Daten­schutz­be­auf­tragter für KMU´s

Wer sich in seinem Unter­nehmen mit der IT-Security beschäftigt, muss sich auch die Frage stellen: „Brauchen wir einen Daten­schutz­be­auf­tragten“. 

Ver­pflichtung für den Einsatz eines Daten­schutz­be­auf­tragten?
Ab welcher Größe eines Unter­nehmens besteht die gesetz­liche Ver­pflichtung zum Einsatz eines Daten­schutz­be­auf­tragten
 (im Fol­genden DSB genannt).Verankert ist die Fest­legung im Bun­des­da­ten­schutz­gesetz (§4f). Hier steht, dass Unter­nehmen, die per­so­nen­be­zogene Daten auto­ma­ti­siert ver­ar­beiten, einen DSB beauf­tragen müssen. Aus­nahme sind Unter­nehmen, in denen höchstens neun Per­sonen mit der auto­ma­ti­sierten Ver­ar­beitung per­so­nen­be­zo­gener Daten betraut sind.
 

Wer darf DSB werden?
Ein Daten­schutz­be­auf­tragter für intern kann aus den „eigenen Reihen“ bestellt oder von extern gezielt für diese Aufgabe ein­ge­stellt werden. Letztlich ent­scheidet dies das Unter­nehmen nach den betrieb­lichen und daten­schutz­re­le­vanten Erfor­der­nissen selbst. Es ist jedoch darauf zu achten, dass dem DSG genügend Zeit­scheiben für die qua­li­fi­zierte Wei­ter­bildung und Aus­übung seiner Tätigkeit zur Ver­fügung (Frei­stellung) gestellt werden. S. auch blog-Beitrag v. B. Bosch. 
 

Warum macht der Einsatz eines DSB Sinn?
Oftmals wird bereits seitens der Klientel/Kundschaft der Nachweis nach einem DSB verlangt/erwartet. Sen­sible Kun­den­daten gibt man nur aus der Hand, wenn sicher­ge­stellt ist, dass auch die not­wen­digen Rah­men­be­din­gungen für einen sicheren Umgang mit diesen Daten gewähr­leistet ist (z.B. Zer­ti­fi­zierung nach ISO, Trust­Center etc.).
Der Nachweis eines DSB bei der Daten­­schutz-Auf­­­sichts­­be­­hörde kann im Scha­densfall viel Ärger ver­meiden. Somit ist, wie oben beschrieben, bei einer bestimmten Mit­ar­bei­ter­anzahl der Nachweis gegeben, sich um die recht­lichen Vor­aus­set­zungen nach dem Bun­des­da­ten­schutz­gesetz gehalten zu haben. Damit kann auch ver­mieden werden, dass ein ent­spre­chendes Bußgeld gegenüber der Geschäfts­leitung erhoben wird.
Ver­träge mit Partner, Lie­fe­ranten etc. ent­halten oftmals bereits stan­dard­mäßig daten­schutz­recht­liche Ver­trags­klauseln, die dann auch von einem DSB geprüft und abge­zeichnet werden müssen.

Welche Auf­gaben hat ein Daten­schutz­be­auf­tragter im Unter­nehmen?
Die Detail­tiefe der Auf­gaben eines DSB hängt ganz stark von den Pro­zess­ab­läufen eines Unter­nehmens ab.
Grund­sätz­liche Auf­gaben sind jedoch:

• Über­wa­chung der Ein­haltung der Daten­schutz­regeln im Unter­nehmen
• Er hat die Kon­troll­kom­petenz über daten­schutz­re­le­vante Abläufe im Unter­nehmen
• Gut­achten erstellen, Ver­träge prüfen, Betriebs­ver­ein­ba­rungen und Unter­neh­mens­richt­linien zum Daten­schutz und Daten­si­cherheit erstellen und mit Behörden (z.B. DS-Auf­­­sichts­­be­­hörde) zu kom­mu­ni­zieren
• Über­wa­chung der EDV-Pro­­­gramme (Prüfung der Aktua­lität, Einsatz von Firewall und anderen IT-Pro­­­dukten etc.)
• Schulung und Sen­si­bi­li­sierung der Mit­ar­beiter zum Thema Daten­schutz und Daten­si­cherheit

Fazit:
Zum einen besteht eine (bundesdatenschutz-)gesetzliche Pflicht (s. Aus­füh­rungen oben) zur „Instal­lation“ eines Daten­schutz­be­auf­tragten, zum anderen macht es durchaus Sinn einen DSB im Unter­nehmen zu beschäf­tigten. Allein aus Image­gründen gegenüber den Kunden und Lie­fe­ranten ergibt sich damit ein gutes Gefühl dem Daten­schutz und der Daten­si­cherheit im Unter­nehmen einen großen Schritt „ent­ge­gen­ge­kommen“ zu sein bzw. Ver­ant­wortung in Sachen Daten­schutz und Daten­si­cherheit zu über­nehmen.

Weitere Infos zum Thema