Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) haben sich die Spielregeln in Sachen Datenschutz grundlegend geändert. Erstmals gibt es eine europaweit einheitliche Rechtsgrundlage, die auf nationaler Ebene nur wenig Gestaltungsspielraum lässt.

Beim Datenschutz im Sinne der DSGVO geht es um das Recht einer jeden Person auf informationelle Selbstbestimmung, sprich um den Schutz der Person vor unberechtigtem Umgang mit Informationen über sich selbst, zum Beispiel durch ungewollte Speicherung, Auswertung oder werbliche Nutzung (Stichwort "gläserner Mensch").

Insoweit ist jeder, der mit den Daten eines anderen Menschen in Berührung kommt, dazu verpflichtet, diese Daten vor unberechtigtem Zugriff zu schützen. Wir erleben hier quasi einen Paradigmenwechsel. Der Weg geht weg vom akzeptierten Risiko eines überschaubaren wirtschaftlichen Schadens im Falle einer Panne und hin zu einer klar definierten Nachweispflicht über das Ergreifen von Maßnahmen zur Vermeidung solcher Pannen - und deutlich höheren Bußgeldern schon für den Fall, dass die in der DSGVO geforderte Rechenschaftspflicht nicht umgesetzt wird.

Der Einstieg

Beim Datenschutz geht es nicht nur um den körperlichen Schutz personenbezogener Daten. Dies ist nur ein Teilaspekt. Es geht darum, dass grundsätzlich Vorkehrungen getroffen werden müssen, um den Schutz dieser Daten zu gewährleisten.

Dabei stehen an erster Stelle Fragen nach dem entsprechenden Fachwissen: Wer soll sich künftig um den Datenschutz kümmern? Betriebe mit mehr als neun Beschäftigten sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalverantwortlicher sein, um Interessenskollisionen zu vermeiden. Es kann sich um einen internen Datenschutzbeauftragten aus dem Kreise der Mitarbeiter oder einen externen Datenschutzbeauftragten handeln.

Dabei sollte man prüfen, ob eine interne Lösung überhaupt möglich ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist relativ hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.

Übrigens: Wenn eine Person, die keine Fachkunde nachweisen kann, quasi nur „pro forma“ zum Datenschutzbeauftragten benannt wird, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden.

Wer die Funktion an einen externen Spezialisten auslagern möchte, sollte bei den entsprechenden Berufsverbänden oder anderen Organisationen anfragen, ob Kooperationen mit auf die Besonderheiten der jeweiligen Branche spezialisierten Datenschutzberatern bestehen.

Datenschutz auch in kleinen Betrieben ein Thema

Betriebe mit bis zu neun Mitarbeitern haben aber dadurch keinen Freibrief. Zwar müssen sie keinen Datenschutzbeauftragten benennen. Die vorgeschriebenen Maßnahmen müssen sie aber trotzdem umsetzen. Die Umsetzung darf in diesen Betrieben aber auch von Personen durchgeführt werden, die nicht offiziell zum Datenschutzbeauftragten benannt sind. Das darf in einem solchen Fall eben auch der Geschäftsführer oder Inhaber sein. Und Achtung: Die oben geschilderten Anforderungen an die Fachkunde und der zeitliche Aufwand für die Umsetzung und Kontrolle der Maßnahmen bleiben natürlich gleich. Auch hier sollte zunächst eine spezielle Ausbildung absolviert werden, um das Datenschutz-Fachwissen zu schaffen. Ist eine interne Lösung nicht möglich, dürfen selbstverständlich auch Betriebe ohne Bestellpflicht die Aufgaben an externe Berater delegieren oder freiwillig einen Datenschutzbeauftragten bestellen.

Am Anfang steht also die Grundsatzfrage: Wer soll das Fachwissen in Sachen Datenschutz in den Betrieb bringen: ein interner Mitarbeiter oder eine externe Fachkraft?

Wenn eine interne Lösung bevorzugt wird und der Inhaber oder ein Mitarbeiter oder eine Mitarbeiterin eine entsprechende Ausbildung zum Datenschutzbeauftragten durchlaufen sollen, so sollte schnell gehandelt werden. Die Neuerungen aus der DSGVO sind spätestens bis zum 25.5.2018 umzusetzen – ansonsten drohen empfindliche Bußgelder!

Wer das Thema lieber mit einem externen Fachmann abdecken möchte, sollte sich jetzt auf die Suche machen und z. B. Kammern und Verbände ansprechen. Damit ist der erste Schritt in Richtung Datenschutz getan.