Datenschutz von null auf hundert

Wer dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sollte darauf achten, dass dieser zuverlässig und kompetent ist. Wichtige Fragen beantwortet ein Rechtsexperte im Interview.

Dieser Artikel gehört zum Themen-Special Das aktuelle Datenschutzrecht

Die DSGVO verunsichert nach wie vor viele ­Betriebe. Im Interview erklärt Jürgen Toppe, Rechtsanwalt für IT- und Wirtschaftsrecht, Datenschutzauditor (TÜV) und Lehrbeauftragter an der Fachhochschule Südwestfalen, warum noch viele Fragen offen sind und was ein Betrieb beachten muss. 

DHB: Von unseren Betrieben hören wir immer wieder, dass die Umsetzung der seit dem 25. Mai geltenden Datenschutz-Grundverordnung (DSGVO) sie sehr beansprucht und ihnen kaum noch Zeit für das eigentliche Geschäft lässt.
Toppe: Alle Betriebe müssen die DSGVO mit ihrem erweiterten Pflichten­katalog unverzüglich umsetzen. Das ist Datenschutz von null auf hundert. Ich schätze diese neuen Anforderungen für viele Betriebe als hochgradig komplex ein.

DHB: Was macht ein Handwerksbetrieb jetzt am besten?
Toppe: Die Betriebe haben sicherlich die Einhaltung des Datenschutzes zur Chefsache erklärt. Die entsprechenden Landesdatenschutzbehörden stellen sehr übersichtliche und wertvolle Online-Handreichungen auch für kleine Betriebe bereit und bilden einen guten Einstieg in den neuen Datenschutz.

DHB: Was ist zu tun?
Toppe: Jetzt geht es vor allem darum, die getroffenen Maßnahmen aus dem alten Gesetz zu überprüfen und dafür zu sorgen, dass das Getane in puncto Datenschutz auch belegt werden kann. Nicht alles ist neu, so dass vorhandene Dokumente teilweise nur angepasst werden müssen.

DHB: Was hat Priorität?
Toppe: Handwerksbetriebe ­müssen prüfen, ob die Voraussetzung für die Benennung eines Datenschutzbeauftragten (DSB) gegeben sind. Wie bisher ist dies Pflicht, wenn mindestens zehn Personen regel­mäßig Daten automatisiert verarbeiten, wie zum Beispiel am Computer.

DHB: Welche Aufgaben hat denn der DSB?
Toppe: Aufgabe des DSB ist es, die Einhaltung des Datenschutzes und der Datensicherheit im Unternehmen zu kontrollieren und geeignete Maßnahmen festzulegen. Er informiert und berät den Unternehmer, die Mitarbeiter und ist Ansprechpartner für die Aufsichtsbehörden; er ist auch der Aufsichtsbehörde zu melden!

DHB: Welche Qualifikationen muss ein DSB für diese Aufgabe mitbringen?
Toppe: Für die umfassende Beratung und Umsetzung der ­DSGVO muss er die notwendige Fachkunde, sowohl IT- als auch Rechtskenntnisse, mitbringen. Neben seiner persönlichen Zuverlässigkeit, den organisatorischen Kenntnissen ist hier vor allem Projektmanagementerfahrung notwendig. Generell empfiehlt es sich, die betraute Person mit Bedacht auszuwählen, denn der DSB hat neben der Überwachungs- auch eine Beratungsfunktion. Der DSB ist zur Neutralität verpflichtet und weisungsungebunden. Ein interner DSB ist darüber hinaus nicht ordentlich kündbar, nur aus wichtigem Grund fristlos. 

DHB: Worauf sollte der Betrieb achten, wenn er sich für einen externen Datenschutzbeauftragten ent­scheidet?
Toppe: Externe Datenschutzbeauftragte mit entsprechendem Zertifikat und einschlägiger, nachweisbarer Berufserfahrung sind knapp. Bevor man jemanden beauftragt, sollte man sich genau dessen beruflichen Werdegang anhand der Zeugnisse anschauen und den Dienstleistungsvertrag entsprechend klar formulieren; er sollte auch den Nachweis einer Berufshaftpflichtversicherung vorlegen.

DHB: Welche weiteren Aufgaben müssen noch im Einzelnen dringend umgesetzt werden?
Toppe: Die DSGVO hat nun die Rechenschaftspflicht eingeführt: Jeder Unternehmer muss die Grundprinzipien des Datenschutzes, insbesondere die Zweckbindung, die Rechtsgrundlage der verarbeiteten Daten, jederzeit nachweisen können. Wer sichergehen will, sollte ein Verfahren einführen, mit dem der ordnungsgemäße Umgang der Daten immer wieder geprüft und die Geltendmachung von Betroffenenrechten standardisiert wird.

DHB: Wie macht man das?
Toppe: Wichtiger Bestandteil eines systematischen Datenschutzes stellt die Einrichtung einer Datenschutzorganisation dar. Die ­DSGVO verlangt vom Verantwortlichen ein systematisches Vorgehen einschließlich Dokumentation im Unternehmen. Neue und erweiterte Betroffenenrechte auf Auskunft, Information, Löschung oder Widerspruch machen dies notwendig. Ebenso sind folgende Einzelgesichtspunkte zu berücksichtigten: Einsatz "datenschutzfreundlicher" Technologien, IT-Sicherheit nach dem Stand der Technik und die Datenschutz-Folgenabschätzung.

DHB: Manche Anforderungen scheinen in der Praxis noch unklar zu sein.
Toppe: Ja, das ist leider so. Die ­DSGVO ist wie ein Schweizer Käse mit großen Löchern, der nationale Gesetzgeber hat zwar einige Löcher schon gefüllt, zum Beispiel mit dem neuen Bundesdatenschutzgesetz. Es gibt aber noch unklare Rechtsbegriffe, die wohl erst nach und nach durch die Aufsichtsbehörden oder die Gerichte geklärt werden. Das bedeutet Unsicherheit für einen längeren Zeitraum. Das heißt aber nicht, dass die Betriebe bis zur endgültigen Klarheit abwarten können. Ein Ignorieren hilft nicht! Eine Untätigkeit hat nicht nur finanzielle Folgen, sondern durch blitzschnelle Verbreitung einer negativen Berichterstattung verlieren Betriebe das Kundenvertrauen. Es ist bereits "fünf nach zwölf".

Die Fragen stellte Vera von Dietlein, Handwerkskammer Münster.