Über uns Datenschutz von Experten

intersoft consulting services AG ist das Beratungsunternehmen für Datenschutz, IT-Sicherheit und Compliance. Mit hochqualifizierten, interdisziplinär agierenden Consultants sorgen wir seit rund einem Jahrzehnt dafür, dass unsere Kunden in Datenschutz, Recht und IT jederzeit optimal aufgestellt sind.

Entscheiden auch Sie sich für Datenschutz von Experten: Unsere Datenschutzbeauftragten sind ausschließlich erfahrene Volljuristen mit fundiertem IT-Wissen, die maßgeschneiderte und pragmatische Lösungen entwickeln.

Über 600 zufriedene Kunden aus unterschiedlichsten Branchen wissen das zu schätzen und machen uns zu einem der führenden Dienstleister für die Bereitstellung externer Datenschutzbeauftragter.

Ob Gesamtentwicklung einer Datenschutzorganisation oder datenschutzkonforme Umsetzung von Projekten: Vertrauen Sie auf unser Know-how. Gerne erstellen wir ein auf Ihre Wünsche zugeschnittenes Angebot.

Jetzt unverbindlich anfragen

Erstklassig

Know-how & Nähe: 600+ Kunden, 7 Standorte, ein Jahrzehnt Erfahrung.

Kompetenz

Wissenspool: Premium-Beratung von Juristen mit IT-Know-how.

Expertise

Datenschutz-Profis: alle Branchen, alle Unternehmensstrukturen.

Kundenzufriedenheit

Individuell & praxisnah: Datenschutzberatung, die Kunden glücklich macht.

Kosten

Volle Transparenz: Experten-Datenschutz mit Planungssicherheit.

Referenzen Zufriedene Kunden

Über 600 Kunden vertrauen uns!

Die Expertise der intersoft consulting services AG in Datenschutz, IT-Sicherheit und Compliance überzeugt kleine und mittlere Unternehmen aller Branchen genauso wie internationale Großkonzerne, Behörden, Vereine und Stiftungen sowie öffentliche und kirchliche Einrichtungen in ganz Deutschland.

Unsere Kunden können auf Diskretion zählen. Deshalb finden Sie hier lediglich ausgewählte Referenzen. Fragen Sie uns gerne nach Unternehmen Ihrer Branche, die wir erfolgreich beraten haben.

  • YAMAHA Music Europe
  • ŠKODA AUTO Deutschland
  • Deutsches Komitee für UNICEF
  • GÖRTZ
  • Deutsche Stiftung Organtransplantation
  • Evangelische Stiftung Pflege Schönau

Externer DatenschutzbeauftragterKosten

Sie suchen professionelle Unterstützung für Datenschutz, Recht und IT? Die Lösung: ein externer Datenschutzbeauftragter. Kosten, Aufwand und Qualität stehen bei uns in einem bewährt ausgewogenen Verhältnis.

Unser Beratungskonzept beruht neben der hohen Qualifikation der Consultants auf den vier Qualitätsversprechen Individualität, Sorgfalt, Praxisnähe und Diskretion. Monatspauschalen garantieren volle Kostentransparenz und Planungssicherheit für Ihr Datenschutz-Projekt.

Gerne erstellen wir eine exakt auf Ihren Beratungsaufwand zugeschnittene Kostenkalkulation.

Jetzt Kosten anfragen
Grafik zu Kosten eines externen Datenschutzbeauftragten

FAQ Häufig gestellte Fragen

Wozu benötige ich einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter klärt über rechtliche Risiken im Datenschutz auf und wirkt auf die Einhaltung des Datenschutzes im Unternehmen hin. Dabei nimmt er lediglich eine beratende Position ein. Ob und wie die Vorschläge umgesetzt werden, liegt weiterhin in der Verantwortung der Unternehmensleitung.

Einen Datenschutzbeauftragten benötigt man, wenn mehr als 9 Personen personenbezogene Daten automatisiert, z.B. mit einem Smartphone, verarbeiten.

Gesetzliche Anforderung

Das Gesetz stellt bei der Frage der Notwendigkeit auf die Anzahl der mit der Datenverarbeitung beschäftigten Personen ab. Ein Unternehmen benötigt einen Datenschutzbeauftragten, wenn mehr als 9 Mitarbeiter mit der Verarbeitung personenbezogener Daten nicht nur vorübergehend beschäftigt sind. Dies hat der Gesetzgeber im Paragraphen 4f Bundesdatenschutzgesetz (BDSG) geregelt. „Automatisiert verarbeiten“ bedeutet, dass dabei ein Computer, Tablet oder Smartphone zum Einsatz kommt.

Bei der Berechnung der für das Gesetz relevanten Personenanzahl zählen auch Teilzeitbeschäftigte, Praktikanten oder Personen die nur unregelmäßig mit der Verarbeitung der personenbezogenen Daten beschäftigt sind. Diese umfassen neben den Kundendaten auch die Personaldaten der eigenen Mitarbeiter.

Ausnahmen

Daneben gibt es noch eine Reihe von Ausnahmen. In diesen Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der Beschäftigten zu ernennen.

Sensible Daten

Bei Unternehmen, die besonders sensible Daten verarbeiten (Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) oder die personenbezogene Daten auf besondere Art nutzen.

Markt- und Meinungsforschung / besonderes Risiko

Auch für Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, gilt diese Ausnahme. Zusätzlich sind auch Unternehmen betroffen, deren Verarbeitung ein „besonderes Risiko für die Rechte und Freiheiten der Betroffenen aufweist.“

Behörden

Von der Ausnahmereglung sind auch alle Stellen des öffentlichen Bereichs betroffen. Soweit es die Struktur zulässt kann eine Bestellung auch für mehrere Abteilungen übergreifend geschehen. Näheres lässt sich den jeweiligen Landesdatenschutzgesetzen entnehmen.

Der Datenschutzbeauftragte muss innerhalb eines Monats nach Aufnahme der Tätigkeit bestellt werden. Die Bestellung muss schriftlich erfolgen. Erkennbar müssen sein:

  • das Datum der Vertragsunterzeichnung
  • der Name des Datenschutzbeauftragten
  • der Name des Unternehmens
  • der Name des zeichnungsberechtigten Vertreters
  • das Datum des Beginns der Bestellung

Was ist eigentlich Datenschutz?

Laut § 1 Bundesdatenschutzgesetz (BDSG) hat der Datenschutz den Zweck, Einzelne davor zu schützen, dass diese durch den Umgang mit deren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird. Dem Duden nach ist Datenschutz der „Schutz des Bürgers vor Beeinträchtigungen seiner Privatsphäre durch unbefugte Erhebung, Speicherung und Weitergabe von Informationen, die seine Person betreffen.“ Anders ausgedrückt ist der Datenschutz der Schutz personenbezogener Daten vor Missbrauch.

Es werden also nicht alle Informationen geschützt, sondern nur personenbezogene oder –beziehbare. Dies sind Informationen, die Eigenschaften über eine Person enthalten. Das können Name, Alter, Adresse, Familienstand, Beruf, Krankheiten, Haushaltseinkommen, Steuerschuld, Religion oder auch die IP-Adresse sein.

Des Weiteren muss eine natürliche Person, ein Mensch, betroffen sein. Reine Unternehmensgeheimnisse werden nicht geschützt. Das Datenschutzrecht stützt sich auf das Grundrecht der informationellen Selbstbestimmung. Dieses wurde vom Bundesgerichtshof in seinem Urteil zur Volkszählung im Jahre 1983 aus dem allgemeinen Persönlichkeitsrecht und der Menschenwürde abgeleitet. Der Einzelne soll selbst über die Erhebung und Verwendung seiner Daten bestimmen können.

Zusammenfassung

Ein DSB wird benötigt, wenn:

  • mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten betraut sind
  • man im öffentlichen Bereich tätig ist
  • die Verarbeitung personenbezogener Daten geschäftsmäßig erfolgt
  • eine besonderer Sensibilität der verarbeiteten Daten vorliegt

Glossar

Begriff Erklärung
Personenbezogene Daten Angaben über die persönlichen oder sachlichen Verhältnisse natürlicher Personen
Recht auf informationelle Selbstbestimmung das Recht zu wissen „wer, was, wann und bei welcher Gelegenheit über einen weiß“ (BVerfG)
Betroffener Bestimmte oder bestimmbare natürliche Person
Automatisiert verarbeiten Einsatz von Computer, Tablet oder Smartphone

Wer kontrolliert den Datenschutz?

