News

Lockerung der Benennungspflicht für den Datenschutzbeauftragten ändert nichts daran, dass alle Unternehmen die DSGVO umsetzen müssen

01.07.2019 - Am 21. Juni 2019 wurde das 2. Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) verabschiedet und die damit verbundene Aufweichung der Benennungspflicht zum Datenschutzbeauftragten, nach der künftig 20 statt bislang 10 Mitarbeiter eines Betriebs ständig mit der Verarbeitung personenbezogener Daten betraut sein müssen.

Vor dem Hintergrund von Künstlicher Intelligenz und Big-Data ist dies auch nach Aussage des Berufsverbandes der Datenschutzbeauftragten BvD ein überholtes analoges Denken, das gerade kleinen und jungen Digitalunternehmen mehr schadet als nutzt.

Der Vorsitzende des BvD, Spaeing, unterstreicht: „Mit KI-Anwendungen und automatisierten Datenauswertungen werden die Daten zumeist nur von einer kleinen Anzahl von Personen ‚verarbeitet‘. Insofern ist das Konzept, die Benennung eines Datenschutzbeauftragten von einer Anzahl von Mitarbeitern abhängig zu machen, von gestern“. „Jeder Verantwortliche, der personenbezogene Daten zum Geschäft mache oder umfänglich verarbeite, müsse einen Datenschutzbeauftragten an seiner Seite haben.“

Bekannt ist schon lange, dass z. B. die Automobilindustrie bereits an eigenen Datenschutz-Vorgaben und Zertifizierungen von Lieferanten arbeitet, um deren Zulieferung abzusichern. „Ein Zulieferer, der mit Datenschutz- oder Datensicherheitsproblemen kämpft, ist für seine Kunden ein Risiko“, unterstrich Spaeing. Auch in anderen Branchen seien Datenschutzaudits bei Zulieferern und Dienstleistern längst Standard.

„Wer nicht mithalten kann, bekommt keinen Auftrag“, sagte Spaeing. Das treffe zunehmend auch junge Start-Ups, die ihre Ideen im vermeintlich rechtsfreien Raum entwickelten. „Wenn dann die Compliance-Anforderungen der Kunden kommen, reagieren junge Unternehmen oft mit Unverständnis, – für sie ist das ein desaströser Wettbewerbsnachteil.“

„Hier wurde eindeutig Kompetenz abgebaut und somit zwangsläufig die Bürokratie erhöht, da sämtliche Anforderungen der EU-DSGVO trotzdem zu erfüllen sind“ stellte Spaeing fest.

Dieses ist sicher die Kernaussage, auf die wir hier ebenfalls hinweisen möchten: egal, ob ein Unternehmen nach der DSGVO oder nach dem BDSG einen Datenschutzbeauftragten benötigt oder nicht: sämtliche Vorschriften des Datenschutzes müssen von allen Unternehmen eingehalten werden! Dies funktioniert nur mit kompetenten Mitarbeitern.

Die Regierungskoalition hatte in einer Nachtsitzung mit Sparbesetzung die Annahme des 2. DSAnpUG am Freitag um 01:30 Uhr beschlossen. Dieses Gesetz nimmt Änderungen in 154 weiteren Gesetzen vor. Neben der Änderung der Benennungspflicht in § 38 BDSG wurde auch § 26 BDSG angepasst. In § 26 Abs. 2 Satz 3 BDSG entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.

Dem vom Bundestag beschlossenen 2. DSAnpUG muss noch der Bundesrat zustimmen, der am Freitag tagt. Die Änderungen sollen einen Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten.

Wir als externe Datenschutzbeauftragte und Datenschutzauditoren und Fachanwälte bieten jahrelang erworbenes Fachwissen und Berufserfahrung. Wir wissen, wo wir hinlangen müssen! Nehmen Sie mit uns Kontakt auf:

Columbus Consulting
Dr. Inge Rötlich, Rechtsanwältin
TÜV-zertifizierte Datenschutzbeauftragte und Datenschutzauditorin
Fachanwältin für Urheber- und Medienrecht

Mahdentalstr. 82
71065 Sindelfingen

Tel. 07031 – 41 80 90 
info@columbus-consulting.eu


Mit Datenschutz auf Nummer sicher

29.04.2019 - Datenschutz beschäftigt viele Unternehmen. Dr. Inge Rötlich ist seit 1998 in ihrer eigenen Kanzlei in Sindelfingen als Rechtsanwältin aktiv. Als Datenschutzbeauftragte und -auditorin unterstützt sie Betriebe dabei, sich sicher aufzustellen. Wie das funktioniert und warum das so wichtig ist, erklärt die Gründerin der Columbus Consulting im Gespräch.

