Fragen und Antworten zu Datenschutz im Unternehmen und zu Datenschutzbeauftragten
Wann muss ich einen Datenschutzbeauftragten benennen oder bestellen?
- wenn Sie in der Regel (!) 20 oder mehr Mitarbeiter (Festangestellte in Vollzeit oder Teilzeit, Azubis, Praktikanten, Freiberufler) beschäftigen und diese ständig personenbezogene Daten automatisiert verarbeiten oder
- wenn Sie personenbezogene Daten derart verarbeiten, das dies einer Datenschutzfolgenabschätzung unterliegt oder
- wenn Sie personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung (z. B. Auskunfteien aber auch Bewertungsportale) oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Machen Sie sich lieber erstmal selber ein Bild davon, ob Sie diese Grenze reißen. Denn Sie kennen Ihr Unternehmen am besten. Wenn Sie einen externen Datenschutzbeauftragten fragen, wird der Ihnen mit Sicherheit sagen, dass Sie ihn definitiv benennen müssen! Oder Sie fragen mich und Sie erhalten eine wertneutrale Einschätzung.
- eine umfangreiche (viele Personen oder große Mengen an personenbezogenen Daten), regelmäßige (fortlaufend oder periodisch) und systematische (nach einem organisierten, strategischen oder methodischen Ansatz) Beobachtung betroffener Personen erforderlich macht oder
- diese eine umfangreiche Verarbeitung besonderer Kategorien von Daten einschließt oder diese sich auf eine Verarbeitung über strafrechtliche Verurteilungen und Straftaten bezieht.
Was ist eine Datenpanne?
Eine Datenpanne ist passiert, wenn bei der Verarbeitung von Daten eine der Schutzziele des Datenschutzes verletzt werden, also entweder der
- Verlust der Vertraulichkeit
- Verlust der Integrität oder
- Verlust der Verfügbarkeit
Warum ist das Thema Datenschutz gerade im Bereich der Wirtschaftsprüfung und Steuerberatung so wichtig?
Wirtschaftsprüfer (WP) und Steuerberater (StB) sind aufgrund ihrer Berufspflichten an eine Verschwiegenheitspflicht gebunden, die sich nicht nur auf sie selbst, sondern auch auf ihre Mitarbeitenden erstreckt. Verletzungen dieser Pflichten können strafrechtliche Konsequenzen haben. Im Rahmen von Jahresabschlussprüfungen fordern Wirtschaftsprüfer oft umfangreiche Auskünfte, die Einblick in eine Vielzahl von Unternehmensunterlagen gewähren. Dabei werden häufig personenbezogene Daten der Mandant oder Dritter verarbeitet, was datenschutzrechtliche Vorschriften erfordert. Auch Steuerberater haben viele Berührungspunkte mit dem Datenschutz und müssen die datenschutzrechtlichen Anforderungen erfüllen, wie in den (im September 2023 aktualisierten) Hinweisen der Bundessteuerberaterkammer festgelegt.
Was macht ein benannter Datenschutzbeauftragter?
Ein benannter Datenschutzbeauftragter hat gesetzliche und individuelle Pflichten. Gesetzlich ist er für die Beratung und Unterstützung der datenschutzrechtlichen Anforderungen verantwortlich und überwacht deren Einhaltung. Zusätzlich unterstützt er bei der Erstellung von Informationen für Webseiten, führt Schulungen durch, stellt Vorlagen für Verarbeitungsverzeichnisse bereit und hilft im Ernstfall, beispielsweise bei Datenschutzverletzungen. Er muss dabei auch die Frage klären, ob bestimmte Vorfälle meldepflichtig sind und wie das entstandene Risiko für die Betroffenen minimiert werden kann.
Warum ist es ratsam, die Mitarbeiter regelmäßig in Sachen Datenschutz zu schulen?
Mitarbeiter sind entscheidend für die Umsetzung des Datenschutzes, nicht nur der Datenschutzbeauftragte. Mitarbeiter, z. B. bei WP und StB haben täglich mit hochsensiblen Daten zu tun und müssen sicherstellen, dass sie den Datenschutz nicht fahrlässig verletzen. Das Vertrauen der Mandant:innen ist ein wertvolles Gut, das erhalten werden muss. Außerdem ändern sich die Datenschutzanforderungen ständig. Entsprechend ist es für die Mitarbeiter und das Unternehmen wichtig, auf dem neuesten Stand zu bleiben, um Veränderungen in Gesetzen und Vorschriften zu berücksichtigen.
Was sind aktuell die größten Datenschutzrisiken?
Die größten Risiken sind Cyberangriffe, Fehlversände von sensiblen Informationen und das Risiko, das Thema Datenschutz nach dem anfänglichen Hype bei der Einführung der DSGVO zu vernachlässigen. Unsichere Datenübermittlung ist ebenfalls ein Risiko, das durch sichere Verschlüsselung minimiert werden kann.
Welche Tools oder Technologien empfehlen Sie, um die Datenschutz-Compliance zu unterstützen?
Die Wahl der Tools und Technologien hängt von der Größe des Unternehmens und der Intensität der Datenverarbeitung ab. Kleinere Unternehmen können mit Vorlagen für Verarbeitungsverzeichnisse und Schulungsunterlagen unterstützt werden, während größere Unternehmen (ab 20 Mitarbeiter) einen benannten Datenschutzbeauftragten und häufig auch eine intensivere und individuelle Beratung benötigen. Die Techniken und Methoden sind ähnlich wie bei klassischer Projektarbeit, erfordern jedoch individuelle Anpassungen. Da gibt es zum Beispiel eine Offene-Punkte-Liste, regelmäßige Termine oder Treffen, und ein Pflichtenheft, deren Einträge einmalig oder laufend bearbeitet werden.
Wie lässt sich die Einhaltung von datenschutzrechtlichen Anforderungen überwachen?
Die Überwachung datenschutzrechtlicher Anforderungen ist eine der Kernaufgaben eines Datenschutzbeauftragten. Er muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden. Die Geschäftsführung wiederum muss jederzeit nachweisen können, dass das Unternehmen datenschutzkonform handelt. Beides zusammen erfordert eine enge Zusammenarbeit, regelmäßige Treffen und eine gelebte Datenschutz-Kultur.
Sie haben Fragen ?
Datenschutz & Informationssicherheit
Externer Datenschutzbeauftragter
EuroPriSe Certified European Privacy Expert // CEPE LT
52076 Aachen / NRW