Management

Externer Datenschutzbeauftragter – Vorsicht vor Interessenkollision!

Falsche Ansprechpartner, falsche Annahmen, falsche Schlussfolgerungen: Bei der Umsetzung der Europäischen Datenschutz-Grundverordnung unterlaufen Unternehmen weiterhin gravierende Fehler. Nach Beobachtung des Unternehmens Koell Consulting, das als externer Datenschutzbeauftragter eine Vielzahl an Unternehmen aller Größenordnungen betreut, beruhen die meisten Probleme auf der Kombination von mangelndem Wissen und Ressourcenproblemen.

 „Das Monster kommt“ titelte Österreichs größtes Wirtschaftsmagazin Trend im Mai dieses Jahres. Damals war klar, dass ein erschreckend hoher Anteil der klein- und mittelständischen Unternehmen keine oder nur marginale Vorkehrungen zur Umsetzung der DSGVO getroffen hat. Ob der medialen Präsenz und Kassandrarufe aus allen möglichen Ecken kam da und dort dann doch etwas Panik auf. Kein Wunder - die Aufzählung der vielen neuen Pflichten der Unternehmen macht atemlos: Verzeichnisses aller Verarbeitungstätigkeiten führen; alle Betroffenen bei der Datenerhebung detailliert über die Datenverwendung informieren; Betroffenen auf Anfrage über die verarbeiteten Daten und deren Speicherdauer Auskunft geben; in bestimmten Fällen eine Datenschutz-Folgenabschätzung durchführen; nach einem Datenmissbrauch binnen 72 Stunden die Datenschutzbehörde informieren; falls verhältnismäßig, Datenschutz- Policies einführen, Verträge mit externen Dienstleistern zur Auftragsverarbeitung schließen, Datenschutzerklärung für die Website erstellen, Einwilligungen zur Datenverarbeitung prüfen, regelmäßige Evaluierungen, Marketingaktivitäten checken, Cookies und Werbetools ... All diese Pflichten sind neue, zeitfressende Papiertiger. Dazu kommen technisch-organisatorische Pflichten wie die Umsetzung der neuen Rechte „auf Vergessen“ oder auf „Datenportabilität“ der Konsumenten, ebenso die Pflicht, Datenschutz durch Technik und Software-Voreinstellungen zu gewährleisten, und die Pflicht, in bestimmten Fällen Datenschutzbeauftragte einzuführen.


DSGVO - auch für kleinere Unternehmen machbar
Die neue datenschutzrechtliche Rechenschaftspflicht mit einer Fülle an formalen Informations-, Dokumentations- und Nachweiserfordernissen, ein Rattenschwanz an Transparenzvorschriften, Verfahrensdokumentationen und technische Details, die selbst Experten fordern - viele Unternehmen sind damit ressourcenseitig schlicht überfordert. Laut Markus Köll von Koell Consulting nutzen viele Firmen mehr oder weniger geeignete Datenschutz-Management-Tools oder wälzen das Thema auf einen Mitarbeiter mit Crash-Kurs in der DSGVO ab. „Nicht nur Regulierungen haben zugenommen, sondern auch die Kosten bei Compliance-Verstößen. Sogar eine nur annähernd korrekte Umsetzung der Datenschutzverordnungen und die daraus folgende andauernde Sensibilisierung der Mitarbeiter kostet Unternehmen Zeit, Geld und Ressourcen, die für den wirtschaftlichen Erfolg jedoch häufig anderswo gebraucht werden“ so Köll. Nach seinen Erfahrungen hat sich - trotz anhaltender Ressentiments - in den vergangenen Monaten aber auch im Mittelstand der Fokus auf datenschutzrechtliche Erfordernisse verstärkt. „Unbestritten geht es hier um eine recht komplexe Rechtsmaterie, die in Kombination mit notwendigen technischen Anpassungen bei vielen Unternehmen noch immer zu reflexhaften Abwehrreaktionen gegen ein „Bürokratiemonster aus Brüssel“ führt. Tatsache ist, dass es nicht einfach ist, alle 99 Artikel der DSGVO zu berücksichtigen - aber es ist auch für kleinere Unternehmen machbar“, so der Tiroler Datenschutz-Experte.