Kontrolle wird im Datenschutz von verschiedenen Parteien auf unterschiedliche Art und Weise ausgeübt. Kontrollinstanz für datenschutzrechtliche Angelegenheiten sind zunächst die Aufsichtsbehörden der Landesdatenschutzbeauftragten und die Bundesdatenschutzbeauftragte. Darüber hinaus können Unternehmen sich eigenständig oder gegenseitig kontrollieren. Schlussendlich hat auch der Betroffene die Möglichkeit die Nutzung seiner Daten selbst zu überprüfen.

Ein Auge als Symbol für die verschiedenen Parteien, welche den Datenschutz kontrollieren.

Selbstkontrolle

Selbstkontrolle bedeutet, dass der Betroffene selbst die Weitergabe und Verwendung seiner personenbezogenen Daten überwacht. Dies kann entweder präventiv geschehen, indem er diese gar nicht erst weitergibt, oder repressiv repressiv. Bei der repressiven Kontrolle macht der Betroffene von seinem Anspruch auf Auskunft, Berichtigung, Löschung und Sperrung Gebrauch.

Eigenkontrolle

Eigenkontrolle bedeutet, dass das Unternehmen auf die Einhaltung des Datenschutzes innerhalb der eigenen Prozesse hinwirkt. Diese Tätigkeit übernimmt der Datenschutzbeauftragte. Bei seiner Bestellung ermittelt er den Stand der vorhandenen Datenschutzorganisation. Nachdem die Prüfung abgeschlossen ist, erhält die Geschäftsführung eine detaillierte Schwachstellenanalyse inklusive der entsprechenden Maßnahmenempfehlung. Ein weiterer Schritt der Eigenkontrolle stellt die Vorabkontrolle neuer Prozesse im Rahmen der laufenden Datenschutzberatung dar. Zu guter Letzt eignen sich auch Schulungen, ein freiwilliges Audit oder eine Zertifizierung, um Schwachstellen in der Datensicherheit aufzudecken. Bei der Umsetzung des Datenschutzrechts handelt es sich um einen fließenden Prozess, der für einen optimalen Schutz in festen Abständen kontrolliert und justiert werden sollte.

Fremdkontrolle

Fremdkontrolle bedeutet die Kontrolle durch die zuständige Aufsichtsbehörde. Diese wird je nach Sachlage in einem schriftlichen Verfahren oder vor Ort durchgeführt. Dabei kann die Kontrolle unterschiedliche Gründe haben. So können sich vermehrt Kunden, Arbeitnehmer oder Mitbewerber bei der Behörde über einen konkreten Sachverhalt beschwert haben. Eventuell handelt es sich aber auch um eine stichprobenartige Prüfung. Wird bei der Kontrolle ein Verstoß entdeckt, wird dessen Behebung angeordnet. Bei einer schwerwiegenden Verletzung der gesetzlichen Vorschriften wird zudem ein Bußgeld fällig. Zusätzlich kann bei einem Verdacht auf eine Straftat die Strafverfolgungsbehörde hinzugezogen werden.

Mitarbeiter sammelt Informationen über Verstöße beim Datenschutz und gibt diese an die Aufsichtsbehöde. Diese führt daraufhin eine Kontrolle durch.

Zusammenfassung

  • Selbstkontrolle: durch den Betroffenen
  • Eigenkontrolle: durch das Unternehmen
  • Fremdkontrolle: durch die Aufsichtsbehörden

Auskunft muss erteilt werden über alle über den Betroffenen gespeicherten Daten, deren Empfänger, den Zweck der Speicherung
§ 34 BDSG und Spezialgesetze
Berichtigung hat zu erfolgen, wenn die über den Betroffenen gespeicherten Angaben unrichtig sind
§ 35 Abs. 1 BDSG
Löschung bedeutet Unkenntlichmachung gespeicherter personenbezogener Daten
§ 35 Abs. 2 BDSG
Sperrung bedeutet Kennzeichnung gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken § 35 Abs. 3 BDSG

Was sind die Aufgaben eines Datenschutzbeauftragten?

Der Datenschutzbeauftragte wirkt im Unternehmen darauf hin, dass alle datenschutzrechtlich relevanten Vorschriften eingehalten werden. Dafür wird er sowohl präventiv, als auch in der laufenden Betreuung sowie bei aktuellen Vorfällen tätig. Er gibt Hinweise zum Umgang mit personenbezogenen Daten, prüft welche Daten an wen übermittelt werden dürfen und leistet Hilfestellung bei der Einbeziehung von externen Dienstleistern.

Präventive Aufgaben

Vor Einführung neuer automatisierter Datenverarbeitungsprozesse führt der Datenschutzbeauftragte eine Vorabkontrolle durch. Dabei wird das geplante Verfahren einer technischen und organisatorischen Analyse unterzogen, um sicherzustellen, dass die Risiken für die Rechte der betroffenen Personen minimiert wurden.

Bevor ein neuer externer Dienstleister beauftragt wird, muss geklärt werden, wie und in welchem Umfang personenbezogene Daten von diesem verarbeitet werden oder ihm sonst zur Kenntnis gelangen könnten. Der Datenschutzbeauftragte kann einen Vertrag nach den Anforderungen des § 11 Bundesdatenschutzgesetz (BDSG), einen sogenannten Vertrag zur Auftragsdatenverarbeitung, entwerfen. Er steht auch für die Vertragsverhandlungen zur Verfügung, um den datenschutzrechtlichen Interessen Gewicht zu verleihen.

Aufgaben in der laufenden Betreuung

Im laufenden Betrieb können viele Situationen entstehen, die in den Aufgabenbereich des Datenschutzbeauftragten fallen. Bei allen internen Prozessen tritt er als Berater auf und wirkt auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Im Zuge der Beratung sucht er bei Fragen im Tagesgeschäft zusammen mit der Geschäftsleitung, dem Betriebsrat oder einzelnen Abteilungen individuelle Lösungen zur datenschutzkonformen Umsetzung des Projekts.

Der Datenschutzbeauftragte führt auch regelmäßig Schulungen zu verschiedenen Themen im Datenschutz durch, die auf das Unternehmen und dessen Bedürfnisse angepasst sind.

Des Weiteren kümmert er sich um die organisatorischen Aspekte des Datenschutzes im Unternehmen. Werden datenschutzrelevante Dokumente benötigt, erstellt er diese in enger Absprache mit der betroffenen Abteilung. Dazu gehört auch die Pflege und Aktualisierung der internen Verzeichnisse.

Aufgaben bei aktuellen Vorfällen

Unerwartete Ereignisse, wie z.B. das Auskunftsersuchen eines Kunden, die Anfrage einer Aufsichtsbehörde zu bestimmten Prozessen oder die Beschwerde eines Betroffenen, können das Tagesgeschäft empfindlich stören. Bei aktuellen Vorfällen gilt es einen kühlen Kopf zu bewahren und die Anfragen mit der nötigen Dringlichkeit zu bearbeiten. Der Datenschutzbeauftragte übernimmt diese Aufgabe und leitet alle notwendigen Schritte in Absprache mit der Geschäftsleitung unverzüglich einleiten.

Unumstößliche Grundsätze

Der Datenschutzbeauftragte ist in jedem Fall unmittelbar der Geschäftsführung unterstellt, so dass er keine Hierarchien durchlaufen muss, um einem Anliegen Gehör zu verschaffen. Er handelt weisungsfrei, alle seine Entscheidungen trifft er allein nach rechtlichen Vorgaben und seinem besten Wissen und Gewissen. Darüber hinaus ist er zur Verschwiegenheit verpflichtet. Kein Mitarbeiter muss befürchten, dass sensible Sachverhalte offenbart würden.

Welche Vorteile hat ein externer Datenschutzbeauftragter?

Das Gesetz trifft keine Aussage darüber, ob der Datenschutzbeauftragte ein Mitarbeiter des Unternehmens oder ein externer Berater sein soll. Daher ist beides möglich, sofern die Bestellung ordnungsgemäß war. Ein externer Datenschutzbeauftragter hat jedoch einige Vorteile, die nicht von der Hand zu weisen sind.

Ein Kontauszug zeigt die monatliche Abbuchung der Kosten, welcher externer Datenschutzbeauftragter verursacht. Dies bietet den Vorteil klar kalkulierbarer Kosten.

Klar kalkulierbare Kosten

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen den Datenschutzbeauftragten bei seiner Tätigkeit zu unterstützen. In der Praxis fällt darunter konkret, die Übernahme von Fort- und Weiterbildungsmaßnahmen sowie das zur Verfügung stellen von Räumlichkeiten, Einrichtungen, Geräten und Mitteln. Eine transparente Abrechnung des Postens Datenschutz wird dadurch erschwert. Ein externer Berater hingegen verursacht im Monat klar kalkulierbare Kosten. Alle anfallenden Anschaffungen und Weiterbildungen werden vom Dienstleister übernommen.

