mittelpunkt stehen“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein anlässlich der Entscheidung der Datenschutzbehörde. Welche Aufgaben sind zu erledigen? Wie können Strafen für Unternehmen verhindert werden?

Grundsätzlich gilt: Beim Beruf des Datenschutzbeauftragten handelt es sich um eine weitgehend unabhängig arbeitende Konsultations- und Kontrollinstanz, welche die Einhaltung der geltenden Datenschutzregeln laut DSGVO und BDSG im Unternehmen gewährleisten soll. Es besteht für Unternehmen und öffentliche Stellen die Verpflichtung, eine Person für diese Position zu ernennen. Hierbei ist ein Datenschutzbeauftragter direkt der jeweiligen Unternehmens- oder Behördenleitung zu unterstellen.

Was sind die Aufgaben eines Datenschutzbeauftragten? Laut Artikel 39 DSGVO sind dies die Unterrichtung des Betriebs über die Vorgaben des Datenschutzes, die Überwachung der Einhaltung der Vorgaben, Beratung bei einer Datenschutz-Folgeabschätzung sowie die Schulung der Belegschaft.

Im aktuellen Fall war der Datenschutzbeauftragte nicht an die höchste Managementebene angebunden. Ebenso war er nicht in vielfältige Fragen des Schutzes persönlicher Daten eingebunden worden. Außerdem erhielt der Datenschutzbeauftragte nicht ausreichend Qualifizierungsmaßnahmen. Das Unternehmen verfügte zudem über keinen formalisierten Kontrollplan, nach dem der Datenschutzbeauftragte die unternehmensinterne Einhaltung der DSGVO-Vorgaben überwachte. „Dies zeigt, dass wir mit unserem Vorgehen, ein formalisiertes (aber nicht bürokratisches) Audit-, Revisions- und Kontrollverfahren zu etablieren, goldrichtig liegen,“ so Dr. Voßbein weiter.

Apropos Qualifizierung: Der Datenschutzbeauftragte soll gemäß Artikel 37 Absatz 5 der DSGVO folgende Voraussetzungen erfüllen „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, […]“ Kurz: Eine umfangreiche Fachkunde ist zur Ausübung der Position zwingend erforderlich. Diese werden durch externe Datenschutzbeauftragte in der Regel erfüllt, ohne dass Weiterqualifikations-Maßnahmen bezahlt werden müssen.

„Wir begrüßen das konsequente Vorgehen der Datenschutzbehörde. Die Entscheidung belegt, dass Unternehmen nicht einfach pro forma den Hausmeister zum Datenschutzbeauftragten ernennen oder ihn mit zu geringen Kompetenzen ausstatten können. Es reicht nicht, einfach nur die Position des Datenschutzbeauftragten zu schaffen und zu besetzen. Sie muss auch entsprechend strukturell ausgestaltet und organisationstechnisch eingebunden sein. Wir bestärken und unterstützen die Verantwortlichen darin, die gesetzlichen Vorgaben zu erfüllen und somit Strafen durch die Aufsichtsbehörden zu verhindern“, verweist der erfahrene Datenschutzfachmann Dr. Jörn Voßbein auf seine Expertise.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel