Verantwortung und Rollen im Datenschutz
Der alltägliche Umgang mit personenbezogenen Daten stellt Unternehmen und Berufstätige vor große Herausforderungen. Die Zahl der Schadensersatzklagen nach Art. 82 DSGVO ist seit deren Einführung im Jahr 2018 stark angestiegen. Während deutsche Gerichte Anfang 2019 in weniger als zehn Fällen Urteile zu solchen Klagen sprachen, stieg diese Zahl bis Anfang 2024 auf fast 300.
Um den Anforderungen der Datenschutzgrundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) gerecht zu werden, müssen Unternehmen intern vorsorgen. Dazu gehört in vielen Fällen, Fachkräfte für Datenschutz, wie Datenschutzbeauftragte und Datenschutzkoordinator:innen, zu beschäftigen. Aber auch in Geschäftsleitungen und unter Mitarbeitenden müssen grundlegende Kenntnisse des Datenschutzrechts auf dem aktuellen Stand bleiben.
In einem Interview haben wir mit Andreas von Heinemann, Datenschutzexperte und zertifizierter Datenschutzbeauftragter, über die folgenden Themen gesprochen:
-
Rollen und Aufgaben im Datenschutz
-
Die Verantwortung für Datenschutz im Unternehmen
-
Datenschutz und Haftung – Rechtliche Regelungen
-
Verantwortung und Rolle der Geschäftsführung
Welche Rollen gibt es im Datenschutz?
Die Verantwortung für den Datenschutz liegt direkt bei der Geschäftsführung, die Maßnahmen dafür planen und umsetzen muss. Dabei beraten und kontrolliert wird sie von speziell ausgebildeten Datenschutzbeauftragten, die tiefgehende Kenntnisse im Datenschutzrecht haben. In einigen größeren Unternehmen sind darüber hinaus Datenschutzkoordinator:innen mit der Umsetzung dieser Maßnahmen betraut. Im Arbeitsalltag sind oft auch Mitarbeitende für Datenschutzmaßnahmen verantwortlich, die keine eigene Ausbildung dafür haben. Sensibilisierung und Schulung für den Datenschutz sind deshalb an allen Stellen nötig.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Datenschutzbeauftragte üben eine Kontroll- und Beratungsfunktion aus. In Unternehmen, die mit sensiblen Daten umgehen, muss laut DSGVO mindestens ein:e Datenschutzbeauftragte:r beschäftigt sein. Die Regelung für die Bundesrepublik sieht diese Pflicht darüber hinaus für Unternehmen ab einer Zahl von 20 Mitarbeitenden vor.
Die Beratung und Kontrolle sowohl der Geschäftsleitung als auch der Mitarbeitenden setzt einige Kompetenzen voraus. Datenschutz hat sowohl rechtliche als auch technische Aspekte. Gute Kenntnisse in Rechtsfragen und hinsichtlich Informationstechnologie, Hardware und Software sind Voraussetzungen für Datenschutzbeauftragte. Andreas von Heinemann verdeutlicht aber, dass ihre Tätigkeit sich auf Kontrolle und Beratung beschränkt: „Datenschutzbeauftragte sind nicht für die Umsetzung des Datenschutzes verantwortlich. Diese Pflicht bleibt bei der Geschäftsleitung und den Mitarbeitern.“
Welche Aufgaben hat ein/e Datenschutzkoordinator:in?
Geeignete Maßnahmen für den Datenschutz können schnell sehr umfassend werden. Auch wenn eine seriöse Geschäftsleitung aus Eigeninteresse Datenschutzkompetenz haben sollte, übersteigt die Umsetzung oft ihre Kapazität. Hier kommen Datenschutzkoordinator:innen ins Spiel, die nach von Heinemann „oft Fachkräfte sind, die eigentlich aus dem Marketing, dem Einkauf oder dem Vertrieb kommen und die Prozesse ihrer Abteilungen ganz genau kennen. Deshalb werden sie in ihren Unternehmen gebraucht.”
Darin unterscheiden sich Datenschutzkoordinator:innen von Datenschutzbeauftragten. Ihre Funktion im Unternehmen entspringt nicht einer gesetzlichen Regelung. Sie implementieren in ihren Unternehmen den Datenschutz mithilfe komplexer Maßnahmen, die sowohl die Unternehmensbelange als auch die Anforderungen des Datenschutzes berücksichtigen müssen. Für diese Aufgabe empfehlen sich im Unternehmen Personen mit Fachexpertise in den jeweiligen Unternehmensbereichen, die dann eine Weiterbildung zum/zur Datenschutzkoordinator:in absolvieren.
Welche Rollen spielen Mitarbeitende beim Datenschutz?
Auch wenn Mitarbeitende keine Fortbildung zu Datenschutzbeauftragten oder Datenschutzkoordinator:innen absolvieren, fällt ihnen, je nach Tätigkeitsbereich, Verantwortung für den Datenschutz zu. Andreas von Heinemann weist hier auf die DSGVO hin, in der „eine Weiterbildungspflicht für alle Mitarbeiter entsprechend ihrer Verantwortung im Unternehmen verankert“ ist. Seiner Erfahrung nach „hat sich eine zweistündige Grundschulung mit einer zweistündigen fachorientierten Schulung am besten bewährt“.
Wenn eine Geschäftsleitung Richtlinien zum Datenschutz erlässt, bleibt es die Aufgabe der Mitarbeitenden, diese korrekt umzusetzen und einzuhalten. Einige Abteilungen sieht Andreas von Heinemann dabei besonders in der Pflicht. Neben Einkauf, Vertrieb und Marketing betrifft das vor allem die IT und Informationssicherheit: „Fehler im Datenschutz passieren bei der IT und bezahlen muss nachher das Unternehmen.“
Verantwortung für Datenschutz
Fehler im Datenschutz können zu Bußgeldzahlungen und Schadensersatzforderungen führen. Dafür kommt – so sieht es die DSGVO vor – in aller Regel das Unternehmen selbst auf. Der Europäische Gerichtshof bestätigt dies in seiner aktuellsten Rechtsprechung. Die Unternehmensleitung und andere Mitarbeitende haften in aller Regel nicht persönlich. Ihre Verantwortung für den Datenschutz ist anders definiert
Datenschutz & Haftung – rechtliche Regelungen
Wenn ein Unternehmen Auflagen der DSGVO oder eines anderen Rechtstextes mit Bezug zum Datenschutz nicht erfüllt, kann es bußgeld- oder schadensersatzpflichtig werden. Auch wenn der Fehler einer Person aus der Geschäftsleitung oder sonstigen Mitarbeitenden zuzuordnen ist, ändert das zunächst nichts an dieser Tatsache: Das Unternehmen haftet selbst für den Schaden. Ausnahmen davon kommen sehr selten vor, wie Andreas von Heinemann erläutert: „Es gibt den sogenannten Mitarbeiterexzess, wenn Mitarbeitende sich nicht an die Vorschriften gehalten hat, obwohl er darin ausgebildet wurde und sie klar erlassen wurden, sodass dem Unternehmen kein Vorwurf gemacht werden kann.“ Dann können auch Mitarbeitende haftbar gemacht werden und sehen sich gegebenenfalls Bußgeld- und Schadensersatzforderungen ausgesetzt. Das komme aber sehr selten vor, so von Heinemann.
Verantwortung & Rolle der Geschäftsleitung
Die Regelungen der DSGVO verpflichten Geschäftsleitungen, im Sinne des Datenschutzes zu agieren. Andernfalls drohen Haftungsfälle für ihre Unternehmen. Sie sind heute aber zunehmend selbst am Datenschutz interessiert und spüren auch die steigende Nachfrage ihrer Mitarbeitenden. Dazu meint Andreas von Heinemann: „Wurde das Thema bei der Einführung der DSGVO eher als lästig empfunden, reagieren die meisten Mitarbeitende heute sehr interessiert.“ Die Verpflichtung, ihre Belegschaft im Datenschutz zu schulen und fortzubilden, können Geschäftsleitungen heute meist einfach erfüllen.
Mitarbeitende für den Datenschutz sensibilisieren und fortbilden
Auch wenn einzelne Mitarbeitende nicht durch die Gesetzgebung direkt angesprochen sind, spielen sie eine wichtige Rolle beim Datenschutz. Andreas von Heinemann fasst es so zusammen: „Datenschutz ist ein Querschnittsthema. Das geht vom Einkauf bis hin zur Logistik.“
An verschiedenen Stellen in den Betriebsabläufen eines Unternehmens werden Daten erfasst und verarbeitet. Dabei gibt es je nach Branche Unterschiede. Die Verpflichtung, Mitarbeitende zu schulen und fortzubilden, ist somit auch eine praktische Notwendigkeit.