Warum rückt Datenschutz so stark in den Fokus?

Das Thema an sich ist ja nicht neu. Doch seit dem 25. Mai 2018 gilt die neue EU-Datenschutz Grundverordnung. Zum einen formuliert sie wesentlich strengere Kriterien. Zum anderen drohen noch höhere Sanktionen. Hier stehen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes im Raum. 

Wie dünn ist das Eis, auf dem sich Unternehmen bewegen?

Die Gefahren sind auf den ersten Blick oft nicht erkennbar. Ich erlebe es immer wie-der, dass kleine und mittelständische Unternehmen gegen die Richtlinien verstoßen. Und sie sind sich dessen nicht einmal bewusst. Das Eis ist also dünn, um im Bild zu bleiben. Nicht umsonst liegt es mir am Herzen, über Datenschutz aufzuklären und Betroffene greifbar zu unterstützen. Die Übergangsfrist von zwei Jahren, die seit Mai 2016 lief, ist längst vorbei, und die Behörden haben im Prinzip kulanterweise noch länger Zeit gewährt – aber seit Anfang diesen Jahres 2019 ist das nach der Aussage der Behörden auf jeden Fall vorbei. Weiter nichts zu tun, ist also für Unternehmen gefährlich und nicht compliant.

Welche Betriebe sind betroffen und was ist zu tun?

Wer mehr als zehn Personen beschäftigt, die ständig in der automatisierten Datenverarbeitung arbeiten, hat mit Datenschutz ein Topthema auf seiner Agenda. Es genügt schon, wenn zehn Mitarbeiter am Computer aktiv sind oder mit sensiblen Daten hantieren. Dann braucht ein Unternehmen einen Datenschutzbeauftragten. Es macht Sinn, diese Tätigkeit an qualifizierte externe Berater auszulagern.

Was machen denn Datenschutzbeauftragte und was brauchen sie?

Sie beraten und analysieren Risiken, um sie dann offenzulegen. Danach geht es da-rum, so effizient wie tragfähig die Organisation datenschutzkonform zu optimieren. Externe Kräfte sind zertifiziert und auf dem neuesten Stand. Eigene Mitarbeiter bilden sich fortlaufend weiter. Das ist sehr wichtig. Übrigens: Interne Datenschutzbeauftragte dürfen nur Mitarbeiter ohne leitende Position sein. Und externe Partner brauchen Ver-trauen und Transparenz.

Wie gehen denn Unternehmen ganz konkret auf Nummer sicher?

In der Regel geht es damit los, Mitarbeiter schriftlich zu verpflichten, das Datenschutzgeheimnis zu bewahren und diese Mitarbeiter auch zu schulen. Auch der Blick auf die Webseite offenbart häufig Handlungsbedarf. Auf die „To Do“-Liste ganz oben gehören zum Beispiel auch die Erstellung des Verarbeitungsverzeichnisses, die Aufstellung einer Übersicht, welche Vertragspartner es im Bereich der Auftragsdatenverarbeitung gibt, die Erstellung der Verträge mit diesen Vertragspartnern, die Überprüfung der technisch-organisatorischen Maßnahmen sowie die Erstellung eines Datenschutzsicherheitskonzeptes oder -handbuches. Letzteres übernimmt bei uns z.B. ein spezialisierter Netzwerkpartner, der Informatiker ist.

Wie schaffen Sie es, in diesem anspruchsvollen Job ihre Balance zu halten?

Als passionierte Fotografin und begeisterte Alpinsportlerin reise ich sehr gerne mit der Kamera im Gepäck. Und aus dieser Kombination gestalte und halte ich Multivisionsshows, zuletzt über eine Reise nach Tibet und unsere Alpenüberquerung. Das macht mir viel Freude. Davon zehre ich selbstverständlich auch beruflich. Außerdem bin ich im Vorstand des Stuttgarter Künstlerbundes tätig – der älteste Künstlerbund dieser Art in Deutschland seit 1898, und hier kann ich auch meine Kenntnisse im Datenschutz und natürlich Urheber- und Medienrecht gut einbringen.

Kontakt 

Columbus Consulting
Dr. Inge Rötlich, Rechtsanwältin
TÜV-zertifizierte Datenschutzbeauftragte und Datenschutzauditorin
Fachanwältin für Urheber- und Medienrecht

Mahdentalstr. 82
71065 Sindelfingen

Tel. 07031 – 41 80 90
info@columbus-consulting.eu