Interne Datenschutzbeauftragte und unsere Beobachtungen

In unserem Beitrag „Benennung eines internen oder externen Datenschutzbeauftragten“ gehen wir bereits auf die Vor- und Nachteile eines internen versus eines externen Datenschutzbeauftragten ein. Nun konnten wir in den letzten Jahren ein paar der im oben erwähnten Beitrag erwähnten Nachteile selbst wahrnehmen. Lesen Sie mehr über interne Datenschutzbeauftragte und unsere Beobachtungen im Folgenden.

Übrigens: Wir betonen, dass es sich um unsere subjektive Sicht und unsere Beobachtungen handelt, die nicht verallgemeinert werden können. Vor allem kommt es u. E. auf die Unternehmensgröße und (personelle) Ausstattung des Datenschutzbeauftragten an.

Interessenkonflikte

Noch immer bemerken wir Fälle, in denen der benannte interne Datenschutzbeauftragte oft einem Interessenkonflikt unterliegt. – Beispiele von Interessenkonflikten können Sie in diesem Beitrag gern nachlesen. – Einer der häufigsten Fälle, die wir aufgrund von Angaben auf Webseiten bemerken, ist die Benennung von Personen in Führungsebenen oder von Familienangehörigen als Datenschutzbeauftragte. Das sind dann meistens beispielsweise Unternehmensinhaber, Geschäftsführer oder deren Partner, Kinder o. Ä. Das hier ein Interessenkonflikt entstehen kann, ist leider nicht auszuschließen.

Ein Geschäftsführer als Datenschutzbeauftragter würde sich selbst überwachen müssen. So hat der Berliner Datenschutzbeauftragte 2022 gegen die Tochtergesellschaft eines Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro verhängt, weil  der Geschäftsführer zugleich Datenschutzbeauftragter war. Wegen des Interessenkonfliktes konnte er seine als Geschäftsführer getroffenen Entscheidungen als Datenschutzbeauftragter nicht unabhängig kontrollieren. Die Unabhängigkeit des Datenschutzbeauftragten ist aber nach Art. 38 Abs. 6 S. 2 DSGVO eine gesetzliche Pflicht. – Weitere Details können Sie gern der Pressemitteilung der Berliner Datenschutzaufsichtsbehörde entnehmen. –

Der Partner der Geschäftsinhaberin handelt möglicherweise nicht im Sinne der DSGVO – möglicherweise, weil er weiß, dass die für den Schutz der Rechte und Freiheiten Betroffener angemessene Sicherheitsmaßnahme nicht bezahlbar ist, da das Geld für den Kauf einer weiteren Maschine benötigt wird, um den Umsatz zu erhöhen.

Die Beispiele für diese und andere Interessenskonflikte lassen sich vermeiden, wenn er eine unvoreingenommene Person zum Datenschutzbeauftragten benennt, z. B einen externen Datenschutzbeauftragten. – Diese Person stellen wir Ihnen gern. – Des Weiteren lassen sich dann auch etwaige Bußgelder durch die Datenschutzaufsichtsbehörde vermeiden, die einen Verstoß gegen Art. 38 Abs. 6 S. 2 DSGVO erkennen wird.

Mangelndes Wissen zur Umsetzung des Datenschutzes

Ein interner Datenschutzbeauftragter wird neben seiner Tätigkeit als Datenschutzbeauftragter sicherlich oft noch weitere Aufgaben erfüllen müssen. Dabei werden sich seine Aufgaben wahrscheinlich nicht ausschließlich auf die Kerntätigkeiten eines Datenschutzbeauftragten gemäß Art. 39 Abs. 1 DSGVO beschränken.

Bei der Aufgabe, dass er dem Verantwortlichen u. a. beratend zur Seite stehen muss, kann u. U. die Notwendigkeit zur Recherche entstehen. Hier wäre es dann zum einen hilfreich, zu wissen, wo eventuelle Lösungen zu finden sind. Zum anderen kann es aber auch wertvoll sein, auf etwaige Erfahrungen in diesem Bereich zurückgreifen zu können – beispielsweise aus anderen Unternehmen, ggf. der gleichen Branchen. Beides ist bei einem internen Datenschutzbeauftragten wahrscheinlich selten vorhanden. Das kann u. a. daraus resultieren, dass ihm die notwendige Fachliteratur oder juristische Datenbanken etc. nicht zur Verfügung stehen. Auch Erfahrungen können wegweisend sein; diese hat der interne Datenschutzbeauftragte aufgrund seines Fokus‘ auf den Verantwortlichen möglicherweise ebenfalls nicht.

