Datenschutz im Unternehmen – Die Aufgaben und Pflichten eines Datenschutzbeauftragten

Die meisten Unternehmen müssen zu verschiedenen Zwecken personenbezogene Daten von Kunden und Mitarbeitern erfassen und speichern. Zu diesen Informationen zählen unter anderem der volle Name, die Adresse und die Telefonnummer. Da kommt die Frage auf, gehen Unternehmen pflichtbewusst und respektvoll mit unseren Daten um? Zu diesem Zweck werden Datenschutzbeauftragte in Unternehmen eingesetzt. Oliver Fouqet und Oliver Stigler gehen genau diesem Beruf nach und klären uns im Folgenden über die Aufgaben und das Berufsfeld eines Datenschutzbeauftragten auf.

Das Berufsfeld und die Aufgaben eines Datenschutzbeauftragten

Herr Fouqet, Sie sind Fachanwalt, Datenschutzbeauftragter und Mitglied im IHK Anwenderclub für Datenschutz und Informationssicherheit. Was kann man sich genau unter diesem Berufsfeld vorstellen?

Fouqet: Datenschutzbeauftragte haben verschiedenste Aufgaben. Wir betreuen und beraten Unternehmen im Datenschutz. Unternehmen in verschiedenen Größen brauchen einen Datenschutzbeauftragten, da gibt es die Möglichkeiten, dass das Unternehmen selbst Mitarbeiter benennt oder einen externen Datenschutzbeauftragten beschäftigt und das sind dann in dem Fall eben wir. Wir versuchen den Datenschutz im Unternehmen umzusetzen, die Mitarbeiter und die Unternehmensführung von der Wichtigkeit des Datenschutzes zu überzeugen und hier bestimmte Bereiche umzusortieren und den Datenschutz umzusetzen.

Wie gestalten sich die Aufgaben als externe Datenschutzbeauftragte, wenn ein Unternehmen sie engagiert?

Fouqet: Wir haben einen gewissen Aufgabenkatalog, der sich aus der Datenschutzgrundverordnung (DSGVO) ergibt. Diese Aufgaben versuchen wir dann auch für den Kunden umzusetzen, wir schulen Mitarbeiter, wir überwachen den Datenschutz, wir versuchen Unternehmen Unterstützung zu bieten, wie es den Datenschutz dort möglichst gut umsetzen kann. Wir müssen bei Datenschutzverstößen Meldungen an die Behörde machen, wir müssen auch eine Organisation im Unternehmen aufbauen, die es ermöglicht, dass Datenschutzverstöße erkannt werden, dass Mitarbeiter sensibel dafür sind. Wenn neue Verfahren im Unternehmen eingeführt werden, begleiten wir diese, damit sie datenschutzkomform funktionieren.

Stigler: In der Praxis sieht es so aus, dass wir einfach mal in das Unternehmen hinein gehen und man die Mitarbeiter sensibilisiert. Man macht ihnen bewusst, wo sie mit personenbezogenen Daten in Berührung kommen, was sie machen sollen und was sie nicht damit machen sollen. Wir lassen uns erklären, wie im Unternehmen mit Daten umgegangen wird, also wo wird eine E-Mail empfangen, wie wird diese gespeichert, wie weiter geleitet etc.

Anhand der Struktur, die im Unternehmen schon vorhanden ist, bauen wir ein Konzept, was man ändern könnte und ändern müsste. Wir krempeln nicht alles komplett um, sondern wir gucken uns die Abläufe an und justieren gewisse Abläufe etwas nach, bei denen man Dinge besser machen könnte.

Die Rechtsgrundlage des Umgangs mit personenbezogenen Daten

Es gibt verschiedene Rechtslagen. Einmal die europäische Datenschutzgrundverordnung (DSGVO) und einmal das deutsche Bundesdatenschutzgesetz (BDSG).  Was ist der Unterschied zwischen dem BDSG und der DSGVO. An welchem Recht orientieren sie sich, am europäischen Recht oder am deutschen Recht?

Stigler: Das Europarecht gilt vor dem nationalen Recht. Das heißt, über allem gilt die Datenschutzverordnung, aber Datenschutz ist generell nichts neues, den gibt es nicht erst seitdem es die DSGVO gibt also seit rund zwei Jahren. Datenschutz gab es schon vorher und da galt das BDSG als Basis für Deutschland. Vieles wurde von der DSGVO ersetzt oder auf ein anderes Niveau gehoben. Der nationale Gesetzgeber hat die Möglichkeit in manchen Bereichen spezielle Regelungen zu setzen, welche dann in der BDSG festgehalten werden.

