Datenschutz

Datenschutzbeauftragter

Vorbemerkung

Die nachstehenden Hinweise dienen als erste Orientierung für Sie. Unsere Ausführungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses sowie weiterer Auslegungen der Datenschutzbehörden. Eine Haftung für den Inhalt, die Vollständigkeit oder auch die Wirkung der Ausführungen wird nicht übernommen.

 

Muss der Maklerbetrieb einen Datenschutzbeauftragten bestellen?

Der Versicherungsmakler muss nach § 38 BDSG-neu ab der zehnten Person, die personenbezogene Daten elektronisch verarbeiten, einen Datenschutzbeauftragten (DSB) bestellen. Als Faustformel verarbeiten alle Mitarbeiter (einschl. freie Mitarbeiter), die ein E-Mail-Account einsehen können bzw. an einer elektronischen Zeiterfassung teilnehmen, personenbezogene Daten.

Da die Kerntätigkeit des konventionellen Versicherungsmaklerbüros nicht in der Durchführung von elektronischen Verarbeitungsvorgängen besteht, ist aus unserer Sicht erst ab einer Grenze von 10 Personen die Bestellung eines DSB erforderlich.

Der Art. 37 Abs. 4 S. 1 DSGVO sieht vor, dass der DSB auch auf freiwilliger Basis benannt werden kann. Soweit keine Pflicht zur Benennung eines DSB vorliegt, ist die freiwillige Benennung eines DSB empfehlenswert. In dem Zusammenhang verweisen wir auf das Kurzpapier Nr. 12 der DSK.

Meldepflicht: Wenn ein DSB benannt werden muss, besteht bei dem zuständigen Landesamt für Datenschutz eine Meldepflicht. Bis Ende Mai 2018 werden Online-Formulare oder Meldeverfahren durch die Landesämter zur Verfügung gestellt.

Wer darf Datenschutzbeauftragter werden?

Der DSB kann Beschäftigter des Unternehmens sein oder seine Aufgabe aufgrund eines Dienstleistungsvertrages erfüllen. In beiden Fällen muss jedoch gewährleistet sein, dass der DSB seine Aufgaben in vollständiger Unabhängigkeit wahrnehmen kann.

Der DSB kann andere Aufgaben und Pflichten wahrnehmen, d.h. der DSB kann als Angestellter im Unternehmen tätig werden. Verantwortlicher und Auftragsverarbeiter müssen aber sicherstellen, dass solche weiteren Aufgaben und Pflichten des DSB nicht zu einem Interessenskonflikt führen. Bei Leitern von Personal-, Marketing- oder IT-Abteilungen besteht ein Interessenkonflikt. Hier hätte der DSB seine eigenen Verarbeitungen unter den Aspekten des Datenschutzes zu kontrollieren, dies ist nicht möglich. Ähnliches zeichnet sich für Mitglieder des Betriebsrates ab, auch hier liegt der Konflikt zwischen der primären Funktion des Betriebsrates als einer umfassenden Interessenvertretung der Arbeitnehmer, die aber nicht allein auf den Datenschutz ausgerichtet ist.

Ein ungeeigneter DSB gilt als „nicht bestellt“. Dies kann für die verantwortliche Stelle, in der Regel die Unternehmensleitung, ernsthafte Konsequenzen bedeuten. Neben Bußgeldern aufgrund des formalen Versäumnisses ergeben sich auch aus etwaigen fachlichen Mängeln weitere Verstöße, die geahndet werden können.

Welche Qualifikation muss der Datenschutzbeauftragte aufweisen?

Der DSB muss beruflich qualifiziert sein und das zur Erfüllung seiner Aufgaben notwendige Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen. Das erforderliche Niveau des Fachwissens richtet sich vor allem nach den durchgeführten Verarbeitungsvorgängen und nach dem erforderlichen Schutz der Verarbeitungen.

Die DSGVO geht davon aus, dass einmal erworbenes Fachwissen nicht ohne Weiteres erhalten bleibt, sondern entsprechend der technischen und datenschutzrechtlichen Veränderungen kontinuierliche Fortbildung notwendig ist. Insofern muss der Verantwortliche bzw. Auftragsverarbeiter dem DSB die Ressourcen zur Erhaltung seines Fachwissens zur Verfügung stellen.

