Datenschutzbeauftragter: Freund oder Feind?

Foto: Achim Barth
Achim Barth: "Eine Datenschutzbehörde ist kein Gericht. Sie kann sich irren. Es ist schon vorgekommen, dass nicht die Aufsichtsbehörde, sondern dem Unternehmer Recht zugesprochen wurde."

Datenschützer haben in der Geschäftswelt einen schlechten Ruf. Viele Unternehmen empfinden sie als „Innovationsverhinderer“ – die alle Prozesse verkomplizieren und Finanzdienstleister in ihrer Arbeit einschränken. Welche Aufgaben ein Datenschutzbeauftragter wirklich übernimmt (und welche nicht) und wie Betriebe bei einer Datenpanne am besten reagieren.

Datenschutzbeauftragte sind in vielen Chefetagen ungefähr so beliebt wie Betriebsprüfer des Finanzamts. Die gängige Meinung: Datenschützer stören interne Abläufe, hemmen Innovationen und verursachen unnötige Kosten. In Wahrheit ist das Gegenteil der Fall: Ein guter Datenschutzexperte hilft großen und kleinen Finanzbetrieben dabei, wettbewerbsfähig zu bleiben und sogar Vorteile gegenüber den Kollegen rauszuschlagen. Das gelingt, indem der Profi wichtige Prozesse zum Schutz personenbezogener Informationen integriert.

Eine kompetente Datenschutzfachkraft kennt und bewertet die spezifischen Anforderungen des technischen Datenschutzes in der Finanzbranche. Sie hilft Unternehmen, Vermittlern, Maklern und Beratern, die Kosten für ihre IT-Infrastruktur zu optimieren und Fehlkäufe überteuerter Software zu vermeiden. Sie verhindert nicht, wie oft befürchtet, den digitalen Fortschritt oder Investitionen in neue Technologien. Vielmehr unterstützt der Profi dabei, sich für den richtigen Partner zu entscheiden, sodass neue Technik den Betrieb voranbringt und nicht bremst.

Rechte, Pflichten und Verantwortlichkeiten

Viele Unternehmer und Führungskräfte sitzen einem großem Irrtum auf: Die Mehrheit glaubt, der Datenschutzbeauftragte sei derjenige, der für den Datenschutz in der Firma verantwortlich ist. Das stimmt so nicht. Verantwortlich ist und bleibt der Geschäftsführer, Vorstand oder Inhaber. Der Kopf eines Betriebes kann zwar Teilaufgaben an ihn delegieren, nicht aber die Verantwortung. Sollte ein externer Datenschutzbeauftragter ein Finanz-Business hingegen falsch beraten und daraus ein Schaden entstehen, haftet natürlich der Beauftragte. Der Unternehmer muss sich auf die Expertise einer zertifizierten Fachkraft verlassen können.

Dass Datenschutzbeauftragte in Einzelfällen auch Maßnahmen umsetzen, ist trotzdem häufige Praxis. Besser wäre aber, wenn qualifizierte Mitarbeiter die Technik warten oder Anfragen bearbeiten würden. Dafür kommen zum Beispiel die betroffenen Fachabteilung infrage – Menschen aus Verwaltung oder Beratung, die sich zu Datenschutzfragen weitergebildet haben. Schließlich gehen dort auch die persönlichen Infos der Kunden über den Tisch. Gleichzeitig müssen Unternehmen sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben überhaupt erfüllen kann. Ein systematischer Prozess muss ihn über relevante Themen auf dem Laufenden halten. Zudem muss er weisungsfrei aktiv werden und direkt an die oberste Leitung berichten können. 

Aufgaben des Datenschützers

Welche Aufgaben ein Datenschutzbeauftragter konkret wahrnimmt, steht in der Datenschutz-Grundverordnung (DSGVO) in Artikel 39: Der wichtigste Job eines Datenschützers ist es, …

  • den Kopf eines Betriebes und alle Mitarbeiter darin über die gesetzlichen Datenschutzpflichten zu unterrichten und sie darin zu beraten.
  • … zu überwachen, obdas Finanzunternehmen alle Vorgaben erfüllt: Sind die Strategien zum Datenschutz zielführend? Kennt jeder seine Zuständigkeit? Haben alle Mitarbeiter eine Unterweisung bekommen?
  • Betriebe bei der „Datenschutz-Folgenabschätzung“ zu beraten und ihre Durchführung zu überwachen.
  • … als Ansprechpartner und Anlaufstelle für die Aufsichtsbehörde bereitzustehen und im Bedarfsfall mit ihr zusammenzuarbeiten.

