Gastbeitrag von Heiko de Vries, Senior Business Solution Strategist, CEMEA bei VMware

Die EU DSGVO wirft ihre Schatten voraus: Obwohl das neue Datenschutzrecht erst ab 25. Mai 2018 offiziell in Kraft tritt, raten Experten schon heute zu wohl geplanten, langfristig angelegten Veränderungsmaßnahmen im Unternehmen. Das betrifft nicht nur in der EU ansässige Firmen, sondern zum Beispiel auch Global Player, wenn sie Daten von EU-Datensubjekten verarbeiten und speichern. Es gibt viele Bereiche im Unternehmen, auf die sich der strengere Datenschutz auswirkt – Website-Compliance, Zertifizierungen und vor allem auf die Rolle des Datenschutzbeauftragten innerhalb eines Unternehmens. Denn es kommen nicht nur neue Aufgaben auf den Datenschutzbeauftragten zu – auch seine Verantwortung wird größer. Es ist also an der Zeit, einen Blick auf die Zuständigkeiten eines Datenschutzbeauftragten (Kapitel 4, Art. 39 DSGVO)  zu werfen, um zu klären, welche alltäglichen Aufgaben er wahrnehmen muss – und welche Rolle er im Notfall wie einer Cyberattacke einnimmt!

Die Aufgaben – was ist zu tun?

Generell kann festgehalten werden, dass die Aufgaben eines Datenschutzbeauftragten wesentlich umfassender und somit zeitintensiver werden. Der Titel zieht jetzt eine Vollzeitstelle mit sich und verabschiedet die vergängliche „nebenbei mal prüfen, ob der Schutz der Daten eingehalten wird“-Herangehensweise des Datenschutzes. Der Datenschutzbeauftragte kontrolliert proaktiv und kontinuierlich die Datenverarbeitungsprozesse des Unternehmens und ob der Datenschutz auch wirklich gewährleistet wird. Zudem fungiert er als Ansprechpartner in Fragen des Datenschutzes und ist für die Schulungen, die die Anforderungen der Datenverarbeitung der DSGVO beleuchten, zuständig. Dazu zählt, dass er die Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten über aktuelle Vorgänge unterrichtet, eine Strategie entwirft, wie sich das Unternehmen auf die gesetzeskonforme Verarbeitung von Daten vorbereiten kann und die Mitarbeiter entsprechend schult. Auch die enge Zusammenarbeit mit der Aufsichtsbehörde zählt zu den Aufgaben des Datenschutzbeauftragten. In Anbetracht der großen Bandbreite der Aufgaben könnte es sinnvoll sein, insbesondere in großen Unternehmen mehrere Datenschutzbeauftragte einzustellen. Denn: Auch ein Datenschutzbeauftragter benötigt eine Urlaubs – oder Krankheitsvertretung. Bei Abwesenheit muss sichergestellt werden, dass die Prozesse dennoch geprüft werden!

Grundsätzlich sollte ein Datenschutzbeauftragter „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ mit einbezogen werden, um oben genannten Pflichten und Aufgaben Folge leisten zu können (vgl. Art. 38 Abs. 1 DSGVO). So kann bereits vor der Datenverarbeitung geprüft werden, ob die Daten auch gesetzeskonform behandelt werden, um zu verhindern, dass nachträglich Anpassungen getätigt werden müssen.

Worst Case Szenario: Cyberattacke – welche Rolle hat der Datenschutzbeauftragte?

Nun zu einer Frage, die vor dem Hintergrund aktueller Ereignisse für viele Unternehmen eine große Bedeutung hat: Wie sieht die Rolle des Datenschutzbeauftragten aus, wenn die Organisation Opfer einer Cyber-Attacke wird? Welche Aufgaben fallen dem Datenschutzbeauftragten zu? Die EU DSGVO enthält an dieser Stelle keine konkreten direkten Handlungsanweisungen. Da aber der Datenschutzbeauftragte bereits mit der Thematik der Sicherheit der Daten vertraut und zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet ist, ist stark davon auszugehen, dass er sowohl mit den IT-Sicherheitsbeauftragten als auch mit der Geschäftsführung eng zusammenarbeiten wird. Und so sollte es selbstverständlich sein, dass der Datenschutzbeauftragte der Geschäftsführung beratend zur Seite steht und Maßnahmen vorgibt, die im Notfall ergriffen werden müssen. Vermutlich wird er auch dafür verantwortlich sein (bzw. dafür verantwortlich gemacht werden), die zuständigen Behörden über den Vorfall innerhalb von maximal 72 Stunden zu informieren. Damit das Unternehmen auf den Ernstfall vorbereitet ist, sollte es zusammen mit dem Datenschutzbeauftragten einen Risikoplan ausarbeiten, bevor es überhaupt zu einer Cyber-Attacke kommt. So sind erstens die Vorbereitungen im Falle eines Hacks bereits getroffen und zweitens die Zuständigkeiten bereits geklärt. Denn bei einem Cyber-Angriff zählt vor allem eines: eine schnelle und zuverlässige Zusammenarbeit der zuständigen Personen, sodass das Leck schnell gestopft werden kann und das Amt, die Betroffenen, sowie in Folge potentiell betroffene andere Unternehmen schnellstmöglich informiert sind. Und auch beim Thema Haftung bleibt die EU DSGVO ungenau: Zwar steht fest, dass der Datenschutzbeauftrage für die Einhaltung der Datenverarbeitung des Unternehmens verantwortlich ist. Trotzdem ist alles in allem das Unternehmen für die Einhaltung der Regeln zuständig.

Meiner Meinung nach lässt der reine Gesetzestext noch einige Detailfragen offen, die einer Interpretation / juristischen Auslegung bedürfen. So ist zum Beispiel auch nicht aufgeführt, an welche Behörde man sich im Ernstfall wenden soll. Meiner Meinung nach handelt es sich dabei eine wichtige Information, die fehlt. Ich hoffe sehr, dass sich diese Fragen bis zum 25. Mai 2018 geklärt haben werden, denn schließlich hat jeder zukünftige Datenschutzbeauftragte ein Recht auf eine klare Definition seiner Zuständigkeiten, seiner Verantwortlichkeiten und seiner Rolle.

Haben Sie auch noch offene Fragen, die das EU DSGVO  Ihnen nicht beantworten kann? Wie stellen Sie sich auf die neue Rolle des Datenschutzbeauftragten ein? Bleiben Sie dran und verfolgen Sie mit uns spannende Themen rund um Digitalisierung, IoT & Co. auf Twitter.

Kategorie: Neuigkeiten & Highlights

Schlagwörter: Cyberattacke, DSGVO, Heiko de Vries, ITsecurity