Kündigungsschutz

Die Bestellung eines Mitarbeiters zum Datenschutzbeauftragten hat unmittelbare Auswirkungen auf dessen Arbeitsverhältnis. Ein interner Datenschutzbeauftragter ist nach § 4f Abs. 3 BDSG während seiner Tätigkeit sowie im folgenden Jahr nach deren Beendigung nur unter besonderen Umständen kündbar. Ein externer Datenschutzbeauftragter genießt einen solch umfangreichen Kündigungsschutz nicht. Das Unternehmen bleibt also flexibel.

Fachkunde

Ein externer Berater betreut im Regelfall mehrere Unternehmen, da er seine Tätigkeit hauptberuflich ausübt. Daher kennt er die verschiedenen Fragestellungen rund um den Datenschutz aus der Praxis und kann die gesammelten Erfahrungen in seine Tätigkeit einbringen. Aus dieser Fachkunde folgt auch eine umfassende Betrachtungsweise des Unternehmens und der internen Vorgänge. Während einem im Datenschutz unerfahrenen Mitarbeiter möglicherweise einige potentielle Schwachstellen entgehen, kann der externe Datenschutzbeauftragte aus seiner Erfahrung schöpfen und Lücken schließen, bevor sie überhaupt entstehen.

Ein externer Datenschutzbeauftragter hilft Mitarbeitern auf dem Gang mit seiner Fachkunde. Dabei erwesit sich seine Erfahrung aus anderen Unternehmen als Vorteil.

Neutrale Stelle

Ein externer Datenschutzbeauftragter genießt in der Regel ein hohes Vertrauen der Mitarbeiter, da dieser als neutrale Stelle wahrgenommen wird. Persönliche Unstimmigkeiten zwischen den Kollegen könnten verhindern, dass sich einzelne Mitarbeiter an den internen Datenschutzbeauftragten wenden. Der externe Datenschutzbeauftragte überzeugt nicht nur durch Kompetenz, sondern bietet dem Unternehmen auch intern Vorteile. So werden interne Interessenkonflikte vermieden, da ein Mitarbeiter nicht unter Umständen zwei gegenläufige Ziele verfolgen muss.

Vorteile auf einen Blick

  • Hohe Fachkunde
  • Erfahrungsschatz
  • Klar kalkulierbare Kosten
  • Vermeidung von internen Interessenkonflikten
  • Freisetzen von internen Ressourcen
  • Vertrauen in die Neutralität
  • Keine Kündigungsschutzproblematik
  • Evtl. vorhandenes Spezialwissen

Welche Nachteile hat ein externer Datenschutzbeauftragter?

Jede Medaille hat bekanntermaßen zwei Seiten. Auch ein externer Datenschutzbeauftragter hat unter Umständen Nachteile. Daher ist es wichtig, sich über diese im Vorfeld der Bestellung Gedanken zu machen. Wenn man sich der potentiellen Schwierigkeiten bewusst ist, kann man diesen gezielt entgegensteuern.

Das Bild zeigt das Gebäude eines großen Konzerns. Bei einem solchen kann es von Nachteil sein, dass ein externer Datenschutzbeauftragter nicht täglich vor Ort ist.

Größenfaktor des Unternehmens

Bei großen Konzernen kann es von Nachteil sein, dass der bestellte Datenschutzbeauftragte nicht täglich vor Ort ist. Denn ab einer gewissen Größe des Betriebs kann der Informationsfluss von datenschutzrelevanten Änderungen sich schwierig gestalten. Dies ist vor allem der Fall, wenn die Verantwortlichen sich im Vorfeld keine Gedanken machen über eine mögliche Relevanz einer Entscheidung für den Datenschutz.

So kann es passieren, dass der Datenschutzbeauftragte Informationen aus den verschiedensten Abteilungen langsamer erhält, als der Betriebliche. Diesem fällt z.B. bei einem Rundgang durch das Haus eine neue Videoanlage auf, er erfährt in der Mittagspause von der viel gelobten Software die das Marketing seit neuestem einsetzt oder stolpert über eine offene Tür, die eigentlich verschlossen sein sollte.

Kosten

Sollte sich ein Mitarbeiter schon tiefgehend mit dem Thema Datenschutz und IT-Sicherheit beschäftigt haben oder sogar früher in einem dieser Bereiche tätig gewesen sein, kann sich eine Bestellung als interner betrieblicher Datenschutzbeauftragter aus Kostensicht lohnen. Bei größeren und fachlich schwierigeren Datenschutzprojekten besteht dann immer noch die Option einen externen Dienstleister zur Unterstützung einzubinden

Unbekannte Unternehmensstruktur

Selbstverständlich kennt der externe Datenschutzbeauftragte zu Beginn seiner Tätigkeit die Unternehmensstruktur noch nicht. Wie jeder neuer Mitarbeiter braucht er Hilfestellungen in Form von Unterlagen und Erläuterungen zu Vorgängen. Zudem kann es sein das der externe Datenschutzbeauftragte die Branche des Auftraggebers nicht kennt und daher erst noch mit deren Gegebenheiten vertraut werden muss.

Ein Mund verschlossen durch einen Reißverschluss, da ein externer Datenschutzbeauftragter für die Mitarbeiter ein Fremder ist. Dies wird zum Nachteil, wenn dem externen Datenschutzbeaufragten deshalb keine Informationen frewillig mitgeteilt werden.

Der Datenschutzbeauftragte als Eindringling

Gruppendynamisch wird der Fremde naturgemäß erst einmal kritisch beäugt. Dies wir dann zum Problem, wenn der externe Datenschutzbeauftragte aufgrund fehlerhafter Kommunikation nicht als Helfer, sondern als Aufpasser wahrgenommen wird. Fehlt die Vertrauensbasis zwischen Datenschutzbeauftragtem und den Mitarbeitern hat dies negative Auswirkungen auf dessen Arbeit.

Nachteile im Überblick:

  • Fehlende Akzeptanz
  • Ist nicht täglich im Unternehmen vor Ort
  • Kennt die Unternehmensstrukturen noch nicht

Weshalb ist ein Datenschutzbeauftragter so wichtig?

Die Nichtbeachtung von Vorschriften des Datenschutzes kann schmerzliche Konsequenzen für ein Unternehmen und unter Umständen auch für die einzelnen Beschäftigten persönlich bedeuten. Ein Datenschutzbeauftragter ist wichtig, um Imageschäden vorzubeugen, ein Bußgeld zu vermeiden und Haftungsrisiken zu minimieren.

Datenschutzvorschriften betreffen Jeden

Das Bundesdatenschutzgesetz schreibt nicht jedem Unternehmen vor, einen Datenschutzbeauftragten zu bestellen. Dennoch findet das Bundesdatenschutzgesetz für jede Stelle Anwendung, sobald diese personenbezogene Daten verarbeitet. Ist in einem Unternehmen kein Datenschutzbeauftragter ernannt, hat die Geschäftsführung dafür zu sorgen, dass die Mitarbeiter alle Datenschutzvorschriften einhalten. Bei vielen für den Datenschutz relevanten Verstöße droht ein Bußgeld. Im Zweifelsfall haftet dann die Geschäftsführung bei Verstößen oder einem Datenverlust.

Negative Presse in der Zeitung nach einem Datenschutzverstoß. Ein Datenschutzbeauftragter hätte diesen Imageschaden vermeiden können.

Vermeidung eines Imageschadens

Im schlimmsten Fall gelangen bei einer Datenpanne besondere Arten personenbezogener Daten aus dem Unternehmen Dritten unrechtmäßig zur Kenntnis. Dann ist diese verpflichtet, den Vorfall der Öffentlichkeit durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen bekannt zu geben. Als Folge ist ein Verlust von Ansehen in der Öffentlichkeit vorprogrammiert.

Auch wenn es meistens nicht ganz so weit kommt: Mit negativer Presse muss bei einem Datenschutzverstoß immer gerechnet werden. Der Datenschutzbeauftragte minimiert mit seiner Arbeit maßgeblich die Risiken eines Vorfalls. Sollte trotzdem ein Zwischenfall auftreten kümmert er sich in enger Zusammenarbeit mit den verantwortlichen Stellen um eine saubere Bearbeitung des Vorfalls. Zudem übernimmt er die Kommunikation nach außen, um den Imageschaden zu minimieren.

