Das Leben des zukünftigen Datenschutzbeauftragten

Gepostet am 11/07/2017 by blogsadmin
HAFTUNGSAUSSCHLUSS: Dieser Artikel ist älter als ein Jahr und möglicherweise nicht mit den neuesten Ereignissen oder neu verfügbaren Informationen auf dem neuesten Stand.

Gastbeitrag von Heiko de Vries, Senior Business Solution Strategist, CEMEA bei VMware

Die EU DSGVO wirft ihre Schatten voraus: Obwohl das neue Datenschutzrecht erst ab 25. Mai 2018 offiziell in Kraft tritt, raten Experten schon heute zu wohl geplanten, langfristig angelegten Veränderungsmaßnahmen im Unternehmen. Das betrifft nicht nur in der EU ansässige Firmen, sondern zum Beispiel auch Global Player, wenn sie Daten von EU-Datensubjekten verarbeiten und speichern. Es gibt viele Bereiche im Unternehmen, auf die sich der strengere Datenschutz auswirkt – Website-Compliance, Zertifizierungen und vor allem auf die Rolle des Datenschutzbeauftragten innerhalb eines Unternehmens. Denn es kommen nicht nur neue Aufgaben auf den Datenschutzbeauftragten zu – auch seine Verantwortung wird größer. Es ist also an der Zeit, einen Blick auf die Zuständigkeiten eines Datenschutzbeauftragten (Kapitel 4, Art. 39 DSGVO)  zu werfen, um zu klären, welche alltäglichen Aufgaben er wahrnehmen muss – und welche Rolle er im Notfall wie einer Cyberattacke einnimmt!

Die Aufgaben – was ist zu tun?

Generell kann festgehalten werden, dass die Aufgaben eines Datenschutzbeauftragten wesentlich umfassender und somit zeitintensiver werden. Der Titel zieht jetzt eine Vollzeitstelle mit sich und verabschiedet die vergängliche „nebenbei mal prüfen, ob der Schutz der Daten eingehalten wird“-Herangehensweise des Datenschutzes. Der Datenschutzbeauftragte kontrolliert proaktiv und kontinuierlich die Datenverarbeitungsprozesse des Unternehmens und ob der Datenschutz auch wirklich gewährleistet wird. Zudem fungiert er als Ansprechpartner in Fragen des Datenschutzes und ist für die Schulungen, die die Anforderungen der Datenverarbeitung der DSGVO beleuchten, zuständig. Dazu zählt, dass er die Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten über aktuelle Vorgänge unterrichtet, eine Strategie entwirft, wie sich das Unternehmen auf die gesetzeskonforme Verarbeitung von Daten vorbereiten kann und die Mitarbeiter entsprechend schult. Auch die enge Zusammenarbeit mit der Aufsichtsbehörde zählt zu den Aufgaben des Datenschutzbeauftragten. In Anbetracht der großen Bandbreite der Aufgaben könnte es sinnvoll sein, insbesondere in großen Unternehmen mehrere Datenschutzbeauftragte einzustellen. Denn: Auch ein Datenschutzbeauftragter benötigt eine Urlaubs – oder Krankheitsvertretung. Bei Abwesenheit muss sichergestellt werden, dass die Prozesse dennoch geprüft werden!

Grundsätzlich sollte ein Datenschutzbeauftragter „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ mit einbezogen werden, um oben genannten Pflichten und Aufgaben Folge leisten zu können (vgl. Art. 38 Abs. 1 DSGVO). So kann bereits vor der Datenverarbeitung geprüft werden, ob die Daten auch gesetzeskonform behandelt werden, um zu verhindern, dass nachträglich Anpassungen getätigt werden müssen.

Worst Case Szenario: Cyberattacke – welche Rolle hat der Datenschutzbeauftragte?

