Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?

Foto: © oliavlasenko - adobe.stock.com

DSGVO – Der Datenschutzbeauftragte wird’s schon richten. So ist der ein oder andere der Meinung, wenn er einen Datenschutzbeauftragten bestellt, ist alles geregelt und erledigt. Frei nach der Devise, der wird das schon machen und wenn nicht, ist der Datenschutzbeauftragte dran. Weit gefehlt!

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) und das überarbeitete Bundesdatenschutzgesetz (BDSG) treten am 25.05.2018 in Kraft. Das bedeutet, dass Geschäftsführer von Unternehmen, CIOs, Datenschutzbeauftragte, Abteilungsleiter, IT-Leiter und auch HR-Leiter sich mit dem Thema beschäftigen müssen, um entsprechende Prozesse aufzusetzen, welche die neuen Regelungen des Datenschutzes einhalten.

Der betriebliche Datenschutzbeauftragte1

Wie bei allen Personalentscheidungen kommt es auf die Auswahl und die Nachweisbarkeit an. Damit ist gemeint, dass der Unternehmer sich von der Kompetenz und Qualifikation des Datenschutzbeauftragten überzeugen sollte. Besteht für einen Datenschutzbeauftragten eine Bestellpflicht bzw. wird ein Datenschutzbeauftragter freiwillig bestellt, dann erfordert das aus Gründen der Nachweisbarkeit die Schriftform. Hierzu sind in einer Bestellungsurkunde die Aufgaben im Sinne der EU-DSGVO festzuhalten. Diese Aufgabenübertragung ist eine Zuweisung von Zuständigkeiten im Innenverhältnis. Bezüglich des Außenverhältnisses verbleibt die Verantwortung bei der hierfür verantwortlichen Stelle, also dem Unternehmer!

Aufsichtsbehörden konsultieren und Datenschutzfolgen abschätzen2

Bei der Verarbeitung von personenbezogenen Daten ist festzustellen, ob und welche Risiken im Einzelnen für die Rechte der Betroffenen bestehen. Diese Risiken sind zu erfassen, zu analysieren und zu bewerten. Die Risikobewertung im Datenschutz, Datenschutzfolgenabschätzung genannt, wird nachvollziehbar, wenn das oberste Ziel der Schutz der Persönlichkeitsrechte der Betroffenen im Fokus steht.

In vielen Fällen wurde in der Vergangenheit an dieser Stelle leichtfertig gehandelt. Dies äußerte sich zum Beispiel so: „Was will denn einer mit diesen persönlichen Informationen oder Daten anfangen?“ oder in der Aussage, „Wir haben doch gar keine personenbezogenen Daten“. Heute im Zeitalter, in dem personenbezogene Daten das neue Gold sind und das Internet nichts vergisst, ist es umso wichtiger, sich über die Folgen Gedanken zu machen. Damit diese Gedanken auch nachweisbar und nachvollziehbar für Dritte sind, müssen sie dokumentiert werden. In diversen Branchen ist dieses Vorgehen etabliert und alltägliche Routine, aber bei weitem nicht in allen Lebensbereichen.

weiter auf Seite 2