Entlastung der Geschäftsführung

Durch die fortschreitende Digitalisierung werden die rechtlichen und technischen Anforderungen an den Datenschutz sich in den nächsten Jahren stetig weiterentwickeln. Um in beiden Fachbereichen über die gesetzlich geforderte Fachkunde zu verfügen, erfordert einen erheblichen Zeitaufwand. Dieser Aufwand wird für die Geschäftsführung neben den Aufgabe der Unternehmensorganisation meist schwer zu rechtfertigen sein. Dieses Themengebiet an eine andere Person abzugeben schafft natürlich Entlastung. Somit kann die Geschäftsführung sich auf ihre Hauptaufgaben konzentrieren.

  • Verringerung des Bußgeldrisikos
  • Verringerung des Haftungsrisikos
  • Imageschaden vorbeugen
  • Konzentration auf die Hauptaufgabe
  • Kein Verpassen neuer rechtlicher oder technischer Entwicklungen

Übersicht gesetzlich relevanter Bußgeld- und Strafvorschriften

Vorschrift für Bußgeld § 43 BDSG
Strafvorschrift § 44 BDSG
Verstoß gegen das Fernmeldegeheimnis § 206 StGB

Lohnt sich ein externer Datenschutzbeauftragter für mein Unternehmen oder lohnt er sich nicht?

Viele Beratungsfirmen werben ausgiebig damit, dass die Inanspruchnahme ihrer Leistung, gegenüber einer internen Vergabe, die beste Lösung beim Thema Datenschutz ist. Tatsächlich ist dies auch objektiv in den meisten Konstellationen der Fall. Dennoch sollte der Einzelne selbst anhand der Vor- und Nachteile entscheiden, ob sich ein externer Datenschutzbeauftragter lohnt oder nicht.

Für wen lohnt sich ein externer Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragter lohnt sich, wenn personelle Ressourcen im Unternehmen knapp sind und deshalb die Freistellung und Weiterbildung eines Mitarbeiters nicht in Frage kommt. Anstelle eines hohen Initialaufwands für Ausbildung, Materialien und Räumlichkeiten des Datenschutzbeauftragten tritt bei einer externen Vergabe die einfache monatliche Abrechnung der anfallenden Ausgaben.

Auch für Unternehmen die Wert auf eine besonders hohe Qualität bei der Datenschutzberatung legen, lohnt sich ein externer Berater. Dieser beschäftigt sich während seiner kompletten Arbeitszeit mit dem Thema Datenschutz und betreut meistens mehrere Unternehmen und bietet daher praxisorientierten Lösungsansätze. Trotz Teilnahme an Schulungen und Weiterbildungen erreicht ein durchschnittlicher interner Datenschutzbeauftragter in den allermeisten Fällen nicht die umfassende Fachkunde eines externen Datenschutzbeauftragten.

Ein externer Datenschutzbeauftragter lohnt sich für Unternehmen als helfende Hand bei der aktiven Kundenbindung.

Dieser lohnt sich übrigens auch zur aktiven Kundenbindung. Der Zeitgeist tendiert seit der NSA Affäre vor allem in Europa stärker als früher zu einer Priorisierung des Schutzes der eigenen Privatsphäre. Dieser Umstand kann ein Bestandteil der eigenen Marketingstrategie werden. So bringt der Datenschutz Wettbewerbsvorteile gegenüber der Konkurrenz. Einem Unternehmen, welches ein hohes Datenschutzniveau kommuniziert, bringen Kunden und Geschäftspartner mehr Vertrauen entgegen.

Für wen lohnt sich ein externer Datenschutzbeauftragter nicht?

Es gibt aber auch Situationen in denen sich ein externer Datenschutzbeauftragter nicht lohnt. Zum Beispiel, wenn der Umfang der anfallenden Aufgaben zum Thema Datenschutz ständig mindestens die Aufmerksamkeit einer Vollzeitstelle erfordert. Ein solcher Fall kann langfristig die Zeit und Kosteninvestition in einen internen betrieblichen Datenschutzbeauftragten rechtfertigen. Bei besonders speziellen Fragen oder Themen kann dann immer noch ein externer Berater hinzugezogen werden. Eine betriebliche Lösung bietet sich auch an, wenn es eine ausreichend qualifizierte Kraft im Unternehmen für diese Position gibt.

Wer braucht einen externen DSB?

Unternehmen, die ...
mehr als 9 Mitarbeiter (Aushilfen eingeschlossen!) mit automatisierter Verarbeitung personenbezogener Daten beschäftigen
Mehr als 20 Mitarbeiter mit nicht-automatisierter Verarbeitung personenbezogener Daten beschäftigen
aktiv Kundenbindung betreiben wollen
einen Wettbewerbsvorteil durch Datenschutz erhalten wollen
datenschutzrechtlich immer umfassend beraten und auf dem neuesten Stand sein wollen

Wie hängen Datenschutz, IT-Sicherheit und Compliance eigentlich zusammen?

In Einzelfällen widersprechen sich die Schutzziele der Bereiche Datenschutz und IT-Sicherheit. Zum Beispiel kann ein biometrisches Zugriffsverfahren der sicherste Schutz für Daten sein, die Speicherung von Fingerabdrücken greift aber stark in das Recht auf informationelle Selbstbestimmung des Betroffenen ein. Dennoch hängen Datenschutz, IT-Sicherheit und Compliance als Gesamtkomplex in zentralen Punkten eng zusammen.

Datenschutz

Der deutsche Datenschutz stützt sich auf das vom Bundeverfassungsgericht geprägte Grundrecht der informationellen Selbstbestimmung. Dem Bürger soll es auch im digitalen Zeitalter möglich sein zu wissen wer, was, wann und bei welcher Gelegenheit über ihn weiß. Die Verarbeitung von personenbezogenen Daten ist deshalb nur durch eine Einwilligung oder ein Gesetzes erlaubt. Sie muss sich also an gewisse Regeln halten. Wenn die Verarbeitung der Daten aber nicht sicher ist, verstößt sie dadurch meistens gegen vorher vertraglich oder gesetzlich festgelegte Vorgaben (wie z.B. § 9 BDSG) und ist somit unrechtmäßig.

Chip zur Verschlüsselung der Kommunikation im Rahmen der IT-Sicherheit.

IT-Sicherheit

IT-Sicherheit bedeutet, dass die informationsverarbeitenden und -lagernden Systeme die Vertraulichkeit, Verfügbarkeit und Integrität der Daten gewährleisten. Dabei geht es primär nicht um den Schutz von personenbezogenen Daten, dennoch überschneiden sich die Anforderungen mit denen aus dem Datenschutz. Um ein hohes Datenschutzniveau zu gewährleisten bedarf es auch einer vernünftigen IT-Sicherheit. Werden Informationen auf dem Transportweg nicht verschlüsselt, ist deren Vertraulichkeit von Anfang an nicht gewährleistet.

Eine noch so gute interne Datenschutzkonzeption, welche die erhaltenen personenbezogenen Daten vor unbefugten Zugriff schützen soll, entfaltet dann keine Wirkung mehr. Indem alle Prozesse der Datenverarbeitung vor Verlust, Zerstörung, Verfälschung, unbefugter Kenntnisnahme und unberechtigter Verarbeitung geschützt werden, wird nicht nur die IT-Sicherheit gefördert, sondern auch der Datenschutz.

Compliance

Compliance bedeutet Regeltreue und beschreibt alle Maßnahmen, durch die ein Unternehmen sicherstellt, dass Gesetze und andere extern vorgegebene Regeln eingehalten werden. Um regelkonformes Verhalten in einem Unternehmen zu garantieren, muss zuerst analysiert werden an welchen Stellen im Arbeitslauf ein Risiko für regelwidriges Verhalten besteht. Danach können Kontrollmechanismen zur Prävention und frühzeitigen Aufdeckung von Verstößen geschaffen werden.

Mann steckt Geld in Hosentasche. Compliance fördert regelkonformes Verhalten und beugt unter anderem Korruption vor.

Häufig wird Compliance mit der Verhinderung von Korruption, Geldwäsche und wettbewerbswidriger Absprachen gleichgesetzt. Es geht aber um die Einhaltung sämtlicher Regeln und gesetzlicher Vorgaben für Unternehmen, insbesondere auch um die Anforderungen der IT-Sicherheit und des Datenschutzes. Um Compliance Mechanismen zu festigen, ist es wichtig, dass turnusmäßig Schulungen auf allen Ebenen durchgeführt werden. Sowohl die Aushilfskraft als auch die Geschäftsführung müssen sich über alle Regeln und die drohenden Konsequenzen bei Nichteinhaltung im Klaren sein. Darüber hinaus muss das regelkonforme Verhalten in bestimmten Abständen überprüft werden.

Zusammenfassung

Datenschutz: IT-Sicherheit: Compliance
Schutz des Einzelnen vor Verletzung seines Grundrechts auf informationelle Selbstbestimmung Gewährleistung von Vertraulichkeit, Verfügbarkeit, Integrität den Regeln entsprechendes Verhalten

Diese drei Komponenten müssen zusammen auftreten!