Datenschutz im Unternehmen: Regelmäßige Schulung
Wenn ein Unternehmen eine:n Datenschutzbeauftragte:n einstellen möchte, wird diese Person kein spezifisches Studium vorweisen. Jedoch sieht das Gesetz vor, dass sie über gute Rechtskenntnisse im Datenschutz verfügen muss. Zusätzlich sind in der Praxis auch Kenntnisse im Umgang mit Hardware, Software und sonstiger Informationstechnologie notwendig. Je nach Industrie können die Anforderungen sehr spezifisch sein: Im Bankenwesen benötigen Datenschutzbeauftragte anderes Wissen als beispielsweise im E-Commerce. Das gilt auch für notwendige Datenschutzkenntnisse anderer Personen im Unternehmen. Das Spektrum an Aus- und Fortbildung im Datenschutz ist deshalb mittlerweile stark ausdifferenziert.
Schulungen und Fortbildungen im Datenschutz
Bei der Auswahl der passenden Datenschutz-Fortbildungen sollten Unternehmen darauf achten, dass Schulungen in der Regel konkret für die Rolle von Fachkräften, Geschäftsleitungen oder Mitarbeitenden konzipiert sind. Zudem sind die Inhalte von Datenschutz-Fortbildungen häufig auf bestimmte Unternehmensabteilungen und Branchen abgestimmt.
- Geschäftsleitung: Um als Geschäftsleitung Haftungsrisiken ausschließen zu können, sollte sie in Datenschutz-Schulungen für Führungskräfte grundlegende Kenntnisse zum Datenschutzrecht erwerben. Da sich die Anforderungen je nach Branche laufend ändern, sollten Führungskräfte regelmäßig Auffrischungskurse besuchen.
- Mitarbeitende: Richtlinien und Maßnahmen, die eine Geschäftsleitung erlässt, setzen die Mitarbeitenden eines Unternehmens in die Praxis um. Die Geschäftsleitung ist zudem angehalten, Fachverantwortliche in einzelnen Abteilungen zu ernennen. Daher sind auch unter Mitarbeitenden aktuelle Fachkenntnisse wünschenswert. Ein Grundlagen-Seminar im Datenschutz lohnt sich für jede:n. Unternehmen sind dazu verpflichtet, ihre Belegschaft zu schulen und tragen somit auch die Kosten der Schulungsmaßnahme.
- Fachkräfte: Die Rollen von Datenschutzbeauftragten und Datenschutzkoordinator:innen wandeln sich stetig. Neue Technologien wie künstliche Intelligenz schaffen neue Herausforderungen. Dazu werden auch Gesetzestexte aktualisiert, sodass die Pflichten zum Datenschutz sich verändern. Um damit Schritt zu halten, sollten sich auch Datenschutzbeauftragte und Datenschutzkoordinator:innen nach ihrer Ausbildung laufend fortbilden und auf den aktuellen Stand bringen.
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 600 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Mit der Einführung der DSGVO sind viele Vorgaben und Aufgaben zur konformen Umsetzung für Betriebe und deren Fachbereiche entstanden. Um diese erfüllen zu können, werden zunehmend Datenschutzkoordinatoren eingesetzt, welche eine unterstützende Funktion innehaben.
In dieser Schulung zum Datenschutz werden Datenschutzkoordinatoren in administrativen sowie subsidiären Aufgaben ausgebildet. Sie eignen sich systematische Kenntnisse zur Umsetzung der DSGVO an.
Anhand konkreter Beispiele aus der Praxis werden in diesem zweitätigen Datenschutz-Seminar Datenschutzkoordinatoren darin geschult, die hohen Anforderungen der DGSVO umzusetzen. Durch Übungen wird dieses Wissen weiter vertieft
Wer muss eigentlich einen betrieblichen Datenschutzbeauftragten benennen? Laut § 38 BDSG-neu muss auch weiterhin die Benennung eines Datenschutzbeauftragten erfolgen, wenn in einem Unternehmen mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl muss ein betrieblicher Datenschutzbeauftragter benannt werden, wenn eine Datenschutz-Folgenabschätzung durchzuführen ist, wenn personenbezogene Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.
Bereiten Sie sich auf das Seminar zum Datenschutzbeauftragten mit unseren kostenfreien E-Learnings vor. Weitere drei Monate können Sie im Anschluss hier aufbereitete Inhalte nachschauen. Die E-Learnings erhalten Sie als Teilnehmende einige Tage vorab.
Sie haben den Kurs zum Datenschutzkoordinator bzw. zur -koordinatorin erfolgreich gemeistert? Jetzt wollen Sie sich intensiver in Bereiche einarbeiten, die sich in Ihrer täglichen Praxis ergeben und immer relevanter werden?