Interner Datenschutzbeauftragter - Risiko und Nebenwirkungen
Ein wichtiger Akteur im unternehmerischen Datenschutzmanagement - speziell auch im Bereich der Rechenschaftspflicht - ist der Datenschutzbeauftragte. Dieser ist zwar gemäß DSGVO nur in bestimmten Fällen gesetzlich vorgeschrieben, etwa wenn in Unternehmen als Kerntätigkeit systematisch und umfangreich Einzelpersonen überwacht oder in großem Umfang besondere Kategorien von personenbezogenen Daten verarbeitet werden, erleichtert aber in jeder Organisation die Einhaltung der vielfältigen datenschutzrechtlichen Bestimmungen. Trotz des hohen Sanktionsrisikos und der beträchtlichen Kosten bei Compliance-Verstößen haben vor allem kleine und mittelständische, Eigentümer geführte Unternehmen bis dato darauf verzichtet, einen Mitarbeiter zum Datenschutzbeauftragten zu bestellen. Zum einen muss der Mitarbeiter für die relativ teure Aus- und Weiterbildung freigestellt und mit angemessenen Finanzmittel sowie Infrastrukturen ausgestattet werden, zum anderen wird der Mitarbeiter mit dem Moment der Bestellung einen nicht unerheblichen Teil seiner Arbeitszeit für die Belange des Datenschutzes verwenden. Dazu kommt, dass ein betrieblicher Datenschutzbeauftragter kraft Gesetzes wegen der Erfüllung seiner Aufgaben weder abberufen noch anderweitig benachteiligt werden darf, also auch einen gewissen Kündigungsschutz hat und in seiner Tätigkeit als Datenschutzbeauftragter unabhängig von den Weisungen seiner Vorgesetzten ist. Auch dürften die meisten Unternehmen, die sich mit der Bestellung eines internen Datenschutzbeauftragten befasst haben, festgestellt haben, dass dies gar nicht so einfach ist. Denn nach der Datenschutz-Grundverordnung wird von einem Datenschutzbeauftragten nicht nur verlangt, dass er die erforderliche Fachkunde und Zuverlässigkeit besitzt, sondern auch keine Tätigkeiten im Unternehmen ausführt, die im Konflikt zu den Aufgaben des Datenschutzes stehen. Derartige Interessenskonflikte sind insbesondere etwa bei Eigentümern oder Geschäftsführern, IT-Leitern, Personalleitern, Marketingchefs, aber auch z. B. bei IT-Administratoren gegeben und wurden bereits mit nicht unerheblichen Strafen geahndet.


Lösungsvorschlag: der externe Dateschutzbeauftragte
Ein Ausweg aus diesem Dilemma kann die Bestellung eines externen Datenschutzbeauftragten sein. Dieser wird die erforderliche Fachkunde bereits besitzen und auf einer vertraglich fest vereinbarten Grundlage abrechnen. Außerdem gibt es keine Probleme mit Urlaubs- und Krankheitsvertretungen, fehlender Neutralität oder Betriebsblindheit. Sein Einsatz lässt sich konfliktfrei, bedarfsgerecht sowie effizient planen und der Dienstleistungsvertrag mit dem externen Datenschutzbeauftragten kann vereinbarungsgemäß gekündigt werden. Die Erfahrung hat darüber hinaus gezeigt, dass ein externer Datenschutzbeauftragter für kleine bis mittelständische Unternehmen zudem meist die kostengünstigste Variante darstellt. „Beim Thema DSGVO unterschätzen gerade kleinere Unternehmen nicht nur Ihre Pflichten sondern auch die klaren gesetzlichen Vorschriften, wer, wann und wo mit der Ausarbeitung, Umsetzung und Überwachung von innerbetrieblichen Compliance-Richtlinien beauftragt werden darf“, sagt Datenschutzexperte Markus Köll. Wegen fehlender personellen Ressourcen und mangelnder fachlichen Kompetenzen lässt man die DSGVO häufig nicht nur vom erstbesten verfügbaren Personal umsetzen, sondern überträgt gesetzliche Pflichten und Agenden des Datenschutzes an externe Dienstleister, die bereits in anderen Bereichen in einem Auftragsverhältnis zum Unternehmen stehen. „Wer den Datenschutz beispielsweise an seinen EDV-Dienstleister auslagert, der diese anspruchsvolle Aufgabe so nebenbei miterledigt, oder an seinen Rechtsanwalt mit gesamtbetrieblichem Mandat, verstößt nicht nur gegen gültige Compliance- Richtlinien sondern provoziert auch Interessenskonflikte und schlimmstenfalls teure Regelverstöße. Ein externer Datenschutzbeauftragter wahrt demgegenüber regelmäßig und konfliktfrei nicht nur eine neutrale Position innerhalb des Unternehmens, sondern auch nach außen. Er fungiert als Schnittstelle zu den Betroffenen und Aufsichtsbehörden, wahrt ohne Betriebsblindheit das Datenschutzbewusstsein im Unternehmen und überwacht die Datenschutz-Compliance. Das schafft Mehrwert und größtmögliche Rechtssicherheit - aber eben nur dann, wenn er in keinem anderen Auftragsverhältnis zum Unternehmen steht und beispielsweise gleichzeitig seine eigenen IT-Leistungen kontrollieren müsste!“