Nun zu einer Frage, die vor dem Hintergrund aktueller Ereignisse für viele Unternehmen eine große Bedeutung hat: Wie sieht die Rolle des Datenschutzbeauftragten aus, wenn die Organisation Opfer einer Cyber-Attacke wird? Welche Aufgaben fallen dem Datenschutzbeauftragten zu? Die EU DSGVO enthält an dieser Stelle keine konkreten direkten Handlungsanweisungen. Da aber der Datenschutzbeauftragte bereits mit der Thematik der Sicherheit der Daten vertraut und zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet ist, ist stark davon auszugehen, dass er sowohl mit den IT-Sicherheitsbeauftragten als auch mit der Geschäftsführung eng zusammenarbeiten wird. Und so sollte es selbstverständlich sein, dass der Datenschutzbeauftragte der Geschäftsführung beratend zur Seite steht und Maßnahmen vorgibt, die im Notfall ergriffen werden müssen. Vermutlich wird er auch dafür verantwortlich sein (bzw. dafür verantwortlich gemacht werden), die zuständigen Behörden über den Vorfall innerhalb von maximal 72 Stunden zu informieren. Damit das Unternehmen auf den Ernstfall vorbereitet ist, sollte es zusammen mit dem Datenschutzbeauftragten einen Risikoplan ausarbeiten, bevor es überhaupt zu einer Cyber-Attacke kommt. So sind erstens die Vorbereitungen im Falle eines Hacks bereits getroffen und zweitens die Zuständigkeiten bereits geklärt. Denn bei einem Cyber-Angriff zählt vor allem eines: eine schnelle und zuverlässige Zusammenarbeit der zuständigen Personen, sodass das Leck schnell gestopft werden kann und das Amt, die Betroffenen, sowie in Folge potentiell betroffene andere Unternehmen schnellstmöglich informiert sind. Und auch beim Thema Haftung bleibt die EU DSGVO ungenau: Zwar steht fest, dass der Datenschutzbeauftrage für die Einhaltung der Datenverarbeitung des Unternehmens verantwortlich ist. Trotzdem ist alles in allem das Unternehmen für die Einhaltung der Regeln zuständig.

Meiner Meinung nach lässt der reine Gesetzestext noch einige Detailfragen offen, die einer Interpretation / juristischen Auslegung bedürfen. So ist zum Beispiel auch nicht aufgeführt, an welche Behörde man sich im Ernstfall wenden soll. Meiner Meinung nach handelt es sich dabei eine wichtige Information, die fehlt. Ich hoffe sehr, dass sich diese Fragen bis zum 25. Mai 2018 geklärt haben werden, denn schließlich hat jeder zukünftige Datenschutzbeauftragte ein Recht auf eine klare Definition seiner Zuständigkeiten, seiner Verantwortlichkeiten und seiner Rolle.

Haben Sie auch noch offene Fragen, die das EU DSGVO  Ihnen nicht beantworten kann? Wie stellen Sie sich auf die neue Rolle des Datenschutzbeauftragten ein? Bleiben Sie dran und verfolgen Sie mit uns spannende Themen rund um Digitalisierung, IoT & Co. auf Twitter.


Kategorie: Neuigkeiten & Highlights

Schlagwörter: , , ,

Ähnliche Artikel

Gepostet am 24/06/2019 von jschaub

Die Verbindung zwischen Unternehmensmobilität und DSGVO-Compliance

Die Allgemeine Datenschutzverordnung (DSGVO) ist ein neues europäisches Gesetz, das im Mai 2018 in Kraft getreten ist. Die DSGVO gilt für alle Unternehmen, die unabhängig von ihrem physischen Standort, personenbezogene Daten von europäischen Bürgern erheben, bearbeiten und / oder speichern. Zu den personenbezogenen Daten gehören Information zu Endbenutzer, Mitarbeiter, Partner und potenzielle Kunden auf Computern, Mobilgeräten, Servern, E-Mails, Verläufen, Nachverfolgung usw.

Da digitale Daten in unserer ultravernetzten Welt allgegenwärtig sind, sind alle Organisationen von dieser Verordnung betroffen.

Dies ist ein Auszug aus dem Whitepaper „Mobiler Datenschutz: Risikoanalyse, rechtliche Rahmenbedingungen und Vorbeugung von Verstößen“ des führenden Anbieters für mobile Sicherheit, Pradeo. 

Gepostet am 14/04/2020 von jschaub

Arbeitsanweisung Cloud: Wie Banken und Versicherungen den Weg in die Cloud finden

Für die Unternehmen der Finanzwirtschaft haben die letzten Jahre eine Vielzahl an neuen Herausforderungen gebracht. Zum einen spüren gerade die Banken wirtschaftlich starken Gegenwind, zum anderen müssen sie sich mit einer anhaltenden Niedrigzinsphase auseinandersetzen, die alte, vom Zinsniveau abhängige Erlösmodelle in Frage stellt. Die Versicherungen dagegen kämpfen mit dem fortschreitenden demografischen Wandel bei den Versicherten, der ein Umdenken und Neubewerten von Geschäftsmodellen und -risiken für die Zukunft erforderlich macht.

Gepostet am 19/04/2017 von blogsadmin

EU-Datenschutz-Grundverordnung: Bußgelder und Sanktionen – Das kann auf Unternehmen zukommen

Die neue EU-Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber definitiv eine Reihe von in der Praxis erheblichen Veränderungen auf, auf die Heiko de Vries von VMware in seinem aktuellen Blog genauer eingeht. Besser gesagt auf die vorgesehenen Bußgelder und Sanktionen, die mit der Nichteinhaltung der neuen Vorgaben einhergehen können.

Kommentare

Keine Kommentare bisher

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy