Ist der Data Protection Officer das fehlende Puzzleteil Ihrer Organisation?

Isabella Lüders
By: Isabella Lüders DSGVO | 2 Dezember

Seit Mai 2018 ist der Datenschutz noch strenger geworden. Die DSGVO (Datenschutz-Grundverordnung) ist jetzt für jeden, der personenbezogene Daten verarbeitet, verbindlich. Viele Unternehmen mussten sich mit den 7 Prinzipien des Datenschutzes vertraut machen und sich schnell anpassen. Die Richtlinien sind allerdings manchmal schwer zu verstehen und noch schwerer umzusetzen. Deswegen haben sich viele Unternehmen entschieden, einen Data Protection Officer (DPO), auch Datenschutzbeauftragter (DSB), einzustellen. Wir hoffen, dass dieser Artikel Ihnen hilft, die Rolle eines Data Protection Officers zu verstehen und zu wissen, wann Sie einen haben sollten und welche Vorteile das für Ihre Organisation bringt.   

Was ist ein Datenschutzbeauftragter?

Der DSB (Datenschutzbeauftragte) ist eine Person innerhalb des Unternehmens mit der primären Aufgabe sicherzustellen, dass alle Daten innerhalb des Unternehmens nach der DSGVO verarbeitet werden. Immer wenn ein Unternehmen personenbezogene Daten sammelt und verarbeitet, hat es und seine Angestellten die Verantwortung, damit rechtmäßig umzugehen. Das betrifft jeden von Geschäftspartnern bis Kunden und Mitarbeiter*innen, denen zugesichert werden sollte, dass ihre Daten geschützt sind. Der DPO ist immer beteiligt, wenn ein Problem im Zusammenhang mit der Verarbeitung personenbezogener Daten auftritt und gewährleistet werden muss, dass die Organisation rechtmäßig handelt. Seine einzige Verantwortung, der DSGVO zufolge, ist es bei dem Prozess der Datenverarbeitung zu beraten und zu unterstützen. In der Praxis, jedoch, kann ein DSB auch bei anderen Aufgaben beistehen, wie dem Erstellen relevanter Datenverarbeitungsprotokollen, dem Schulen von Mitarbeiter*innen zur Datenregulierung und dem Kontrollieren der Einhaltung der DSGVO. 

Wann sollten Sie einen Data Protection Officer haben?

Unabhängig von Größe und Branche verarbeitet Ihr Unternehmen immer auf die eine oder andere Weise personenbezogene Daten. Deswegen ist es notwendig, jemanden zu haben, der die Einhaltung der DSGVO überwacht. Es gibt allerdings drei Fälle, in denen die Beschäftigung eines DPOs verpflichtend ist. 

  1. Behörde – Personenbezogene Daten werden von einer öffentlichen Körperschaft oder Behörde verarbeitet 

  2. Umfangreiche und regelmäßige Überwachung – Die Verarbeitung von personenbezogenen Daten ist eine Kerntätigkeit und wird regelmäßig ausgeführt

  3. Umfangreiche besondere Kategorien von Daten – Die Verarbeitung von „besonderen“ Datenkategorien, das bedeutet sensible Daten, als Kernaktivität und im großen Umfang 

Manchmal fällt ein Unternehmen zwar nicht unter eine dieser drei Kategorien, profitiert aber dennoch von einem eigenen DPO. Später werde ich erklären, wie er bei der Einhaltung der DSGVO unterstützen kann. Viele wachsende Unternehmen suchen sich einen DPO, der beim Umgang mit den stets zunehmenden Mengen personenbezogener Daten hilft. 

Allerdings ist ein eigener DPO nicht für jeden geeignet. Wenn Sie in einem kleinen Unternehmen arbeiten, kann es viel einfacher und kosteneffizienter sein, die Verantwortung für die Einhaltung der DSGVO auf mehrere Leute zu verteilen. Oder Ihre Organisation verarbeitet nur kleine Datenmengen, bei denen der rechtmäßige Umgang deutlich einfacher ist. Es kann auch sein, dass Sie schon ein funktionierendes und effizientes System haben, das nicht umstrukturiert werden muss. Das hängt alles vom Kontext Ihres Unternehmens ab. 

Welche Aufgaben hat ein Data Protection Officer?

Der Zweck eines DSBs ist es, das Unternehmen bei der Einhaltung der EU-Regelungen zu unterstützen, welche von der nationalen Datenschutzbehörde Ihres Landes durchgesetzt werden. Verletzungen der DSGVO können schwerwiegende Konsequenzen haben, weil gegen Organisationen Strafen in Höhe von 20 Millionen € oder 4 % ihres weltweiten Umsatzes verhängt werden können. Aufgrund der Vertraulichkeit seiner Arbeit ist der DPO normalerweise unmittelbar der obersten Geschäftsführung unterstellt ohne jegliche Einflussnahme der Organisation.  