Interner oder externer DSB

In vielen Fällen bieten sich externe Berater an, die die geeignete Erfahrung und Fachkunde von Beginn an einbringen können. Auch entfallen zusätzlicher Zeit- und Schulungsaufwand sowie der bei Angestellten übliche besondere Kündigungsschutz. Externe Berater müssen neben der Fachkunde und persönlichen Eignung zudem in der Lage sein, sich in die Organisationsstruktur einzudenken.

Neben der grundsätzlichen Feststellung, dass die Tätigkeit eines DSB de facto einem Berufsbild entspricht, wurden besondere Anforderungen an den Inhaber dieser Stelle formuliert:

Um den Themenbereich der automatisierten Datenverarbeitung und deren technisch-organisatorische Maßnahmen beurteilen zu können, ist adäquates Wissen zur elektronischen Datenverarbeitung erforderlich. Er muss weiterhin die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften anwenden können, und:

  • Kenntnisse der betrieblichen Organisation besitzen,
  • über didaktische Fähigkeiten verfügen, um Schulungen durchführen zu können,
  • psychologisches Einfühlungsvermögen haben,
  • organisieren können, sowie
  • angemessenen Umgang in Konflikten um seine Person, seine Funktion und seine Aufgabe verfügen.

Daher ist es für jedes Unternehmen notwendig zu prüfen, ob die Bestellung eines internen- oder eines externen DSB die richtige Lösung ist. Beide Varianten haben ihre Vorteile und daher muss man diese für jedes Unternehmen individuell und detailliert gegenüberstellen

 

Der interne Datenschutzbeauftragte

 

Der externe Datenschutzbeauftragte
Vertrauensbonus
Die Geschäftsführung kennt den internen DSB oft seit vielen Jahren. Daraus entsteht eine vertrauenswürdige Arbeitsbeziehung (oder auch nicht).
Geringeres unternehmerisches Risiko
Während für den internen DSB in Haftungsfragen die sog. “betriebliche Veranlassung” gilt, kann der externe DSB für sein Handeln verantwortlich gemacht werden. Üblicherweise verfügt der externe DSB über eine dahingehend spezialisierte Betriebs– und Vermögensschadenhaftplicht.
Keine zusätzlichen Lohnkosten
Wenn der interne DSB die Aufgaben des DSB zusätzlich zu seinen aktuellen Aufgaben mit übernehmen kann, entstehen dem Unternehmen keine zusätzlichen Lohnkosten.
Rechtssicherheit ohne Zeitverzögerung
Mit der Bestellung eines externen DSB, haben Sie sofort die Rechtssicherheit, die Sie für Ihr Unternehmen benötigen.
Kenntnis des Unternehmens

Der interne DSB kennt das Unternehmen und die laufenden Geschäftsprozesse

Variable Vertragslaufzeit
Ein externer DSB genießt keinen Kündigungsschutz und somit können Sie die Vertragslaufzeiten frei bestimmen.
Kündigungsschutz
Der interne DSB genießt seit dem 01.09.2009 einen erweiterten Kündigungsschutz ähnlich dem eines Betriebsrats. (1 Jahr Kündigungsschutz nach Aufgabe der Funktion des DSB). Eine einmal erfolge Bestellung, kann nur unter den Voraussetzungen einer fristlosen Kündigung wiederrufen werden.
Keine Ausbildungskosten
Ein externer DSB ist selbst für dessen Qualifikation verantwortlich. Da er diese Aufgabe für eine Vielzahl von Firmen übernimmt, hat er mehr Erfahrung und ist kontinuierlich mit den aktuellsten Datenschutzrichtlinien vertraut.
Ausbildungskosten
Um die Aufgaben eines DSB dauerhaft und rechtssicher übernehmen zu können, ist zuerst eine Schulung zum Rechtsumfeld des Datenschutzes, eine weitere zur technischen Umsetzung und zuletzt zum Organisationsaufbau eines Datenschutzmanagements gefordert. Darüber hinaus ist eine kontinuierliche Weiterbildung notwendig, die zeit- und kostenaufwändig ist.
Kalkulierbare Kostenstruktur
Feste Verträge legen die Kostenstrukturen für die extern übernommenen Aufgaben und Risiken fest und können somit genau kalkuliert werden.
Mehraufwand
Durch den Mehraufwand, den die Übernahme der Datenschutzaufgaben mit sich bringt, kann der interne DSB seine Kernaufgaben nicht mehr in vollem Umfang wahrnehmen.
Immer aktuelle Unterlagen
Ein externer DSB überarbeitet permanent alle unternehmensrelevanten Datenschutzunterlagen und somit sind Sie immer auf dem aktuellen Stand. Er bringt die Erfahrungen vieler Unternehmen mit.
Zeitverzögerung
Mit der Übernahme der Aufgaben des internen DSB muss der Mitarbeiter vorab seine Fachkunde aufbauen und diese mit einem Fachkundenachweis dokumentieren. Dies verzögert die direkte Umsetzung der gesetzlichen Vorgaben.
Externe Kosten
Ein externer DSB übernimmt Aufgaben und Risiken und somit entsteht ein externer Dienstleistungsaufwand, der Kosten verursacht.
Akzeptanz

Der externe DSB verfügt über eine höhere Akzeptanz und Durchsetzungsvermögen bei Ihren Mitarbeitern. Er ist ein DSB ohne die normale Vorgeschichte eines Kollegen. Daher sind Interessenkonflikte mit anderen Bereichen und Projekten nicht vorhanden

Umgang mit Behörden

Der externe DSB hat Erfahrung im Umgang mit Behörden. Er weiß, was die Behörden als Maßstab setzen. Ein interner DSB lernt dies erst, wenn das Unternehmen wegen eines Datenschutzverstoßes mit einer Behörde zu tun hat, was in der Regel zu spät ist.

 

Welche Pflichten hat der Datenschutzbeauftragte?

Nach Art. 39 Abs. 1 der DSGVO bestehen folgende „Mindestpflichten“:

  • Information und Beratung
  • Überwachung der Einhaltung der Vorgaben der DSGVO
  • Datenschutz-Folgenabschätzung (sofern erforderlich)
  • Zusammenarbeit mit Aufsichtsbehörden

Erläuterung der einzelnen Pflichten des DSB

a) Information und Beratung

Eine wesentliche Aufgabe des DSB ist die Information und Beratung des Verantwortlichen oder Auftragsverarbeiters sowie derjenigen Beschäftigten, die die Datenverarbeitungsvorgänge durchführen. Der DSB muss die genannten Personen kontinuierlich über den aktuellen Stand und die Anforderungen des Datenschutzes im Unternehmen informieren. Zudem soll er entsprechende Empfehlungen zur Umsetzung der DSGVO aussprechen.

b) Überwachung der Einhaltung der Vorgaben der DSGVO

Neben der Beratungs- und Informationsfunktion ist die Überwachung der Einhaltung der Verordnung und anderer Datenschutzvorschriften eine weitere zentrale Aufgabe des DSB. Der DSB berichtet direkt an die höchste Managementebene, vgl. Art. 38 Abs. 3 S. 3 DSGVO. Der DSB sensibilisiert und schult die an den Verarbeitungsvorgängen beteiligten Mitarbeiter.

c) Datenschutz-Folgenabschätzung

Der DSB soll auf Anfrage den Verantwortlichen hinsichtlich der Datenschutz-Folgenabschätzung beraten und ihre Durchführung überwachen, Art. 39 Abs. 1 lit. c) DSGVO. Diese Tätigkeit ist nur auf Anfrage vorgesehen. Allerdings ist der Verantwortliche oder Auftragsverarbeiter gemäß Art. 35 Abs. 2 DSGVO verpflichtet, den Rat des DSB einzuholen, wenn ein solcher bestellt ist. Folglich ist absehbar, dass die Beratung und Überwachung der Durchführung von Datenschutz-Folgenabschätzungen durch den DSB zum Regelfall werden.

d) Zusammenarbeit mit Aufsichtsbehörden

Der DSB ist Ansprechpartner für die Aufsichtsbehörden und arbeitet mit dieser zusammen.