Das Leben des zukünftigen Datenschutzbeauftragten

July 11, 2017
Das Leben des zukünftigen Datenschutzbeauftragten

Gastbeitrag von Heiko de Vries, Senior Business Solution Strategist, CEMEA bei VMware

Die EU DSGVO wirft ihre Schatten voraus: Obwohl das neue Datenschutzrecht erst ab 25. Mai 2018 offiziell in Kraft tritt, raten Experten schon heute zu wohl geplanten, langfristig angelegten Veränderungsmaßnahmen im Unternehmen. Das betrifft nicht nur in der EU ansässige Firmen, sondern zum Beispiel auch Global Player, wenn sie Daten von EU-Staatsangehörigen verarbeiten und speichern. Es gibt viele Bereiche im Unternehmen, in denen sich der strengere Datenschutz auswirkt – Website-Compliance, Zertifizierungen und vor allem auf die Rolle des Datenschutzbeauftragten innerhalb eines Unternehmens. Denn es kommen nicht nur neue Aufgaben auf den Datenschutzbeauftragten zu – auch seine Verantwortung wird größer. Es ist also an der Zeit, einen Blick auf die Zuständigkeiten eines Datenschutzbeauftragten (Kapitel 4, Art. 39 DSGVO)  zu werfen, um zu klären, welche alltäglichen Aufgaben er wahrnehmen muss – und welche Rolle er im Falle eines Notfalls wie einer Cyberattacke einnimmt!

Die Aufgaben – was ist zu tun?

Generell kann festgehalten werden, dass die Aufgaben eines Datenschutzbeauftragten wesentlich umfassender und somit zeitintensiver werden. Der Titel zieht jetzt eine Vollzeitstelle mit sich und verabschiedet die vergängliche „nebenbei mal prüfen, ob der Schutz der Daten eingehalten wird“-Herangehensweise des Datenschutzes. Der Datenschutzbeauftragte kontrolliert proaktiv und kontinuierlich die Datenverarbeitungs-prozesse und ob der Datenschutz auch wirklich eingehalten wird. Zudem fungiert er als Ansprechpartner in allen Fragen des Datenschutzes und ist für die Schulungen zur Einhaltung des DSGVO zuständig. Dazu zählt, dass er die Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten über aktuelle Vorgänge unterrichtet, eine Strategie entwirft, wie sich das Unternehmen auf die gesetzeskonforme Verarbeitung von Daten vorbereiten kann und die Mitarbeiter entsprechend schult. Auch die enge Zusammenarbeit mit der Aufsichtsbehörde zählt zu den Aufgaben des Datenschutzbeauftragten. In Anbetracht der großen Bandbreite der Aufgaben könnte es sinnvoll sein, insbesondere in großen Unternehmen mehrere Datenschutzbeauftragte einzustellen. Denn: Auch ein Datenschutzbeauftragter benötigt eine Urlaubs – oder Krankheitsvertretung. Bei Abwesenheit muss sichergestellt werden, dass die Prozesse dennoch geprüft werden!

Grundsätzlich sollte ein Datenschutzbeauftragter „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ mit einbezogen werden, um oben genannten Pflichten und Aufgaben Folge leisten zu können (vgl. Art. 38 Abs. 1 DSGVO). So kann bereits vor der Datenverarbeitung geprüft werden, ob die Daten auch gesetzeskonform behandelt werden, um zu verhindern, dass nachträglich Anpassungen getätigt werden müssen.

Worst Case Szenario: Cyberattacke – welche Rolle hat der Datenschutzbeauftragte?

Nun zu einer Frage, die vor dem Hintergrund aktueller Ereignisse für viele Unternehmen eine wichtige Bedeutung hat: Wie sieht die Rolle des Datenschutzbeauftragten aus, wenn die Organisation Opfer einer Cyber-Attacke wird? Welche Aufgaben fallen dem Datenschutzbeauftragten zu? Jetzt wird es juristisch knifflig, denn die EU DSGVO enthält an dieser Stelle keine konkreten direkten Handlungsanweisungen. Da aber der Datenschutzbeauftragte bereits mit der Thematik der Sicherheit der Daten vertraut und zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet ist, ist stark davon auszugehen, dass er sowohl mit den IT-Sicherheitsbeauftragten als auch mit der Geschäftsführung eng zusammenarbeiten wird. Und so sollte es selbstverständlich sein, dass der Datenschutzbeauftragte der Geschäftsführung beratend zur Seite steht und Maßnahmen vorgibt, die im Notfall ergriffen werden müssen. Vermutlich wird er auch dafür verantwortlich sein (bzw. dafür verantwortlich gemacht werden), die zuständigen Behörden über den Vorfall innerhalb von maximal 72 Stunden zu informieren. Damit das Unternehmen auf den Ernstfall vorbereitet ist, sollte es zusammen mit dem Datenschutzbeauftragten einen Risikoplan ausarbeiten, bevor es überhaupt zu einer Cyber-Attacke kommt. So sind erstens die Vorbereitungen im Falle eines Hacks bereits getroffen und zweitens die Zuständigkeiten bereits geklärt. Denn bei einem Cyber-Angriff zählt vor allem eines: eine schnelle und zuverlässige Zusammenarbeit der zuständigen Personen, sodass das Leck schnell gestopft werden kann und das Amt, die Betroffenen, sowie in Folge potentiell betroffene andere Unternehmen schnellstmöglich informiert sind. Und auch beim Thema Haftung bleibt die EU DSGVO ungenau: Zwar steht fest, dass der Datenschutzbeauftrage für seinen Bereich bei Datenschutzverletzungen in bestimmten Fällen haftet, aber trotzdem ist das Unternehmen für die Einhaltung der Regeln zuständig. Mir scheint es, dass der reine Gesetzestext noch einige Detailfragen offen lässt, die einer Interpretation / juristischen Auslegung bedürfen. Ich hoffe sehr, dass sich diese Fragen bis zum 25. Mai 2018 geklärt haben werden, denn schließlich hat jeder zukünftige Datenschutzbeauftragte ein Recht auf eine klare Definition seiner Zuständigkeiten, seiner Verantwortlichkeiten und seiner Rolle.

Haben Sie auch noch offene Fragen, die das EU DSGVO  Ihnen nicht beantworten kann? Wie stellen Sie sich auf die neue Rolle des Datenschutzbeauftragten ein? Bleiben Sie dran und verfolgen Sie mit uns spannende Themen rund um Digitalisierung, IoT & Co. auf Twitter.


 
Related Posts
 

Die neue EU-Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber definitiv eine Reihe von in der Praxis erheblichen Veränderungen auf, auf die Heiko de Vries von VMware in seinem aktuellen Blog genauer eingeht. Besser gesagt auf die vorgesehenen Bußgelder und Sanktionen, die mit der Nichteinhaltung der neuen Vorgaben einhergehen können.

 
 
Blog Archive