Genauer gesagt hat der DPO folgende Aufgaben: 

  1. Beantwortung von Fragen und Umgang mit Bedenken in Bezug auf die DSGVO 

  2. Informieren der Organisation und der Angestellten über ihre Verpflichtungen im Rahmen der DSGVO 

  3. Überwachung der Einhaltung der DSGVO durch die Ausbildung der Mitarbeiter*innen und Durchführung von Audits 

  4. Erstellung von Datenschutzfolgenabschätzungen  

  5. Zusammenarbeit und Kommunikation mit den Datenschutzbehörden 

Welche Qualifikationen braucht ein Data Protection Officer?

Einen qualifizierten Kandidaten zu finden ist der wesentliche erste Schritt. Auch wenn die DSGVO keine besonderen Erfordernisse anführt, wird nahegelegt, dass das Kompetenzniveau des DPO der Komplexität der Datenverarbeitung entsprechen sollte. Hier sind einige Vorschläge, wonach Sie bei einem Kandidaten suchen sollten:  

  • Relevante Erfahrung in der Arbeit mit Datenschutzrecht auf europäischer und weltweiter Ebene (einschließlich der Erstellung von Entwürfen für Datenschutzrichtlinien, technischen Bereitstellungen und der Tätigkeit im Bereich Compliance) 

  • Arbeitserfahrung mit IT-Programmierung oder -Infrastruktur (einschließlich Zertifizierung für Informationssicherheitsstandards) 

  • Wesentliche Erfahrung bei der Überprüfung von Informationssystemen, Zertifizierungsaudits und Risikoabschätzungen 

  • Nachweisliche Fähigkeit, an einer Vielzahl von Projekten verschiedener Parteien und Führungspersonen zu arbeiten und sie zu koordinieren 

  • Kommunikative Fähigkeiten, um Personen aus unterschiedlichen Abteilungen mit unterschiedlichen Kenntnisständen anzusprechen (einschließlich der leitenden Geschäftsführung, der betroffenen Personen, Führungspersonen, IT-Mitarbeiter*innen und Rechtsanwälte) 

  • Die Fähigkeit, sich das erforderliche Wissen in dynamischen Umgebungen anzueignen 

  • Erfahrung in rechtlicher wie auch technischer Ausbildung und bei der Bewusstseinsbildung 

  • Erfahrung im erfolgreichen Umgang mit unterschiedlichen Unternehmenskulturen und Branchen 

Für diese Position können Neuanstellungen eine Herausforderung sein. Leider ist die Nachfrage nach fähigen DPOs sehr hoch, was bedeutet, dass dieser Prozess viel Zeit erfordern und eine Herausforderung sein kann.  

Allerdings ist ein guter Ausgangspunkt für die Suche ein Blick in Ihrer eigenen IT- oder Rechtsabteilung, da die Mitarbeiter*innen dort bereits wissen, welche Arten von Daten auf welche Weise verarbeitet werden. Da die Einhaltung der DSGVO ein sehr dynamischer Bereich ist, müssen Sie beim erforderlichen Schutzniveau und aktuellen Entwicklungen auf dem Laufenden sein. Falls nötig, sollte diese*r Angestellte jede notwendige Fortbildung oder Zertifizierung im Bereich DSGVO bekommen.  

Wie können Sie von einem Data Protection Officer profitieren?

Hier ist eine kurze Auflistung, wie ein DPO Ihnen und Ihrer Organisation nützlich sein kann:  

  1. Der DPO führt Sie durch die komplexen DSGVO-Vorschriften und hilft beim rechtmäßigen Umgang mit Daten   

  2. Er steigert die allgemeine Compliance, indem er die Geschäftsführung, Führungspersonen und Angestellte schult, wie man mit personenbezogenen Daten umgeht 

  3. Im Fall eines Sicherheitsverstoßes legt der DPO die notwendigen Protokolle vor, wie man intern und öffentlich vorgehen muss, da Sie die Behörden innerhalb von 72 Stunden über den Vorfall informieren müssen. 

  4. Er kann Sie beraten, wenn technische Ressourcen zugeordnet werden, damit die Cybersicherheit, die den Datenschutz beinhaltet, gestärkt wird. 

Es gibt so viel mehr, was Sie tun können!

Wie Sie sehen können, kann ein DPO die täglichen Aufgaben in Ihrer Organisation vereinfachen. Er kann Ungewissheit vermindern und Sie bei den größeren Aufgaben der Datenverarbeitung unterstützen. Der DSB kann Ihnen helfen große Geldstrafen und Datenpannen zu vermeiden.  

Aber ein eigener DPO ist beim Umgang mit Daten nicht die einheitliche Lösung und nicht in jedem Fall geeignet. Wie in viele anderen Gebieten der Cybersicherheit spielt jedes Mitglied Ihrer Organisation eine wichtige Rolle beim Schutz und der Verarbeitung personenbezogener Daten. Deswegen kann jede*r Angestellte von Awareness-Training profitieren. Alle sollten lernen, was personenbezogene Daten sind, was die 7 Prinzipien des Datenschutzes sind, wie man mit personenbezogenen Daten umgeht und vieles mehr. Deswegen trägt das Awareness-Training dazu bei, Ihre Organisation sicherer zu machen. 

Smart CTA_e-book DE