Unzureichendes Wissen zum Datenschutz

Möglicherweise fehlt dem internen Datenschutzbeauftragten auch ein tiefgreifendes technisches, rechtliches oder organisatorisches Wissen zum Datenschutz. Zum einen geben die relevanten Datenschutzgesetze und deren Auslegung durch die Gerichte und die Datenschutzaufsichtsbehörden Auskunft. Da stellt sich allerdings die Frage, ob ein interner Datenschutzbeauftragter sich die komplette DSGVO und das BDSG und sonstige relevanten Gesetze durchliest, um über alle Pflichten des Verantwortlichen Bescheid zu wissen. So weiß er wahrscheinlich, dass der Verantwortliche die Lösung des Model-Releases nutzen kann, um Fotos von Beschäftigten auf der Webseite des Verantwortlichen veröffentlichen zu dürfen. Hinzukommt, dass er möglicherweise ein altes Formular, welches nur die Anforderungen des Kunsturhebergesetzes (§ 22 KunstUrhG) von 1907 erfüllt, aber beispielsweise nicht die Informationspflichten des Art. 13 DSGVO.

Möglicherweise entgeht ihm auch, eine etwaige Einwilligung schriftlich einzuholen, um die Dokumentations- und Nachweispflichten eines Verantwortlichen zu erfüllen (mehr dazu hier).

Nun regelt die DSGVO nicht bis ins Detail, wie ein Unternehmen, ein Krankenhaus, eine Arztpraxis, ein Verein oder ein sonstiger Verantwortlicher die Datenschutzvorgaben umsetzen muss. Nützlich ist es allerdings, wenn der Datenschutzbeauftragte beispielsweise aufgrund aktueller Urteile weiß, was bei der Festlegung einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten oder bei einer Beantwortung einer Auskunftsanfrage einer betroffenen Person zu beachten ist.

– Aufgrund unserer mehrjährigen Erfahrung als externe Datenschutzbeauftragte weisen wir tiefgehendes Wissen im Bereich des Datenschutzes auf. Dabei schöpfen wir aus unserer Erfahrung aus der Zusammenarbeit mit anderen Kunden. Des Weiteren halten wir uns beständig zu Datenschutzthemen, Urteilen, Orientierungshilfen der Datenschutzaufsichtsbehörden etc. auf dem Laufenden. All dieses Wissen fließt dann in die Beratung und Unterstützung unserer Kunden beim Datenschutz ein. –

Zeitlicher Mangel

Ein weiterer wichtiger, ggf. ein bei einem internen Datenschutzbeauftragten zu bemängelnder Faktor, ist die zur Verfügung stehende Zeit. Wie schon ein paar Zeilen weiter oben geschrieben, kümmert sich ein interner Datenschutzbeauftragter meistens nicht nur um den Datenschutz. Selbst wenn ein Verantwortlicher dem internen Datenschutzbeauftragten tatsächlich eine festgelegte, beispielsweise wöchentliche Anzahl von Stunden, zur Umsetzung der datenschutzrechtlichen Pflichten zur Verfügung stellt, reicht dies möglicherweise bei Weitem nicht aus. Dies ergibt sich auch schon daraus, weil eben auch eine gewisse Zeit dafür aufzubringen ist, sich zu Datenschutzthemen und -neuigkeiten auf dem Laufenden zu halten. Nun mag so mancher Verantwortlicher argumentieren, dass sie den internen Datenschutzbeauftragten die Seminarteilnahme ermöglichen. – Die gängigste Variante ist hier wahrscheinlich die „Ausbildung“ zu einem Datenschutzbeauftragten, wo ein Unternehmen die Grundlagen des Datenschutzes vermittelt. – Wie aber inzwischen deutlich geworden sein dürfte, reicht dies nicht aus. Unserer Meinung nach wächst das tatsächliche Wissen zum Datenschutz auch daraus, dass ein Datenschutzbeauftragter das Datenschutzrecht in verschiedenen Situationen anwenden muss.

Fazit

Generell sollte ein Verantwortlicher sich nicht allzu lange Zeit lassen, die DSGVO umzusetzen. In der Zwischenzeit kann es schließlich zu Prüfungen durch Datenschutzaufsichtsbehörde, Betroffenenanfragen, ggf. meldepflichtigen Datenschutzvorfällen, Schadenersatzansprüchen und Abmahnungen kommen. Je schneller ein ständig aktuell gehaltenes Datenschutz-Management-System implementiert worden ist, desto geringer die Gefahren möglicher Datenschutzverstöße und deren Folgen.

Sie bemerken, dass mindestens einer der oben genannten Nachteile auf Ihr Unternehmen zutrifft? Kontaktieren Sie uns gern für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.