Fouqet: Ein klassisches Beispiel hier ist der Mitarbeiterdatenschutz. Da gibt die europäische Regelung nichts weiter vor, aber der Bundesgesetzgeber hat für den Mitarbeiterdatenschutz im BDSG genau Regelungen getroffen, die dann speziell für Deutschland gelten, weil nicht jedes EU-Land ein Sozialversicherungssystem wie Deutschland hat. Die Arbeitgeber müssen Daten an die Versicherungen weitergeben, Daten zur Kranken-, Sozial- Rentenversicherung und Co. Nicht jedes EU-Land kennt das in diesem Ausmaß und deshalb hat Deutschland hier nochmal spezielle Regelungen getroffen. Die europäische Verordnung sagt, manche Sachen möchten wir nicht regeln, das können die Ländern für sich besser regeln. Da gibt es sogenannte Öffnungsklausel, die zulassen, dass der nationale Gesetzgeber sich darum kümmert.

Was bedeutet „ordnungsgemäße Anwendung für den Kunden”?

Fouqet: Das heißt, dass Daten nur auf der Basis einer Rechtsgrundlage verarbeitet werden dürfen, zum Beispiel über eine Einwilligung. Das heißt wenn man Sie fragt, ob sie damit  einverstanden sind, dass er ihre Adresse aufschreibt und Sie ja sagen, darf er das tun. Das ist eine unserer Aufgaben, zu prüfen, ob diese Daten überhaupt zu diesem Zweck und auf einer Rechtsgrundlage  verarbeitet werden dürfen.

Als Beispiel: Sie kaufen ein Möbelstück, der Unternehmer erlangt daraufhin ihre Adresse und kann Ihnen zu anderen Möbelstücken, welche sie ggf. interessieren könnten, Information zu schicken. Er dürfte aber nicht sagen, ich habe hier noch eine zweite Sparte in meinem Unternehmen, die verkaufen etwas ganz anderes, Autos beispielsweise. Dann dürfte Ihnen der Unternehmer keine Werbung seiner Fahrzeuge zu schicken, das wäre nicht mehr von dieser Grundlage umfasst.

Personenbezogene Daten für andere Zwecke nutzen

Dürfen Unternehmen die Daten dann grundsätzlich zu  Werbewecken speichern?

Stigler: Das ist ein Punkt den die DSGVO offenlässt, d.h. in der DSGVO steht, dass Werbung grundsätzlich ein Interesse des Unternehmers ist. Im deutschen Gesetz haben wir ergänzend zu dem Punkt Werbung das Schlagwort „unzumutbare Belästigung“ und das ist es im Regelfall immer dann, wenn ein Verbraucher von einem Unternehmen elektronische Werbung bekommt. Das ist grundsätzlich unzulässig, es gibt aber eine Öffnung, wenn man mit dem Verbraucher in Geschäftsbeziehung steht. Wenn man also ein Kunde ist, dann darf das Unternehmen die E-Mail-Adresse die es gewonnen hat vom Kunden nutzen, um Werbung zu ähnlichen Produkten, wie denen, die der Kunde gekauft hat, zu senden. Das ist ein kleines Einfallstor, um elektronische Werbung verwenden zu dürfen. Aber eben nur für den Bereich, für den man davon ausgehen kann, dass es den Kunden interessiert, da er ähnliches bereits gekauft hat.

Fouqet: Aber selbst bei dieser Art von Werbung haben Sie die Möglichkeit dem zu widersprechen. Das Unternehmen müsste einen dann wieder aus dem E-Mail-Verteiler herausnehmen. Da wäre es jetzt beispielsweise unsere Aufgabe, einen Prozess zu schaffen, bei dem man sichergehen kann, dass diese Person, die keine Werbung möchte, auch wirklich aus der Newsletterverteilerliste herausgenommen wird. Eigentlich muss es in jedem Newsletter den sie zugesendet bekommen auch die Möglichkeit geben, dass sie ihn mit einem einfachen Klick abbestellen.

Dürfen Unternehmen personenbezogene Daten an Dritte weitergeben?

Fouqet: Grundsätzlich ist es nicht verboten Daten an Dritte weiterzugeben, das hängt davon ab, ob es auch hier wieder eine Rechtsgrundlage gibt oder ob es eine gewissen Aufgabenteilung im Rahmen einer Auftragsverarbeitung existiert, bei der Informationen weitergeben werden müssen. Das heißt konkret: Wir machen als Unternehmer nicht unsere Lohnbuchhaltung für unsere Mitarbeiter selbst, also geben wir deren Daten an den Steuerberater weiter, der die Lohnbuchhaltung macht, das ist ein berechtigtes Interesse. Es gibt weltweit operierende Konzerne. Es gibt beispielsweise einen großen Mutterkonzern, der ggf. im Ausland sitzt, der die kompletten Mitarbeiter weltweit verwaltet, so dass Tochterunternehmen Informationen und Daten an den Mutterkonzern weitergeben. Was man aber nicht ohne weiteres machen kann, ist, einen Datenpool an  Marketingunterehmen weiter zu geben, die Telefonmarketing betreiben.

