Artikel erschienen am 13.02.2023
E-Paper

Bürokratiemonster DSGVO zähmen

Warum ein externer Datenschutzexperte nicht immer Pflicht, aber immer sinnvoll ist

Von Achim Barth, Winterbach

Wer jedoch weiß, wo-rauf es ankommt, kann das Monster leicht zähmen. Alles steht und fällt mit dem richtigen Dompteur: Wer muss laut DSGVO einen Datenschutzbeauftragten benennen? Warum sollte ein Betrieb das sogar freiwillig tun? Und welche Aufgaben übernimmt der Profi wirklich? Warum ein externer Berater zumeist hilfreicher ist als interne Lösungsversuche, wird nachfolgend erläutert.

Risikoanalyse, Folgenabschätzung, Verarbeitungsverzeichnisse, Betroffenenrechte, technische und organisatorische Maßnahmen … obwohl die DSGVO bereits seit 2018 in Kraft ist, sind diese Begriffe für viele Unternehmer noch immer böhmische Dörfer – oder zumindest lästige Baustellen. Datenschutz bleibt für das Gros der Verantwortlichen ein grollendes Bürokratiemonster, das hinter dem Rücken des Chefs drohend die Bußgeld-Keule schwingt. So sehr man sich bemüht, als Laie fehlen einem oft das Verständnis, Know-how, aber auch die Zeit, all seine Firmenprozesse permanent auf DSGVO-konformen Niveau zu halten. Mitarbeiter, Kunden, Dienstleister, Bewerber, Interessenten, Besucher, Wettbewerber – bei allen muss das System zum Schutz personenbezogener Daten zuverlässig greifen.

Verantwortliche gehen mit dieser Herausforderung unterschiedlich um. Ein Lager kapituliert von Anfang an, es ignoriert die Vorgaben solange wie möglich und hofft, dass alles gut geht. Andere Gemüter werfen einen Haufen Geld nach dem Problem, kaufen teure Software und IT, nur um das Thema schnellstmöglich vom Hals zu haben. Beide Varianten sind ein heißes Eisen. Wer sich in seinem Betrieb nur stiefmütterlich um den vorgeschriebenen Schutz der Daten kümmert, agiert wie ein Schwarzfahrer in der Bahn. Und wenn er erwischt wird, schmerzt das Bußgeld tief. Wer hingegen alles auffährt, was geht, sich doppelt, dreifach, vierfach absichert, auf der Webseite über Tracking aufklärt, obwohl er weder Tools installiert hat noch welche braucht, verfeuert nicht nur jede Menge Geld und Energie, sondern macht sich ebenfalls angreifbar. Denn auch diese Angaben sind fehlerhaft und können Bußgelder nach sich ziehen. Wie können Unternehmer das DSGVO-Monster also am besten in den Griff bekommen?

Schutz vor Bußgeldern und Imageschäden


Wer es richtig machen will, holt sich einen „Monsterversteher“ ins Haus – sprich einen externen Datenschutzbeauftragten. Denn auch das gehört zur Einhaltung der DSGVO dazu. Unternehmen, in denen mehr als 20 Menschen regelmäßig Daten verarbeiten, sind im Regelfall verpflichtet, einen Datenschutzbeauftragten zu bestellen. Mit weniger Kollegen im Team hat der Inhaber die Wahl: Möchte er einen Profi benennen oder selbst alles arrangieren? Denn die DSGVO einhalten muss ein Unternehmer in jedem Fall. Die gesetzlichen Vorgaben gelten sowohl für große Konzerne als auch Solobetriebe. Will der Chef keinen Beauftragten ausrufen, muss er sich als Verantwortlicher selbst darum kümmern, dass alles regelkonform abläuft. Und eben das birgt jede Menge Tücken.

Die Vorteile eines externen professionellen Datenschützers sind vielfältig. Das Wichtigste: Er kennt sich aus und erleichtert somit allen im Betrieb das Leben und Arbeiten. Er vereinfacht Prozesse und spart dem System so jede Menge Geld. Ein Experte verhandelt geschickt mit Datenschutzbehörden und rettet kritische Situationen. Er hält sich stets informiert und unterstützt den Betrieb dabei, sich technisch weiterzuentwickeln. Er treibt Innovationen und Digitalisierung voran und macht das Business wettbewerbsstark. Kurzum: Der externe Berater macht für den Unternehmer aus dem DSGVO-Monster ein zahmes Kätzchen. Wer keinen Profi benennt – obwohl er müsste –, bekommt spätestens bei einer Panne sowohl ein Image- als auch ein finanzielles Problem: Verstöße gegen die DSGVO werden mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes bestraft.