In dieser Weiterbildung für Datenschutzkoordinatorinnen und -koordinatoren vertiefen wir die Themen, die Sie bewegen. Senden Sie uns diese gern vorab. Und fragen Sie intensiv nach. Wir antworten mit Updates, Tipps & Tricks.
Zusammenarbeit zwischen Datenschutzbeauftragten und Datenschutzkoordinator:innen
In Unternehmen, die sowohl Beauftragte als auch Koordinator:innen (oder auch ganze Abteilungen dafür) beschäftigen, ergibt sich die Arbeitsteilung zwischen den beiden aus ihren Kompetenzen. Während Datenschutzbeauftragte eher beraten und kontrollieren, sind Datenschutzkoordinator:innen mit Planung und Umsetzung befasst. Die beiden können auch in einer Mittlerrolle aufeinandertreffen.
Datenschutzbeauftragte | Datenschutzkoordinator:innen | |
Expertise im Datenschutzrecht, berät sowohl Geschäftsleitung wie auch DSK | ↔ | Ansprechperson für Mitarbeitende, Abteilungen und Externe, holt rechtliche Expertise bei DSB ein |
Kontrolliert den Stand bei der Umsetzung von Datenschutzverpflichtungen in Dokumenten und Verarbeitungsverfahren | ↔ | Unterstützt bei der Prüfung von Pflichtdokumenten und Datenverarbeitungsverfahren |
Prüft, ob Verfahren zum Datenschutz im Unternehmen den rechtlichen Anforderungen gerecht werden | ↔ | Sorgt in Abstimmung mit DSB für die rechtskonforme Implementierung von Datenschutzmaßnahmen |
In kleinen und mittelständischen Unternehmen kann es auch sein, dass nur eine der beiden Stellen besetzt ist. Andreas von Heinemann kennt das aus seiner Erfahrung als Unternehmensberater. Er rät aber davon ab, in solchen Fällen beide Kompetenzbereiche von einer Person abbilden zu lassen: „Etwas zu kontrollieren, was man selbst erstellt hat, wird immer etwas schwierig.“
Eine Lösung könnte sein, die fehlende Expertise extern zu buchen. Aus Kostengründen tendieren aber einige Unternehmen dazu, Fachkräfte aus betroffenen Abteilungen zu Ansprechpersonen für Datenschutz zu ernennen.
Wie arbeiten Datenschutzbeauftragte und Datenschutzkoordinator:innen mit anderen Unternehmensteilen zusammen?
Wenn ein Unternehmen Maßnahmen für den Datenschutz ergreift oder nachjustiert, sind die meisten Mitarbeitenden in der Verantwortung. Das erfordert auf der Seite von Datenschutzbeauftragten und -koordinator:innen Fingerspitzengefühl. Sie sollten „Prozesse in Soft- und Hardware so gestalten, dass die Mitarbeitenden ihre Aufgaben gut erledigen, sodass der Datenschutz gar nicht bemerkt wird“, so von Heinemann.
Administrativer Datenschutz und operativer Datenschutz
Als praktisches Beispiel führt Andreas von Heinemann die Verwendung einer Software an, für die bestimmte Berechtigungen unterschiedlich verteilt sind. Nicht jede Person im Betrieb darf jede Funktion nutzen. Das Konzept dazu entwirft beispielsweise ein:e Datenschutzkoordinator:in. Ein solches Berechtigungskonzept zu entwerfen, fällt unter administrativen Datenschutz.
Bei den Mitarbeitenden muss dieses Konzept nicht bekannt sein. Die Umsetzung, in diesem Fall die Vergabe von Nutzungsrechten und Passwörtern, obliegt nämlich der IT-Abteilung des Unternehmens. Damit führt sie in diesem Fall die Rolle des operativen Datenschutzes aus.
Ausblick auf neue Herausforderungen im Datenschutz
Mit der fortschreitenden Digitalisierung wächst nicht bloß die Menge der erfassten personenbezogenen Daten, auch die Technologien, mit denen sie gesammelt und verarbeitet werden, wandeln sich. Künstliche Intelligenz ist eine Wachstumsbranche der nächsten Jahre und bisher ist ihr Einsatz erst in Grundzügen reglementiert, auch was den Datenschutz betrifft. Die Verordnung der Europäischen Union zu künstlicher Intelligenz aus dem Sommer 2024 tritt ab Februar 2025 in Kraft. In ihr fällt das Wort Datenschutz mehr als fünfzigmal. In Folge der sich stetig wandelnden Herausforderungen an den Datenschutz ist die kontinuierliche Weiterbildung der Mitarbeitenden wichtiger denn je.
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und IT
Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de