Fragen und Antworten zu Datenschutz im Unternehmen und zu Datenschutzbeauftragten

Wann muss ich einen Datenschutzbeauftragten benennen oder bestellen?

Nach nationalem Recht (Bundesdatenschutzgesetz) müssen Sie (als private Einrichtung/Unternehmen) einen Datenschutzbeauftragten benennen
  • wenn Sie in der Regel (!) 20 oder mehr Mitarbeiter (Festangestellte in Vollzeit oder Teilzeit, Azubis, Praktikanten, Freiberufler) beschäftigen und diese ständig personenbezogene Daten automatisiert verarbeiten oder
  • wenn Sie personenbezogene Daten derart verarbeiten, das dies einer Datenschutzfolgenabschätzung unterliegt oder
  • wenn Sie personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung (z. B. Auskunfteien aber auch Bewertungsportale) oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
In den meisten Fällen greift bei Unternehmen eher die 20-Mitarbeiterregel. Wenn Sie um diese 20 Mitarbeiter herum liegen, sollten Sie genau prüfen, welche Mitarbeiter davon tatsächlich "ständig automatisiert personenbezogene Daten" verarbeiten. Auch die Einschränkung "in der Regel" kann (falls es Spitz-auf-Knopf steht) für Sie ausschlaggebend sein.

Machen Sie sich lieber erstmal selber ein Bild davon, ob Sie diese Grenze reißen. Denn Sie kennen Ihr Unternehmen am besten. Wenn Sie einen externen Datenschutzbeauftragten fragen, wird der Ihnen mit Sicherheit sagen, dass Sie ihn definitiv benennen müssen! Oder Sie fragen mich und Sie erhalten eine wertneutrale Einschätzung.
Nach europäischen Recht (EU-Datenschutz-Grundverordnung) müssen Sie (als private Einrichtung/Unternehmen) einen Datenschutzbeauftragten benennen, falls Ihre Kernverarbeitungstätigkeit entweder (kumulativ)
  • eine umfangreiche (viele Personen oder große Mengen an personenbezogenen Daten), regelmäßige (fortlaufend oder periodisch) und systematische (nach einem organisierten, strategischen oder methodischen Ansatz) Beobachtung betroffener Personen erforderlich macht oder
Anders ausgedrückt müssen Sie nach europäischen Recht einen Datenschutzbeauftragten benennen, falls Sie ein Altersheim betreiben, eine Arztpraxis führen, zu anderen Dienstleistern im Gesundheitssektor gehören (z. B. Apotheke, Hospiz, Fitnessstudio), wenn Sie klinische Studien durchführen, wenn Sie eine Gewerkschaft managen oder wenn Sie ein Strafverteidiger mit eigener Kanzlei sind.
  • diese eine umfangreiche Verarbeitung besonderer Kategorien von Daten einschließt oder diese sich auf eine Verarbeitung über strafrechtliche Verurteilungen und Straftaten bezieht.
Auch müssen Sie einen Datenschutzbeauftragten benennen, falls Sie eine Profilbildung von Personen (analog oder digital) vornehmen bzw. wenn Sie Videoüberwachung oder GPS-Tracking vornehmen. Also wenn Sie eine Auskunftei betreiben, wenn Sie Apps mit Standortdatenverarbeitung anbieten, als Detektei, als Personenschützer oder als Personalvermittler bzw. Partnervermittlungsagentur.

Was ist eine Datenpanne?


Eine Datenpanne ist passiert, wenn bei der Verarbeitung von Daten eine der Schutzziele des Datenschutzes verletzt werden, also entweder der
  • Verlust der Vertraulichkeit
  • Verlust der Integrität oder
  • Verlust der Verfügbarkeit
von personenbezogenen Daten vorliegt.
Falsch dagegen ist die Definition einer Datenpanne (nach DSGVO), welche Sie in Wikipedia finden. Da ist nur die Rede von einer Datenpanne als "ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten".
Wikipedia schränkt die Datenpanne als Szenario ein, bei dem der Verlust der Vertraulichkeit vorliegt. Aber auch wenn die (personenbezogenen) Daten unberechtigt verändert wurden (Verlust der Integrität) oder wenn die Daten nicht mehr vorhanden sind (weil sie z. B. unerlaubt verschlüsselt wurden) liegt ganz eindeutig eine Datenpanne vor. In allen drei Fällen sollten Sie Ihren internen oder externen Datenschutzbeauftragten direkt einbinden, denn ab dem Zeitpunkt der Kenntnis zu der Datenpanne läuft eine 72h-Frist, auf die bei einer weiteren Frage näher eingehen werde.

Warum ist das Thema Datenschutz gerade im Bereich der Wirtschaftsprüfung und Steuerberatung so wichtig?

Wirtschaftsprüfer (WP) und Steuerberater (StB) sind aufgrund ihrer Berufspflichten an eine Verschwiegenheitspflicht gebunden, die sich nicht nur auf sie selbst, sondern auch auf ihre Mitarbeitenden erstreckt. Verletzungen dieser Pflichten können strafrechtliche Konsequenzen haben. Im Rahmen von Jahresabschlussprüfungen fordern Wirtschaftsprüfer oft umfangreiche Auskünfte, die Einblick in eine Vielzahl von Unternehmensunterlagen gewähren. Dabei werden häufig personenbezogene Daten der Mandant oder Dritter verarbeitet, was datenschutzrechtliche Vorschriften erfordert. Auch Steuerberater haben viele Berührungspunkte mit dem Datenschutz und müssen die datenschutzrechtlichen Anforderungen erfüllen, wie in den (im September 2023 aktualisierten) Hinweisen der Bundessteuerberaterkammer festgelegt.


Was macht ein benannter Datenschutzbeauftragter?

Ein benannter Datenschutzbeauftragter hat gesetzliche und individuelle Pflichten. Gesetzlich ist er für die Beratung und Unterstützung der datenschutzrechtlichen Anforderungen verantwortlich und überwacht deren Einhaltung. Zusätzlich unterstützt er bei der Erstellung von Informationen für Webseiten, führt Schulungen durch, stellt Vorlagen für Verarbeitungsverzeichnisse bereit und hilft im Ernstfall, beispielsweise bei Datenschutzverletzungen. Er muss dabei auch die Frage klären, ob bestimmte Vorfälle meldepflichtig sind und wie das entstandene Risiko für die Betroffenen minimiert werden kann.

Warum ist es ratsam, die Mitarbeiter regelmäßig in Sachen Datenschutz zu schulen?

Mitarbeiter sind entscheidend für die Umsetzung des Datenschutzes, nicht nur der Datenschutzbeauftragte. Mitarbeiter, z. B. bei WP und StB haben täglich mit hochsensiblen Daten zu tun und müssen sicherstellen, dass sie den Datenschutz nicht fahrlässig verletzen. Das Vertrauen der Mandant:innen ist ein wertvolles Gut, das erhalten werden muss. Außerdem ändern sich die Datenschutzanforderungen ständig. Entsprechend ist es für die Mitarbeiter und das Unternehmen wichtig, auf dem neuesten Stand zu bleiben, um Veränderungen in Gesetzen und Vorschriften zu berücksichtigen.

Was sind aktuell die größten Datenschutzrisiken?

Die größten Risiken sind Cyberangriffe, Fehlversände von sensiblen Informationen und das Risiko, das Thema Datenschutz nach dem anfänglichen Hype bei der Einführung der DSGVO zu vernachlässigen. Unsichere Datenübermittlung ist ebenfalls ein Risiko, das durch sichere Verschlüsselung minimiert werden kann.

Welche Tools oder Technologien empfehlen Sie, um die Datenschutz-Compliance zu unterstützen?

Die Wahl der Tools und Technologien hängt von der Größe des Unternehmens und der Intensität der Datenverarbeitung ab. Kleinere Unternehmen können mit Vorlagen für Verarbeitungsverzeichnisse und Schulungsunterlagen unterstützt werden, während größere Unternehmen (ab 20 Mitarbeiter) einen benannten Datenschutzbeauftragten und häufig auch eine intensivere und individuelle Beratung benötigen. Die Techniken und Methoden sind ähnlich wie bei klassischer Projektarbeit, erfordern jedoch individuelle Anpassungen. Da gibt es zum Beispiel eine Offene-Punkte-Liste, regelmäßige Termine oder Treffen, und ein Pflichtenheft, deren Einträge einmalig oder laufend bearbeitet werden.

Wie lässt sich die Einhaltung von datenschutzrechtlichen Anforderungen überwachen?

Die Überwachung datenschutzrechtlicher Anforderungen ist eine der Kernaufgaben eines Datenschutzbeauftragten. Er muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden. Die Geschäftsführung wiederum muss jederzeit nachweisen können, dass das Unternehmen datenschutzkonform handelt. Beides zusammen erfordert eine enge Zusammenarbeit, regelmäßige Treffen und eine gelebte Datenschutz-Kultur.

Sie haben Fragen ?

Rufen Sie uns jetzt an oder schreiben Sie uns eine Nachricht!
Ingo Goblirsch LL.M.

Datenschutz & Informationssicherheit
Externer Datenschutzbeauftragter
EuroPriSe Certified European Privacy Expert // CEPE LT

52076 Aachen / NRW