Fazit
DSGVO betrifft alle Unternehmensbereiche und sollte von Professionisten angegangen werden, die komplex und vernetzt denken können. Mit ausgeprägten Social Skills und interdisziplinärem Verständnis für die betrieblichen Abläufe und die durchgeführten Datenverarbeitungsvorgänge. Mit umfassender Kenntnis in den europäischen sowie nationalen Rechtsvorschriften und Expertise im Datenmanagement sowie in der IT-Sicherheit. Koell Consulting bietet spezialisierte Beratungsleistungen innerhalb des neuen Data-Governance-Systems und fungiert als zertifizierter externer Datenschutzbeauftragter in Unternehmen verschiedenster Branchen und Größen. Maßgeschneiderte Beratungskonzepte und praxisorientierte Leistungspakete - von die Erstellung eines initialen Datenschutz-Risikoprofils und der Erhebung des aktuellen Datenschutzniveaus, dem Verzeichnis der Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung über Privacy by Design & Default bis hin zu Betroffenenrechten, dem Umgang mit Datenschutzverletzungen und entsprechenden Mitarbeiterschulungen - sichern jedem Unternehmen ein angemessenes Datenschutzniveau mit garantierter Kostentransparenz und Planungssicherheit.


Über die Koell Consulting GmbH
Koell Consulting berät im Rahmen von Projekten oder der Bestellung als externer Datenschutzbeauftragter in allen datenschutzrechtlichen Angelegenheiten. Geschäftsführer Markus Köll ist kompetenzübergreifend ausgebildet, zertifizierter Datenschutzbeauftragter und Datenschutzauditor mit einem weitem Netzwerk von hochspezialisierten Partnern in allen rechtlichen und technischen Detailbereichen der Informationssicherheit. In diesem großen Wissens- und Erfahrungspool werden höchste Beratungskompetenz mit methodischen und strukturierten Konzepten sowie verständlichen Implementierungsstrategien zu pragmatischen Lösungen vereint. Das Beratungskonzept beruht neben der hohen Qualifikation der Consultants auf den fünf Qualitätsversprechen Individualität, Sorgfalt, Praxisnähe, Diskretion sowie absolute Kostentransparenz und beinhaltet alle Fachkompetenzen für die Umsetzung eines funktionierenden Datenschutz-Managementsystems. Das umfassende Dienstleistungsangebot der Koell Consluting richtet sich ausschließlich an betriebliche Organisationen mit Schwerpunkt kleine und mittelständische Unternehmen bis 250 Mitarbeiter. Im Netzwerk und auf Basis von Kooperationen können aber auch größere Projekte betreut werden. In jedem Fall steht Koell Consulting für ein erfolgreiches Datenschutzmanagement, das zum Erfolgsfaktor moderner Unternehmen in der Informationsgesellschaft wird.


Kontakt:
Markus Köll
E-Mail: markus.koell@koell.com
Telefon: +43 664 920 34 22
skype: markus_koell_office
c/o Koell Consulting GmbH
Spitzächerweg 3, A-6460 Imst
www.koell.com

19. Juli 2019

über mittenDrin



Wir suchen Verstärkung für unser Team in Berlin


mittenDrin Heft Nr. 2

mittenDrin Heft Nr. 2

Printausgabe S134

Bestellen

mittenDrin Heft Nr. 1

mittenDrin Heft Nr. 1

Printausgabe S160

Bestellen