Glossar

Begriff Erklärung
Vertraulichkeit Schutz vor unbefugter Preisgabe von Daten
Verfügbarkeit Daten stehen zu jedem Zeitpunkt vollständig zur Verfügung
Integrität Vollständige und unveränderte Daten
Back-Up (Datensicherung) Erstellung von Sicherungskopien vorhandener Datenbeständen
Verschlüsselung Chiffrieren von Klartext

Welche Kosten entstehen durch einen externen Datenschutzbeauftragten?

Die für den externen Datenschutzbeauftragten entstehenden Kosten sind unterschiedlich hoch und nicht pauschal zu benennen. Einfließende Faktoren sind der anfallende Arbeitsaufwand, die Größe des Unternehmens, die Qualifikation des externen Datenschutzbeauftragten und die Qualität der Beratung. Dabei gibt es in der Regel zwei Berechnungsmodelle: Eine monatliche Pauschalvergütung und die stundenweise Abrechnung.

Art der Abrechnung

Viele Anbieter bieten mittlerweile verschiedene Zahlungsmodelle an. Die gängigsten Varianten sind der monatliche Pauschalbetrag, dem eine durchschnittliche Stundenanzahl zugrunde gelegt wird, sowie die reine Abrechnung nach Stunden. Welches Zahlungsmodell für ein Unternehmen lukrativer ist, sollte jeder Einzelne selbst prüfen. Ein Pauschalbetrag bietet eine gewisse Flexibilität bei gleichbleibenden Ausgaben. So steigt der Beitrag nicht, wenn in ein, zwei Monaten mal mehr Arbeit anfällt. Bei einer Abrechnung nach Stunden, gibt es bei manchen Anbieter eine Art Mengenrabatt. Ab einer gewissen Stundenanzahl rechnet man diese dann zu einem günstigeren Tarif ab.

Eine Tafel in einem Klassenraum, indem ein externer Datenschutzbeauftragter seine Qualifikation erlangt, welche ein Faktor für dessen Kosten ist.

Welche Faktoren beeinflussen die Kosten?

Die Höhe der anfallenden Kosten können durch verschiedene Faktoren beeinflusst werden. Die Qualifikation des Beraters ist dabei ein wichtiger Punkt. Ein Volljurist, der ein mehrjähriges Studium sowie Weiterbildungen für Spezialwissen im technischen Bereich absolviert hat, kostet entsprechend mehr als ein Quereinsteiger.

Die Höhe der anfallenden Kosten können durch verschiedene Faktoren beeinflusst werden. Die Qualifikation des Beraters ist dabei ein wichtiger Punkt. Ein Volljurist, der ein mehrjähriges Studium sowie Weiterbildungen für Spezialwissen im technischen Bereich absolviert hat, kostet entsprechend mehr als ein Quereinsteiger.

Zudem ist die Qualität der Beratungsleistung ein Kostenfaktor. Diese wird zwar maßgeblich von der Ausbildung beeinflusst, die der Berater durchlaufen hat, hängt aber auch noch von vielen weiteren Faktoren ab. Zum Beispiel von der Branchenerfahrung, der Erreichbarkeit, einer kompetenten Vertretung oder der Anschaulichkeit von Schulungen und Materialien.

Entscheidend ist natürlich auch der anfallende Arbeitsaufwand. Dabei spielt in erster Linie die Komplexität der Fragestellungen eine Rolle. Aber auch der aktuelle Stand des Datenschutzes im Unternehmen sowie der Kooperationsbereitschaft der Mitarbeiter, können den Aufwand verringern oder erhöhen.

Zusammenfassung

Vertragsrahmeneinflüsse Inhaltliche Einflüsse
Pauschalbetrag Qualität der Beratung
Abrechnung nach Stunden Unternehmensstruktur
Reisekosten Arbeitsaufwand

Worauf muss man beim Vergleich externer Datenschutzbeauftragter achten?

Durch die Digitalisierung der Gesellschaft rückt das Thema Datenschutz immer weiter in den Fokus des öffentlichen Bereichs, der Wirtschaft und von Privatpersonen. Auf dem Markt gibt es die verschiedensten Anbieter für Datenschutzleistungen. Anhand einiger Kriterien lässt sich eine passende Lösung für die individuellen Ansprüche eines Unternehmens finden.

Bücher als Symbol für Fackunde. Auf dieses Merkmal sollte man beim Vergleich externer Datenschutzbeauftragter achten.

Qualität und Preis-/Leistungsverhältnis

Qualität hat ihren Preis. Diese Erkenntnis, die im produzierenden Gewerbe schon als alte Weisheit gilt, trifft auch auf Beratungsdienstleistungen zu. Um die gesetzlich erforderliche Fachkunde zu erwerben und zu behalten, muss ein Berater sich umfassend und fortwährend (weiter-)qualifizieren. Das erfolgt zum einen durch ein entsprechendes Studium, welches oft durch spezifische Aufbaukurse und ergänzt wird. Für die Tätigkeit des Datenschutzbeauftragten wird in der Regel ein informationstechnologisches bzw. betriebswirtschaftliches Studium oder die Ausbildung zum Juristen als Ausreichend angesehen.

Im Anschluss daran sollte der Datenschutzbeauftragte regelmäßig an Fortbildungen teil, welche sich pro Jahr durchschnittlich auf vier mehrtätige Veranstaltungen belaufen. Außerdem bietet sich der Erwerb von Spezialwissen im Bereich IT-Sicherheit oder Compliance an. Dementsprechend wird ein externer Datenschutzbeauftragter, dessen Fachkunde dem Unternehmen einen echten Mehrwert bringt, eine höhere Gebühr verlangen, als einer der die beschriebene Ausbildung und das geforderte Spezialwissen nicht oder nur teilweise vorweisen kann.

Viele Anbieter, viele Modelle

Es gibt viele verschiedene Anbieter externer Datenschutzberatung, deren Geschäftsmodelle sich teilweise stark unterscheiden. Einzelne Berater legen den Schwerpunkt beim Datenschutz unterschiedlich. Je nach Vorbildung basiert die Beratung eher auf den rechtlichen oder auf informationstechnologischen Aspekt. Idealerweise stützt sie sich aber auf das Spezialwissen des Beraters aus beiden Bereichen. Dazu gibt es Modelle, die sich hauptsächlich auf Fernberatung konzentrieren und dazu passende Software-Lösungen anbieten und solche, die den direkten mit dem Kunden vor Ort bevorzugen.

Ein externer Datenschutbeauftragter in einem Auto auf der Fahrt zum Kunden verursacht Reisekosten.

Beides hat seine Berechtigung und der goldene Mittelweg kann mitunter schwierig zu finden sein, wenn man Wirtschaftlichkeit gegen individuelle, persönliche Beratung abwägen muss. Gerade bei einer Beratung vor Ort ist es lohnenswert zu prüfen, ob eventuell anfallende Reisekosten in der Abrechnung inbegriffen sind. Andernfalls spart ein externer Datenschutzbeauftragter bares Geld, dessen Sitz sich im näheren Umkreis befindet.

Welche Faktoren sollte ich beim Vergleich beachten?

  • Zusammenspiel von Fachkunde aus den Bereichen Recht und IT
  • Fernberatung oder persönliche Beratung vor Ort
  • Berufsqualifizierendes Studium, gegebenenfalls zusätzlich spezifisches Aufbaustudium
  • Regelmäßige Teilnahme an Fortbildungen
  • Zusätzliches Spezialwissen
  • Ausstattung mit moderner Technik und Fachliteratur

Kann ein externer Datenschutzbeauftragter denn auch für einen Konzern bestellt werden?

Laut Aktiengesetz besteht ein Konzern aus mehreren abhängigen Unternehmen, die unter der einheitlichen Leitung eines herrschenden Unternehmens zusammengefasst sind. In verschiedenen Rechtsgebieten wird die Tätigkeit eines Konzerns im Vergleich zu Einzelunternehmen gesetzlich privilegiert. Im Datenschutzrecht dagegen gibt es kein sogenanntes Konzernprivileg. Daher kann ein einziger externer Datenschutzbeauftragter nicht für den Gesamtkonzern ernannt werden.

Konzernunternehmen als “Dritte”

Aus Datenschutzsicht bleibt jedes dem Konzern zugehörige Tochterunternehmen selbst verantwortliche Stelle im Sinne des BDSG. Das ist auch dann der Fall, wenn das einzelne Unternehmen aus einer Konzerngruppe keine eigenständigen Entscheidungen fällen kann und auch sonst von dem Mutterunternehmen abhängig ist. Im Konzern verbundene Unternehmen werden im Verhältnis zueinander nicht als Einheit, sondern als „Dritte“ angesehen.