Kurzum: Der Beauftragte setzt Datenschutz im Unternehmen nicht um, sondern berät Chef, Crew und Kunden bei Fragen. Er bewertet, ob Verarbeitungstätigkeiten rechtmäßig und sicher sind und berücksichtigt das Risiko für die Betroffenen. Weiter hat er im Blick, ob Sicherheitsmaßnahmen und definierte Prozesse sauber umgesetzt werden.

Wer als Datenschützer professionell arbeitet, setzt auf einen ganzheitlichen praxis- und lösungsorientierten Beratungsansatz. Er prüft, welche Verarbeitungstätigkeiten der Finanzbetrieb umsetzt und ob diese DSGVO-konform ablaufen. Ist das nicht der Fall, wird der Beauftragte aktiv: Er hilft, dass Abläufe so angepasst werden können, dass sie den gesetzlichen Anforderungen entsprechen. Um nachweisen zu können, dass der Finanzbetrieb datenschutzkonform aufgestellt ist, arbeiten Datenschützer zudem so zu, dass die Fleißarbeit der Dokumentation parallel zum Tagesgeschäft funktioniert.

Was tun bei einer Datenpanne?

Trotzdem kann natürlich immer etwas schiefgehen. Absoluten Schutz vor Datenpannen gibt es nicht. Technische Tücken oder menschliches Fehlverhalten können jeden Betrieb treffen. Auf diesen Worst Case sollten sich Unternehmen und Selbstständige vorbereiten. Werden Kundendaten, Namen, Adressen, Kontodaten oder gar Finanzpläne plötzlich öffentlich oder haben sich Hacker ins Netzwerk eingeschlichen, definiert die DSGVO in Artikel 33 kurzen Prozess: Der Finanzberater muss den Verstoß der Aufsichtsbehörde melden. Die Frist für diese Meldung beträgt 72 Stunden.

Kommt es im Tagesgeschäft zu einem Angriff oder Datenleck, müssen Berater, Makler, Vermittler und alle Mitarbeiter wissen, was zu tun und wer zu informieren ist – Stichwort Meldekette. Das Problem muss garantiert und unverzüglich beim Verantwortlichen auf dem Tisch liegen. Dieser funkt seinen Datenschutzbeauftragten an, der die Lage bewertet: Welches Risikos besteht für die Betroffenen? Handelt es sich um eine meldepflichtige Panne oder nicht? Ist die Lage kritisch, definiert die DSGVO genau, welche Informationen der Finanzprofi durchgeben muss. Eine korrekte Meldung enthält folgende Angaben:

  • Art der Datenschutzverletzung (zum Beispiel „Datenverlust“) – soweit möglich mit Angabe der Kategorien von Betroffenen (zum Beispiel „Kunde“ oder „Mitarbeiter“), der ungefähren Zahl der Personen („320 Kunden, 20 Mitarbeiter“) und der jeweiligen Datensätze („Adressen“).
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung (zum Beispiel „finanzielle Nachteile durch Offenlegung von Kreditkartendaten“)
  • ergriffene oder vorgeschlagene Maßnahmen, um die Panne zu beheben oder mögliche Folgen abzumildern („Daten wiederherstellen“, „Systeme sperren“ …)

Prozesse und Dokumentation vorbereiten

Gleichzeitig fordert die DSGVO, dass Unternehmer Datenpannen vollständig dokumentieren. Um vorbereitet zu sein, überlegen sich Weitsichtige vorab einen Prozess, wie diese Dokumentation vonstattengeht. Das ist doppelt wichtig: Denn prüft eine Aufsichtsbehörde stichprobenartig das eigene Unternehmen, fragt sie oft ab, wie der Umgang mit Datenpannen organisiert ist. Mit einem vorbereiteten Prozess in petto haben Berater nichts zu befürchten. So lohnt sich die Vorbereitung, selbst wenn es nie zu einer Panne kommet. 

Achim Barth kennt als digitaler Aufklärer die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Zielgerichtet, sachkundig und immer up to date begleitet der mehrfach zertifizierte Datenschutzbeauftragte Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert der Gründer von „Barth Datenschutz“ mit praktikablen Lösungen. Risikomanagement ist sein Steckenpferd. Sein Fachwissen vermittelt er eingängig und unterhaltsam – sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren. Kontakt: http://www.barth-datenschutz.de/

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments