Datenschutzbeauftragte sorgen in Organisationen dafür, dass personenbezogene Daten mit entsprechender Vorsicht behandelt werden. Doch welche Aufgaben haben eigentlich Datenschutzbeauftragte?
Die DSGVO hat für viel Aufregung gesorgt: Seit dem 25. Mai 2018 gilt in allen Ländern der Europäischen Union die Datenschutz-Grundverordnung. Die Ankündigung von wirksamen Bußgeldern bei Verstößen hat viele Menschen in Unternehmen und Vereinen verunsichert. Welche Maßnahmen müssen getroffen werden? Braucht man jetzt eine*n Datenschutzbeauftragte*n oder nicht? Dabei hat das Bundesdatenschutzgesetz schon Jahre zuvor viele Bestimmungen der DSGVO geregelt. Mit der neuen Verordnung versucht die EU, den Datenschutz in den Mitgliedsstaaten auf ein gemeinsames Level zu bringen und bei Unternehmen zu regeln, die ihren Firmensitz außerhalb der EU haben.
Es geht im Kern um personenbezogene Daten, die elektronisch gespeichert werden. Hierbei gibt es Daten, die besonders geschützt werden müssen: Herkunft, Gesundheitszustand, Religionszugehörigkeit oder sexuelle Orientierung gehören unter anderem dazu. Alle personenbezogenen Daten dürfen nur gespeichert werden, wenn dies zur Erfüllung eines Vertrags notwendig ist (zum Beispiel Name und Anschrift, um eine Rechnung erstellen zu können) oder wenn die betroffene Person dem ausdrücklich zugestimmt hat – dies ist immer bei den besonders sensiblen Daten erforderlich. Die betroffenen Personen müssen über den Datenschutz von den jeweiligen Unternehmen in verständlicher, klarer und einfacher Sprache informiert werden – das bisher übliche „Kleingedruckte“ in Juristendeutsch reicht nicht mehr.
Wer sich bislang nicht um Datenschutz gekümmert hat, für den wäre jetzt ein guter Startpunkt. Wer in der Vergangenheit ausreichend an dem Thema gearbeitet hat, der sollte vorbereitet sein. Dabei braucht nicht jede Einrichtung eine*n Datenschutzbeauftragte*n. Erst wenn zehn Mitarbeitende Daten von Kund*innen oder Klient*innen elektronisch bearbeiten, muss diese Position besetzt werden. Das geht nicht nur intern, sondern auch mit externen Expert*innen. Aber: Auch Einrichtungen unter zehn Mitarbeitenden müssen selbstverständlich die Datenschutzbestimmungen einhalten. Neu ist, dass eine Organisation die*den Datenschutzbeauftragte*n bei der Landesbehörde für den Datenschutz melden muss.
Bewusstsein für Datenschutz schaffen
Was sind eigentlich die Aufgaben einer*eines Datenschutzbeauftragten? Zunächst ist es wichtig, dass die Beauftragten ein Problembewusstsein für den Datenschutz schaffen. Die Aufgabe wird in beratender und unterstützender Funktion gegenüber der Geschäftsführung sowie Kolleginnen und Kollegen ausgeübt – Weisungen können Datenschutzbeauftragte nicht erteilen. Statt mit erhobenem Zeigefinger zu beaufsichtigen, geben sie Hinweise auf Verbesserungen und gemeinsame pragmatische Lösungen. Das Amt setzt eine gewisse Robustheit voraus. Schließlich muss man mitunter auf unangenehme Dinge hinweisen, die Änderungen in der Arbeitsweise bedeuten könnten.
Gleichzeitig sind Datenschutzbeauftragte Ansprechpartner*innen. Deshalb müssen sie die Vorschriften kennen und sich eine Meinung dazu gebildet haben, was für die Organisation am einfachsten umsetzbar ist. Die*Der Datenschutzbeauftragte sollte sich selbst für die Thematik interessieren und dafür brennen, sein Wissen weiterzugeben. Jemand, der bereits in organisatorischen Vorgängen aktiv ist, ist optimal geeignet. Die*Der Datenschutzbeauftragte sollte insbesondere schauen, wie sensible Daten verarbeitet werden. Hierzu zählen nicht nur die Klient*innen-, Patient*inen- und Bewohner*innendaten sozialer Unternehmen, sondern auch die Gesundheitsdaten der Mitarbeitenden. Besondere Risiken bestehen immer dann, wenn die Daten die geschützte Arbeitsumgebung verlassen, um sie an andere weiterzuleiten oder um sie zu Hause im Homeoffice zu bearbeiten.
Technische Neuerungen müssen ebenfalls im Blick behalten werden, um einerseits zusätzliche Risiken erkennen zu können, aber auch um andererseits noch bessere Möglichkeiten des Datenschutzes umsetzen zu können. Da es sich um eine zusätzliche Aufgabe handelt, sollte es möglich sein, die*den Kolleg*in zeitlich zu entlasten. Dabei arbeitet er oder sie in einer unabhängigen Position mit besonderem Kündigungsschutz und ist nur der Geschäftsführung unterstellt. Übergreifend kann man sagen, dass der/die Datenschutzbeauftragte sich stets folgende Frage stellen sollte: „Was wäre, wenn es meine eigenen Daten wären?“
Weitere Informationen
- Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
- Der Text der Datenschutz-Grundverordnung
- Seminare zum Thema Datenschutz bei der Paritätischen Akademie NRW.
Artikelfoto: © blackday | Fotolia
Kommentieren