Selten gibt die DSGVO explizite Antworten – der Berater schon


Das Problem an der Sache: Die Datenschutz-Grundverordnung scheint so gruselig, weil sie keine Tipps zur Umsetzung bereithält. Der Gesetzestext reiht zwar einen Artikel an den nächsten, doch oft sind die Regelungen und Vorgaben extrem schwammig formuliert. Selten gibt die DSGVO explizite Antworten, wie in einer bestimmten Situation zu verfahren ist. Als Erstes prüft ein Profi daher, welche gesetzlichen Pflichten die individuelle Geschäftsleitung aktuell überhaupt erfüllen muss: Welche Gesetze greifen neben der DSGVO? Welche Urteile geben Orientierung? Worauf achten die Aufsichtsbehörden zurzeit? Gleichzeitig informiert er dazu das Team und beantwortet offene Fragen.

Im zweiten Schritt geht es an die Praxis: Eine Datenschutzfachkraft berät alle Beteiligten bei der Umsetzung und gibt eben jenen konkreten Leitfaden, der in der DSGVO fehlt. Sie erklärt, wie sich Prozesse zum Schutz personenbezogener Informationen integrieren lassen. Sie bewertet, ob Verarbeitungstätigkeiten rechtmäßig sind. Sie kontrolliert, ob definierte Prozesse und Sicherheits-maßnahmen eingehalten werden und berücksichtigt das Risiko für Betroffene. Erfüllen alle Strategien ihren Zweck? Sind die Wege und Aufgaben transparent? Weiß jeder Mitarbeiter, worum es geht? Ein kompetenter Berater hat dabei stets im Auge, das Daily Business so wenig wie möglich zu belasten. Damit gibt er Verantwortlichen Sicherheit und stabilisiert überforderte Teams. Auch regelmäßige interne Schulungen kann ein Profi übernehmen und dank Einblicke in die jeweilige Firmen-IT die Inhalte an die internen Systeme anpassen.

Wer es selbst macht, erhöht das Risiko für Pannen


Der externe Beauftragte setzt Datenschutz somit nicht selbst um, sondern sorgt dafür, dass Chef und Team wissen, was zu tun ist. Inhaber können zwar Aspekte und Fragen zum Datenschutz auslagern – nicht aber die Verantwortung. Den finalen Hut auf hat immer der Geschäftsführer, Vorstand oder Inhaber. Ebenso bei Datenschutzverstößen oder Pannen haftet der Unternehmer. Das ist auch der Grund, warum eine interne Lösung im Alleingang ein Wagnis ist. Datenschutz, IT-Sicherheit und digitale Prozesse sind komplexe Themen. Sie bleiben für Unerfahrene auch bei bester Absicht meist ein schlafendes Ungeheuer – weil sich dessen Haltungsbedingungen, sprich die gesetzlichen Leitplanken durch neue Urteile und Bewertungen der Aufsichtsbehörden ständig verändern.

Hochwertige Datenschützer haben genau diese Entwicklungen jederzeit im Blick, sie informieren sich permanent über juristische und technische Änderungen, bilden sich regelmäßig weiter und halten die Systeme auf Stand. All das können interne Akteure nur bedingt erfüllen, da sie in der Regel den Großteil des Tages andere Arbeitsbereiche betreuen. Das Thema Datenschutz fällt bei ihnen im Alltagsstress als Erstes hinten raus. Solange das Monster schläft und keine Probleme auftauchen, mag eine interne Lösung ausreichen. Doch schon bei einer banalen Auskunftsanfrage kann das schnell in die Hose gehen. Und jeder Fehler führt zu Ärger, Kosten oder Imageschäden. Oftmals fehlt Mitarbeitern auch die Erfahrung im Umgang mit Behörden. Ungeschickte Kommunikation kann kritische Situationen jedoch noch verschlimmern. Ein externer Profi hingegen kennt die spezifischen Anforderungen des technischen Datenschutzes – angepasst an die Besonderheiten der jeweiligen Branche. Er steht täglich mit Behörden im Austausch und weiß, wie sich erhitze Gemüter beruhigen lassen, falls es doch einmal zu einer Panne kommt. All das zähmt das Bürokratiemonster und senkt die Wahrscheinlichkeit für Fehler und Bußgelder außerordentlich.

Ähnliche Artikel

Finanzen Steuern Recht

Die Rolle von M&A-Transaktionen in Zeiten der Stapelkrise

Seit dem Frühjahr 2020 befindet sich die Welt im Krisenmodus.

Stuttgart 2023 | Dr. iur. Peter Ladwig, Stuttgart | Dr. iur. LL.M. Hermann Ali Hinderer, Stuttgart

Finanzen Steuern Recht

Schutz von KI-Erfindungen

Künstliche Intelligenz (KI) bezeichnet Programme, die menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität imitieren, und revolutioniert im Moment viele Bereiche. Die Patentierung von KI erfordert allderdings keine Revolutionen.

Finanzen Steuern Recht 2024 | Region 38 | Dipl.-Phys. Dr.-Ing. Jan Plöger, LL.M., Braunschweig