Ein externer Datenschutzbeauftragter kann nicht für einen Konzern bestellt werden.Jedes Tochterunternehmen muss einen eigenen Datenschutzbeauftragten bestellen.

Darum muss auch für jedes Tochterunternehmen im Konzern separat ein Datenschutzbeauftragter bestellt werden. Es kann sich dabei aber um die gleiche Person handeln. Dies ist auch zu empfehlen, da der Datenschutzbeauftragte die Strukturen des Konzerns so nur einmal verinnerlichen muss und leichter den Überblick über die verschiedenen Gesellschaften bekommt.

Reiner Formalismus?

Man könnte kritisieren, dass es sich bei der mehrfachen Bestellung der gleichen Person für mehrere Unternehmen des gleichen Konzerns um reinen Formalismus handelt. Jedoch hat dieser Umstand zwei konkrete Folgen. Sollten einzelne Tochterunternehmen zu einem späteren Zeitpunkt von dem Konzern abgetrennt werden, verliert auf diese Weise keines seinen Datenschutzbeauftragten. Des Weiteren hat man sich für einen betrieblichen Datenschutzbeauftragten im Konzern entschieden, hat eine mehrfache Bestellung Auswirkung auf dessen Haftung. Dieser fungiert in den Tochterunternehmen dann als externer Datenschutzbeauftragter. Für diesen entfallen die für den internen geltenden Haftungsprivilegierungen und -erleichterungen des Arbeitsrechts, solange nichts anderes vertraglich vereinbart wurde.

  • Kein Konzernprivileg
  • Externer DSB für jedes Unternehmen einzeln bestellen

Internationaler Datenschutz - Was gilt beim Datenschutz von weltweit agierenden Unternehmen?

Bei international agierenden Unternehmen ist es datenschutzrechtlich von immenser Bedeutung, ob sich die Geschäftspartner ausschließlich innerhalb der EU bzw. des EWR befinden oder ob auch ein Datentransfer in Länder außerhalb des EU stattfinden soll.Denn internationaler Datenschutz wird erst bei sogenannten „unsicheren Drittländern“ außerhalb der EU problematisch. Innerhalb der EU sind nur wenige Besonderheiten zu beachten.

Innerhalb der EU/EWR

Gemäß § 4b und c BDSG muss sich eine nationale Datenübermittlung auf eine Rechtsgrundlage stützen. Diese kann eine gesetzliche Vorschrift, vertragliche Vereinbarung oder die Einwilligung der Betroffenen sein. Ein internationaler Datentransfer zwischen Unternehmen mit Sitz innerhalb der EU unterliegt den gleichen Anfoderungen. Denn es wird davon ausgegangen, dass europaweit wegen der für alle Mitgliedsstaaten verpflichtenden Datenschutzrichtlinie 95/46/EG ein zumindest ähnlicher Schutz der personenbezogenen Daten herrscht. Eine weitere Harmonisierung des Datenschutzes innerhalb der EU wird durch die geplante Datenschutz-Grundverordnung erfolgen.

EU-Parlament beschließt Verodnung für Einheitlichkeit beim Thema internationaler Datenschutz.
Internationaler Datenschutz - Außerhalb der EU muss das Datenschutzniveau an das eigene Land angeglichen werden.

Zwei-Stufen-Konzept außerhalb der EU

Beim Datentransfer außerhalb der EU muss zusätzlich eine weitere Hürde genommen werden. Der Vorgang richtet sich nach einem Zwei-Stufen-Konzept. Auf der ersten Stufe muss eine Rechtsgrundlage für die Datenübermittlung bestehen. Auf der der zweiten Stufe muss das Datenschutzniveau beim Empfänger an den europäischen Standard angepasst werden. Dafür gibt es verschiedene Möglichkeiten:

1)Die Daten werden in ein sicheres Drittland übertragen. Dabei handelt es sich um Länder, deren Datenschutzstandard von dem europäischen Parlament und Rat aufgrund der lokalen Gesetzgebung oder internationaler Verträge für eine Übertragung als ausreichend bewertet werden. Zurzeit umfasst die Liste die Länder: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz und Uruguay.

2)Die Europäischen Kommission stellt auf ihrer Seite EU-Standardvertragsklauseln zur Verfügung. Bei deren Verwendung verpflichten sich die beiden Vertragsparteien angemessene Sicherheitsmaßnahmen für den Schutz der persönlichen Daten zu treffen. Zusätzlich sollten diese mit einem an § 11 BDSG angelehnten Vertrag zur Auftragsdatenverarbeitung versehen werden.

3)Bei Datenübertragungen innerhalb eines Unternehmens oder Konzerns können personenbezogene Daten auch durch Binding Corporate Rules ausreichend geschützt werden. Dabei handelt es sich um selbstauferlegte, verbindliche Richtlinien beim Umgang mit personenbezogenen Daten, welche von der EU genehmigt werden müssen.

4)Sofern der Geschäftspartner ein Unternehmen in den USA ist, konnte das Datenschutzniveau bisher durch den Beitritt des Empfängerunternehmens zu dem Safe-Harbor-Abkommen an den EU-Standard angeglichen werden. Dieses wurde aber im Oktober 2015 von dem Europäischen Gerichtshof ausgesetzt. Zurzeit verhandelt die europäische Kommission mit der USA über ein neues Abkommen.

Zusammenfassung Internationaler Datenschutz

Innerhalb der EU Außerhalb der EU
Rechtsgrundlage 1. Stufe: Rechtsgrundlage
2. Stufe: Herstellung eines angemessenen Datenschutzniveaus + Datenschutzvereinbarung in Anlehnung an § 11 BDSG

Was unterscheidet den Datenschutz in Österreich und der Schweiz von dem deutschen Datenschutz?

Auch unsere deutschsprachigen Nachbarn Österreich und Schweiz haben eigene Datenschutzgesetzte. In einigen Teilen überschneiden sich die Rechtsordnungen: Es gibt sowohl ein allgemeines Datenschutzgesetz auch spezialgesetzliche Vorschriften. Trotzdem bestehen nach wie vor erhebliche Unterschiede in der nationalen Gesetzgebung.

Der Datenschutz in Österreich unterscheidet sich von dem deutschen in einigen Teilen.

Österreich

In Österreich wird der Datenschutz, anders als in Deutschland, direkt im Gesetz als ein sogenanntes Jedermann-Grundrecht definiert. Damit finden die Vorschriften nicht nur Anwendung bei den Daten von natürlichen Personen, sondern auch bei denen von juristischen Personen wie Unternehmen.

Nach dem österreichischen Gesetz muss kein betrieblicher oder externer Datenschutzbeauftragter für einen Betrieb ernannt werden. Daraus resultieren zwei praxisrelevante Unterschiede zum deutschen Recht:

Zum einen existiert eine umfassende Meldepflicht. Jede Verarbeitung oder Nutzung personenbezogener Daten muss nach österreichischem § 17 DSG der zuständigen Behörde gemeldet werden. Gemeldete Verfahren werden in das Datenverarbeitungsregister aufgenommen. Zum anderen wird in Österreich eine Vorabkontrolle von Verfahren, die ein besonderes Risiko für die Rechte der Betroffenen aufweisen, immer von der Behörde durchgeführt. Wird dagegen verstoßen, kann ein Ordnungsgeld verhängt werden.

Datenexporte in ein Land außerhalb der EU genehmigungspflichtig, wenn nicht eine Ausnahme gemäß österreichischem § 12 Absätze 2-4 DSG vorliegt. Anders als in Deutschland ist der Abschluss von EU-Standardverträgen nicht ausreichend für eine genehmigungsfreie Datenübermittlung. Diese muss stets von der Aufsichtsbehörde genehmigt werden.

Auch der Datenschutz in der Schweiz unterscheidet sich vom deutschen Datenschutz, z.B. in der Gestaltung des Auskunfsrechts.

Schweiz

In der Schweiz schützt Art. 13 der Bundesverfassung der Schweizerischen Eidgenossenschaft das Recht auf Privatsphäre. Gesetzlich ausgestaltet ist der Schutz seit 1993 im Bundesgesetz über den Datenschutz (BDSG) und der entsprechenden Verordnung (VDSG). Wie auch in Österreich sieht das Gesetz keinen Datenschutzbeauftragten vor. Stattdessen wird die Einhaltung des Datenschutzes auf Bundesebene durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten kontrolliert. Auf Landeseben sind die einzelnen Kantone für die Ausgestaltung und Überwachung der Datenschutzgesetze zuständig.

