Gerade kleinere Betriebe haben mit den Datenschutz-Auflagen zu kämpfen. Sofern ein Unternehmen mehr als 9 Mitarbeiter beschäftigt, die personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter (DSB) zu benennen.
Dies ist z.B. regelmäßig der Fall, wenn mindestens 10 Mitarbeiter ein E-Mail-Konto haben und darüber kommunizieren, da in E-Mails E-Mail-Adressen, Namen und weitere Kontaktdaten gelesen, gespeichert und weitergeben werden, also „verarbeitet“ werden.
Die Kontaktdaten des DSB müssen bei der Aufsichtsbehörde, wie auch in Datenschutzhinweisen öffentlich benannt werden.
Das stellt kleine Unternehmen vor die Frage, wie sich diese Aufgabe effizient und kostengünstig lösen lässt.
Immer wieder kommt es vor, dass gerade in solchen kleinen Firmen jemand aus dem Kreis der Geschäftsführer oder Inhaber-Familie, z.B. Ehefrau des Inhabers, zum Datenschutzbeauftragten benannt und bei der Aufsichtsbehörde gemeldet wird.
Meistens wird auch noch viel Zeit und Geld in eine Weiterbildungsmaßnahme investiert.
Leider findet bei der Aufsichtsbehörde keine Prüfung der Meldung statt, sodass das Unternehmen davon ausgeht, dass alles seine Richtigkeit hat und man der Gesetzespflicht zur Benennung ordnungsgemäß nachgekommen ist, doch das ist ein Trugschluss.
In der DSGVO wird beschrieben, wer zum Datenschutzbeauftragten bestellt werden kann. In Art. 37 Abs. 5 DSGVO wird vorgeschrieben, dass der Datenschutzbeauftragte die nötige berufliche Qualifikation und das Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen muss.
Diese Kenntnisse kann man sich in einschlägigen Kursen und Seminaren aneignen, entsprechendes Interesse an solch trockenem Stoff vorausgesetzt.
Ein Absatz später, in Art. 37 Abs. 6 DSGVO, wird festgelegt, dass der DSB ein Mitarbeiter oder ein externer Dienstleister sein kann. Auch wird dem DSB in Art. 38 Abs. 6 DSGVO erlaubt, neben der Tätigkeit als DSB, andere Aufgaben und Pflichten wahr zu nehmen.
Nun kann der Firmeninhaber zum dem Entschluss kommen, dass die Ehefrau, die sich ja sowieso um die ganzen Beschäftigtendaten und Gehaltsabrechnungen kümmert, am Computer fit ist, die Kunden- und Lieferantenkontakte pflegt, die geeignet Person dafür ist.
Genau diese Konstellation schließt der Gesetzgeber aber aus. In Art. 38 Abs. 6 legt die DSGVO fest, dass es nicht zu einem Interessenkonflikt kommen darf.
Dieser eine Satz hat in Bezug auf die Auswahl eines geeigneten Mitarbeiters eine große Auswirkung.
In Art. 39 Abs. 1 lit b) wird die Aufgabe des DSB, nämlich die Überwachung der Einhaltung der Datenschutzrichtlinien, definiert. Dies impliziert, dass dem DSB eine Kontrollfunktion zukommt.
Wenn Mitarbeiter nun in der Unternehmensleitung, oder eines direkten, in persönlicher oder finanzieller Abhängigkeit stehenden Verhältnisses, zum DSB benannt werden, müssten sich ja selbst, oder einen engen Familienangehörigen kontrollieren und kämen früher oder später zwangsweise in einen Interessenkonflikt.
Leider gibt es in der DSGVO nur diesen einen Nebensatz und auch der dazugehörige Erwägungsgrund Nr. 97 der DSGVO konkretisiert das nicht.
Im Kurzpapier Nr. 12 der Datenschutzkonferenz wird dies ein wenig genauer beschrieben:
„Der Verantwortliche kann dem DSB noch weitere Aufgaben übertragen, wobei er sicherstellen muss, dass keine Interessenkonflikte auftreten. Dies ist insbesondere anzunehmen, wenn gleichzeitig Positionen des leitenden Managements wahrgenommen werden oder die Tätigkeitsfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen.“
Deher können konkret folgende Positionen zugeordnet werden, bei denen sich aus der Tätigkeit und Position ein Interessenkonflikt ergeben kann:
· Geschäftsführer, Vorstände
· Unternehmensinhaber, Gesellschafter
· Leiter IT
· Leiter Marketing
· Leiter Recht
· Leiter Personal
· Leiter Verkauf
· Leiter Einkauf
· Mitarbeiter des IT-Dienstleisters
… und deren direkte Familienangehörigen.
Stellt man nun die geforderten Kriterien gegenüber:
Berufliche Qualifikation und Fachwissen – Position mit Interessenkonflikt
Bleibt in vielen kleinen Unternehmen kaum ein Mitarbeiter übrig, der für die Tätigkeit als DSB in Frage kommt.
Sollte ein geeigneter und williger Mitarbeiter im Unternehmen gefunden werden, geniest dieser besonderen Schutz, damit er seine Kontrollfunktion ungehindert wahrnehmen kann.
Laut Art. 38 Abs. 3 DSGVO ist der DSB in seiner Tätigkeit als DSB weißungsfrei, darf nicht abberufen oder benachteiligt werden und berichtet direkt an die höchste Managementebene. Eine Abberufung ist nur aus wichtigem Grund möglich.
Des Weiteren stellt das Gesetz in § 6, Art. 4 BDSG den DSB unter einen besonderen Kündigungsschutz. Während der Tätigkeit als DSB ist der Mitarbeiter mit Ausnahme der Kündigung aus wichtigem Grund, gemäß § 626 BGB, unkündbar. Nach Abberufung als DSB ist der Mitarbeiter erst mit einer Frist von 12 Monaten kündbar.
Bei kleineren Unternehmen wird in den meisten Fällen die Beauftragung eines externen Dienstleisters und Bestellung zum externen Datenschutzbeauftragten die kostengünstigere und einfachere, wenn nicht sogar einzige, Möglichkeit darstellen.