Stigler: Ein weiteres Beispiel ist der Onlineversand. Wenn ich Versand anbiete, muss ich die Adressen dem Versandunternehmen mitteilen. Darüber muss ich nur informieren.

Fouqet: Man muss natürlich aufpassen, denn es liest sich keiner die AGBs oder Datenschutzerklärungen durch. Dort steht häufig – vor bei kostenlosen Dienste -, was mit den Daten gemacht wird. Ein gutes Beispiel sind diese kostenlose Grußkarten zum Geburtstag und Weihnachten. Die sind kostenlos, aber was genau bedeutet kostenlos in diesem Kontext? Ich stimme diesen Nutzungsbedingungen zu und da steht meistens drin, dass diese Daten an Dritte weitergegeben werden und dann kriegen sie auf einmal Werbung von Tchibo Amazon und Co.

Personenbezogene Daten Löschen – wann, wer, wie und was wenn nicht?

Werden personenbezogene Daten, die von einem Unternehmen erhoben werden nach einer gewissen Zeit wieder gelöscht?

Fouqet: Ob sie wirklich gelöscht werden, ist immer die Frage, sie müssen aber gelöscht werden. Das ist eine weitere Aufgabe eines Datenschutzbeauftragten. Wir erarbeiten Löschkonzepte für Unternehmen, wann die Daten gelöscht werden. Da gibt es unterschiedliche Fristen. Wenn Sie sich als Beispiel bei einer Firma ein Angebot senden lassen, danach aber sagen, ich möchte das Produkt oder die Dienstleistung nicht, dann müssten diese Daten eigentlich relativ schnell, nach sechs Monaten spätestens einem Jahr, gelöscht werden. Wenn sie ein Produkt kaufen, das heißt sie kaufen sich z.B. das Möbelstück auch wirklich, dürfen die Daten länger aufgehoben werden. Solange wie es steuerlich notwendig ist und das sind zehn Jahre. Nach diesen zehn Jahren müssten Ihre Daten jedoch gelöscht werden, wenn Sie in der Zwischenzeit nichts Weiteres kaufen.

Bei Mitarbeitern hat man Fristen von 2-10 Jahren, das ist kompliziert. Aber irgendwann und das ist ein großer Punkt in der DSGVO, müssen die Daten auch wirklich endgültig gelöscht werden. 

Stigler: Das praktische Problem ist, dass nirgends wirklich steht, wann ich was löschen muss. Der Grundsatz ist: Ich muss löschen, im Zweifel so früh wie möglich. Im Einzelfall muss man entscheiden, wie lange es notwendig ist, die Daten vorzuhalten. Was momentan in der Schwebe ist, ist wie lange ich ein Kundenkonto aktiv halten soll. Es kann sein, dass der Kunde 3-4 Jahre nichts bestellt, dann aber wieder etwas kaufen möchte. Es ist sicherlich für viele Kunden bequem, sich nicht nochmal neu anmelden zu müssen, da muss man als Unternehmer überlegen, wann ich die Kundendaten lösche. Man kann es aktiv angehen und alle 3 Jahre eine Anfrage senden, ob die Daten des Kunden noch aktuell sind oder ob er oder man diese löschen möchte.

Datenschutz kann auch als Marketinginstrument eingesetzt werden. Man zeigt den Kunden so, dass man als Unternehmen um Datenschutz bemüht ist und die Löschung der Daten ernst nimmt. Es lässt sich positiv verkaufen.

Verstöße gegen die DSGVO können in verschieden Graden der Schwere stattfinden und sich in der Tiefe stark unterscheiden. Was ist der Rahmen der Strafe für Verstöße und mit welchen Einbußen hat man als Unternehmen zu rechnen, wenn man dem Datenschutz nicht in vollem Umfang nachkommt?

Fouqet: Die DSGVO gibt grundsätzlich einen Rahmen an Strafzahlungen von bis zu 20 Millionen vor, alternativ und noch schlimmer 4% des weltweiten Jahresumsatzes. Bei Unternehmen wie Facebook geht das schnell in die Milliarden. Die Strafe richtet sich nach Schwere der Tat, ob diese vorsätzlich geschehen ist und wie viele Verstöße allgemein vorliegen. Das hängt sehr stark vom Einzelfall ab.

Muss jedes Unternehmen einen Datenschutzbeauftragten ernennen?

Die Privatsphäre der Kunden ist selbstverständlich wichtig, um diese vor Gefahren zu schützen sowie deren Vertrauen zu gewinnen. Auch dadurch, dass die Strafe sehr hoch angesetzt werden können, wäre es doch für jedes Unternehmen ratsam, einen Datenschutzbeauftragten zu engagieren, bzw. wäre es nicht sinnvoll die Ernennung eines Datenschutzbeauftragten für jedes Unternehmen vorzuschreiben, um den Einzelnen zu schützen? Wie sieht die rechtliche Grundlage hierzu aus?

Fouqet: Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen. Das betrifft zunächst mal nur Unternehmen, die mindestens 20 Mitarbeiter haben, die mit der Verarbeitung von personenbezogenen Daten zu tun haben oder die sehr sensible Daten behandeln. Bei medizinischen Angelegenheiten ist das der Fall. Man muss aufpassen, man braucht keinen Datenschutzbeauftragten, aber den Datenschutz muss man natürlich trotzdem beachten. Wir betreuen und beraten auch Unternehmen unter dieser Grenze, die müssen gewissen Vorgaben natürlich genauso erfüllen. Auch kleinere Unternehmen sind damit schnell überfordert und holen sich einen Datenschutzbeauftragen, der sich um die Angelegenheiten kümmert.

Firmen ohne einen Datenschutzbeauftragen und der Datenschutz

Könne Firmen, die unter diese Grenze fallen und offiziell keinen Datenschutzbeauftragten brauchen überhaupt vollumfänglichen Datenschutz an den Kunden garantieren? 

Fouqet: Eine wirkliche Garantie gibt es nicht. Es soll in Zukunft eine Art Zertifikat geben, aber bis jetzt gibt es das noch nicht. Wir haben Unternehmen als Kunden, oftmals IT-Unternehmen, die unter 20 Mitarbeiter haben, die aber für große Firmen arbeiten. Diese wiederum sagen aus Qualitätssicherungsgründen, wenn die Firma keinen Datenschutzbeauftragen hat, arbeiten sie gar nicht erst mit dem Unternehmen zusammen. Aus diesem Grund holen sich Firmen trotz der geringen Mitarbeiterzahl einen Datenschutzbeauftragten. Sie zeigen größeren Firmen damit, dass bei Ihnen der Datenschutz gesichert ist. Das hat viel mit den Qualitätszertifikaten der großen Unternehmen zu tun. In deren Vorgaben steht, dass diese keine anderen Unternehmen beauftragen dürfen, die nicht gewisse Mindeststandards erfüllen.

So sind wir zum Datenschutz gekommen, weil ein Mandant gesagt hat, er muss nach diesen Qualitätsstandards den Datenschutz erfüllen und so ging das los, lange vor der DSGVO.

Wie werde ich Datenschutzbeauftragter?

Datensicherheit und -schutz sind in der heutigen Zeit für Kunden und Unternehmen sehr wichtige Gesichtspunkte, die auch in Zukunft immer größere Rollen spielen werden. Wie kann man die Karriere als Datenschutzbeauftragter beginnen?

Fouqet: Wir sind von der Grundprofessionalität Rechtsanwälte und letztendlich hat Datenschutz sehr viel mit Recht zu tun. DSB ist kein geschützter Begriff, grundsätzlich kann sich jeder so nennen, aber die Behörden verlangen eine gewissen Qualifikation. Diese kann man sich bei verschiedenen Anbietern zertifizieren lassen. Wir beiden haben das über den TÜV gemacht. Die IHK macht das beispielsweise auch sowie andere Datenschutzverbände wie der GDD. Dort durchläuft man einen Kurs über einen gewissen Zeitraum und legt am Schluss eine Prüfung ab, wonach man sich DSB nennen darf.

Stigler: Es gibt im Prinzip zwei Welten im Datenschutz, es gibt die Juristen, die die rechtlichen Grundlagen per se beherrschen, aber bei technischen Angelegenheiten externes Know-How benötigen.  Die andere Seite bilden Techniker und ITler, die vielleicht aus Unternehmen kommen, die die technische Seite gut beherrschen, aber sich vielleicht bei rechtlichen Punkten schwerer tun. Die Erfahrung zeigt, dass es meistens etwas einfacher ist, wenn man von der juristischen Seite kommt, da man die Besonderheiten in der DSGVO und Co. einfacher verstehen kann. Am Ende des Tages wird über die Strafen bei Verstößen von Juristen entschieden und nicht vom Techniker.