Unterschiede zum deutschen Datenschutzrecht ergeben sich z.B. in der Ausgestaltung des Auskunftsrechts. Die verarbeitende Stelle muss dem Betroffenen bei Ersuchen nicht nur gemäß Art. 8 des schweizer DSG eine Auskunft erteilen, sondern diesen in manchen Fällen aktiv über die Verarbeitung informieren. Diese Regelung greift, wenn Bundesorgane Personendaten verarbeiten oder andere Stellen besonders schützenswerte Personendaten oder Persönlichkeitsprofile verarbeiten. Der Begriff der besonders schützenswerten Personendaten geht über den deutschen Begriff der besonderen personenbezogenen Daten hinaus und umfasst auch Maßnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.

Vorbild: Modell externer Datenschutzbeauftragter

Zwar sieht weder das österreichische noch das schweizerische Gesetz das Modell externer Datenschutzbeauftragter vor. Dennoch ist ein externer Berater für das Thema Datenschutz nach deutschem Vorbild eine Überlegung wert. Dadurch kann sich die Geschäftsführung auf ihren eigentlichen Aufgabenbereich konzentrieren. Bei Frage- und Problemstellungen im Bereich des Datenschutzes steht dann ein externer Berater mit weitreichender Erfahrung und umfangreichen Spezialwissen dem Unternehmen zur Seite. Zudem lässt sich das über das gesetzliche Maß hinausgehende Engagement beim Thema Datenschutz als Teil der Marketingstrategie einbinden.

Auch um das Haftungsrisiko zu minimieren, kann sich ein externer Dienstleister beim Thema Datenschutz in Österreich und der Schweiz lohnen. Grundsätzlich haftet nämlich der Geschäftsführer bei Verstößen gegen das Datenschutzgesetz. In Österreich steht zudem, genauso wie in Deutschland, die Einführung der europäischen Grundverordnung an, welche Datenschutzverstöße mit höheren Strafen als bisher sanktioniert. Ein externer Berater bietet den Vorteil, dass bei dessen Bestellung die Haftung vertraglich teilweise (z.B. bei Falschberatung) auf den Auftragnehmer übertragen werden kann.

Zusammenfassung wichtiger Unterschiede:

Österreich Schweiz
Grundrecht mit unmittelbarer Drittwirkung Gilt für natürliche und juristische Personen
Meldepflicht Besonders schützenswerte Personendaten
Behördliche Vorabkontrolle Einschränkung der Auskunftspflicht für Medienschaffende
Genehmigungspflicht bei Datenübermittlungen in Nicht-EU-Länder Automatisierte Datenverarbeitung im Rahmen von Pilotversuchen

Weitere Spezialfälle des Datenschutz: Kirchlicher und Gesundheitsdatenschutz

Regelungen für den Datenschutz finden sich nicht nur im Bundesdatenschutzgesetz (BDSG). Gibt es speziellere Gesetze als das BDSG, sind diese vorrangig anzuwenden. Dieser Umstand erschwert vor allem Fragestellungen beim Datenschutz von kirchlichen Organisationen oder im Gesundheitswesen. Diese Spezialfälle erfordern Praxiserfahrung und einen guten Überblick über das Verhältnis der Rechtsnormen.

Jesus-Mosaik in einer Kirche. Beim Datenschutz gilt bei kirchlichen Organisationen spezielle Gesetze.

Kirche

In Deutschland anerkannten Kirchen genießen ein Selbstbestimmungs- und Verwaltungsrecht nach Art. 140 GG in Verbindung mit Art. 137 WRV. Daher findet das BDSG meistens keine Anwendung, sondern die eigenen Datenschutzgesetze der Kirchen. Diese sind in großen Teilen dem BDSG sehr ähnlich, müssen aber nicht mit ihm übereinstimmen. Teilweise bleiben sie in ihrer Regelungsweite und dem Schutz der Betroffenen hinter dem BDSG zurück.

Die Katholische Kirche regelt den Datenschutz in der „Anordnung über den kirchlichen Datenschutz“, kurz KDO-DVO. Das evangelische Äquivalent dazu ist das DSG-EKD, das Datenschutzgesetz der Evangelischen Kirche in Deutschland. Diese werden jeweils durch eine Verordnung zu deren Durchführung ergänzt. Zusätzlich besteht die Möglichkeit, dass die Diözese oder Landeskirche eine eigene Verordnung zum Datenschutz erlassen hat. Bei sozialen Einrichtungen oder Krankenhäusern in kirchlicher Trägerschaft muss beim Datenschutz außerdem die für den Bereich einschlägigen Vorschriften beachtet werden. Dazu zählen zum Beispiel das Arztgeheimnis oder die Normen zum Umgang mit besonders personenbezogenen Daten.

Tätigkeiten der Kirche, welche nicht zu ihren originären Aufgaben gezählt werden, fallen in den Bereich der allgemeinen Gesetze, so dass bei manchen Aufgaben doch das BDSG anzuwenden ist. Dies kommt beispielsweise bei der Beschaffung von erforderlichen Sachmitteln in Betracht.

Unterschiede BDSG - kirchliche Datenschutzgesetze

  • keine Selbstanzeigepflicht bei Datenverlust (§ 42a BDSG)
  • niedrigere Anforderungen an die Durchführung von Werbemaßahmen (§ 28 BDSG)
Der Doktor achtet auf die Einhaltung der speziellen Vorschriften des Gesundheitsdatenschutz.

Gesundheitswesen

Das Gesundheitswesen bietet ganz eigene Problemfelder. Die Schwierigkeiten beruhen im Wesentlichen darauf, dass eine gesetzlich verankerte berufsbezogene Schweigepflicht besteht sowie dem Umstand, dass Gesundheitsdaten besondere personenbezogene Daten im Sinne des § 3 Abs. 9 BDSG sind. Dazu kommen landesrechtliche Sonderbestimmungen, Vorschriften aus dem Strafgesetzbuch, den Sozialgesetzbüchern und diverse krankenhausrelevanten Verordnungen.

1) Ärztliche Schweigepflicht

Auf die Beachtung der ärztlichen Schweigepflicht muss bei Datenübermittlungen besonders Rücksicht genommen werden. Sofern keine spezialgesetzliche Grundlage die Übermittlung vorsieht, muss der Patient sein informiertes und freiwilliges Einverständnis zur Offenbarung gegenüber dem Arzt abgeben. Übermittelt der Arzt personenbezogene Daten seines Patienten ohne dessen Einverständnis, macht er sich nach § 203 StGB strafbar.

Beispiel: Übersenden von Patientendaten an privatärztliche Verrechnungsstellen

Ein besonderes Problem stellt die Übertragung der gesamten Patientenkartei bei Praxisverkäufen dar. Wegen der Vielzahl der Patienten ist es zumeist impraktikabel, alle Patienten vor dem Verkauf anzuschreiben, angemessen zu informieren und deren Einwilligung einzuholen. Um eine individuelle, praxisorientierte Lösung für den Umgang mit Gesundheitsdaten zu erstellen, erfordert daher ein gewisses Maß an Fachkunde im Gesundheitswesen.

2) Aufbewahrungspflicht

Die Länge der Aufbewahrungspflichten von Daten bestimmt sich nach spezialgesetzlichen Regelungen. Für ärztliche Aufzeichnungen gilt eine Aufbewahrungspflicht von 10 Jahren nach Abschluss der Behandlung. Sehen andere Vorschriften eine längere Aufbewahrung vor, ist diese als bindend anzusehen.

Beispiel: Jedenfalls Patientenakten im Krankenhaus sollten 30 Jahre aufbewahrt werden. Denn Schadensersatzansprüche wegen Verletzung des Lebens, des Körpers und der Gesundheit verjähren erst nach 30 Jahren – im Schadensfalle kann die aufbewahrte Dokumentation über die berufliche Zukunft entscheiden.

3) Technische und organisatorische Maßnahmen

Im Gesundheitswesen werden besonders hohe Anforderungen an die Ausgestaltung der eingesetzten Technik und die generelle Beachtung und Einhaltung angemessener Maßstäbe bei den technischen und organisatorischen Maßnahmen gestellt. Grund dafür ist die hohe Schutzbedürftigkeit personenbezogener Daten über die Gesundheit

Die Gesundheit im Sinne des Datenschutzgesetzes umfasst sowohl gegenwärtige und vergangene physische Krankheiten und Behinderung, als auch vergangene oder bestehende psychische Erkrankungen und Informationen über Drogen- oder Alkoholmissbrauch.

Aktuelle Probleme im Gesundheitswesen mit Bezug zum Datenschutz

  • Entwurf zum E-Health-Gesetz
  • Elektronische Gesundheitskarte
  • Gesundheitsapps/ Medizinapps/ Fitnessapps
  • Freiwillige Datenübermittlung an Krankenkassen zur Tarifsenkung

Datenschutzzertifizierung und Gütesiegel

Datenschutzzertifizierung und Gütesiegel erleichtern dem Verbraucher die Entscheidung bei der Auswahl von datenschutzkonformen Prozessen, Produkten oder Dienstleistungen. Für ein Unternehmen besteht die größte Hürde in der Auswahl einer passenden Zertifizierung, da sich diese in Art und Umfang deutlich unterscheiden. Der Markt bietet eine Vielzahl von öffentlichen oder privaten Angeboten.

Ein Mann stellt ein Datenschutzgütesiegel aus. Die Zertifizierung bescheinigt dem Unternehmen dessen datenschutzkonforme Prozesse.

Produktzertifizierung

Zu unterscheiden ist zwischen Produktzertifizierungen und Unternehmenszertifizierungen. Bei einer Produktzertifizierung wird, wie der Name schon sagt, nur das jeweilige Produkt zertifiziert. Es kann sich dabei um eine Hard-, Software oder eine Dienstleistung handeln. Dabei wird lediglich die Gestaltung des Produkts, nicht aber dessen Einsatz geprüft. So muss beim späteren Gebrauch weiterhin die datenschutzkonforme Nutzung im Auge behalten werden.

Um diese sicherzustellen, sollten Nachweise über organisatorische Vorkehrungen zur Verfügung vorgehalten werden. Dazu kann unter anderem die Aufklärung über den datenschutzkonformen Einsatz in einer Gebrauchsanweisung zählen.

„Nahezu jedes im Grunde datenschutzkonforme Produkt kann auch datenschutzwidrig eingesetzt werden.“ (Thilo Weichert, ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein).

Gängigen staatliche Produktzertifizierung sind unter anderem das EuroPriSe und das ULD Datenschutz Gütesiegel. Diese unterscheiden sich in der Gesetzesgrundlagen, welche der Art ihrer Prüfung zugrunde liegt. EuroPriSe basiert auf der europäischen Datenschutzrichtlinie, das ULD Gütesiegel auf den Anforderungen des Landesdatenschutzgesetzes Schleswig-Holstein. Daneben gibt es eine Reihe von privaten Anbietern, deren Augenmerk auf verschiedenen Gesetzen liegt.

Unternehmenszertifizierung

Eine Unternehmenszertifizierung dagegen betrifft die gesamte Unternehmensstruktur. Hierbei wird überprüft, ob technische und organisatorische Maßnahmen im Unternehmen eingeführt wurde, die den Datenschutz gewährleisten und ob diese tatsächlich umgesetzt werden. Daher ist im Vorfeld die Erstellung eines sauberen Datenschutzmanagementsystems unverzichtbar. Dieses umfasst die durchgehende Dokumentation datenschutzrelevanter Prozesse sowie die Transparenz der Vorgänge für die Betroffenen.

Nach erfolgreicher Datenschutzzertifizierung erhält das Unternehmen sein Zertifikat.

Die meisten staatlichen Unternehmenszertifizierungen überprüfen den Datenschutz als Teil eines weiteren Prüfungsrahmens wie z.B. des Qualitätsmanagements oder der IT-Managementsystems. Anerkannt hier sind Zertifizierungen nach ISO 9001 und ISO 27001. Daneben finden sich auch private Anbieter, die eine reine Datenschutz Unternehmenszertifizierung durchführen.

Für wen lohnt sich eine Zertifizierung und für wen lohnt sie sich nicht?

Eine Zertifizierung ist immer mit einem gewissen zeitlichen und finanziellen Aufwand verbunden. Daher steht immer zur Überlegung, ob sich diese nicht nur aus datenschutzrechtlichen, sondern auch aus wirtschaftlichen Gründen lohnt. Um diese Frage zu beantworten ist es hilfreich vor Beginn dieser Abwägung, die unternehmenseigenen Ziele und Bedürfnisse abzustecken.

Ein Mann steht vor einem Whiteboard auf dem er seine Marketingstrategie für die Zertifizierung im Datenschutz aufschreibt.

Wann lohnt sich eine Zertifizierung?

Eine Datenschutzzertifizierung bringt eine Reihe von positiven Effekten mit sich. Nur wenn diese umfassend erkannt und genutzt werden lohnt sich der Zeit und Kostenaufwand für eine Zertifizierung. Ein Gütesiegel signalisiert eine objektiv hohe Datenschutzqualität. Dieser Umstand erlaubt es Produkten oder Dienstleistungen die Informationen verarbeiten, welche allgemein als sensibel gelten, sich von der Masse der Mitbewerber abzusetzen.

Datenschutzzertifizierungen erreichen noch lange nicht die Verbreitungs- oder Bekanntheitsgrad anderer Gütesiegel wie z.B. der blaue Engel. Deshalb müssen diese nach Erwerb aktiv in die Marketingstrategie miteinbezogen werden. Zudem hilft ein Zertifikat das Vertrauen der bestehenden Kundenstamms in das eigene Produkt zu steigern und somit aktiv Kundenbindung zu betreiben.

Bei der Auftragsdatenverarbeitung erleichtern Auftragnehmer potentiellen Kunden durch ein vorhandenes Datenschutzzertifikat den Aufwand bei der obligatorischen Dienstleisterkontrolle. Denn ein Zertifikat eignet sich als ausreichender Nachweis bei der für die Angemessenheit der technischen und organisatorischen Maßnahmen.

Eine Zertifizierung zieht immer eine externe Überprüfung der Datenschutzorganisation mit sich. Dies bietet die Chance Schwachstellen im eigenen System durch die Überprüfung offenzulegen und anschließend zu schließen. Somit bedeutet eine Zertifizierung immer auch eine Risikokontrolle und die Optimierung der internen Prozesse.

Das Geld für eine Zertifizierung und deren fortlaufende Kosten lohnen sich nur, wenn diese dem Unternehmen allgemein einen Mehrwert bringt.

Wann lohnt sich eine Zertifizierung nicht

Eine Zertifizierung ist immer mit einem hohen Initialaufwand und folge Kosten verbunden. Diese befinden sich bei staatlichen Produktzertifizierungen im unteren fünfstelligen Bereich, für eine Unternehmenszertifizierung sogar im sechsstelligen Bereich. Dazu kommt meistens alle zwei Jahre ein Rezertifizierungsprozess, der überprüft, ob die Datenvorschriften immer noch eingehalten werden.

Private Anbieter bieten Zertifizierungen je nach Umfang meistens günstiger an. Dies liegt unter anderem daran, dass es für diese bislang keine gesetzlichen Regelungen oder Kriterien gibt. Bei der Auswahl eines privaten Anbieters sollte deshalb unbedingt darauf geachtet werden, dass der Umfang der Prüfung in etwa der einer staatlichen entspricht. Zudem hat das Siegel eines privaten Anbieters nur dann einen Wert, wenn der Zertifizierungsvorgang und Kriterien des Anbieters offen einsehbar sind. Andernfalls bestätigt nur die für den Zertifizierungsvorgang bezahlte Stelle ein hohes Datenschutzniveau. Ein solches Siegel könnte auf einen Dritten unseriös wirken und bietet ihm keine Vergleichsmöglichkeit zwischen unterschiedlich zertifizierten Anbietern.

Abschließend lässt sich zusammenfassen, eine Zertifizierung lohnt sich nicht, wenn die Früchte aus deren Vorteilen und dem allgemeinen Mehrwert für das Unternehmen hinter den getätigten wirtschaftlichen Aufwendungen zurückbleiben. Dies ist zu mindestens dann der Fall, wenn kaum personenbezogene Daten verarbeiten werden oder große Datenschutzlücken vorhanden sind.

Zusammenfassung

Vorteile Nachteile
Nachweislich hoher Stellenwert des Datenschutzes Hoher Initialaufwand mit fortlaufenden Kosten für Überprüfung
Werbung / Außendarstellung u.U. langwieriger Prozess
Erleichterung der Vorabkontrolle bei der Auftragsdatenverarbeitung Mehrere Produkteigenschaften können beim Vergleich verwirren
Externe Überprüfung des Datenschutzes

Kontakt

Sie haben Fragen oder wünschen ein persönliches Angebot? Nehmen Sie Kontakt auf – wir sind ganz in Ihrer Nähe!

Hamburg:
040 / 790 235 0
Frankfurt:
069 / 153 477 16
München:
089 / 599 467 24
Berlin:
030 / 405 040 67
Stuttgart:
0711 / 490 396 28
Kiel:
0431 / 640 886 23
Düsseldorf:
0211 / 917 382 90