Datenschutz
Datenschutz in Unternehmen - Wer trägt die Verantwortung?
In nahezu allen Unternehmen werden personenbezogene Daten erfasst und verarbeitet. Erfahren Sie, welche Aufgaben und Pflichten sich daraus ergeben.
Zum Blog Wissen kompakt
Datenschutz
In nahezu allen Unternehmen werden personenbezogene Daten erfasst und verarbeitet. Erfahren Sie, welche Aufgaben und Pflichten sich daraus ergeben.
Zum Blog Wissen kompaktDer alltägliche Umgang mit personenbezogenen Daten stellt Unternehmen und Berufstätige vor große Herausforderungen. Die Zahl der Schadensersatzklagen nach Art. 82 DSGVO ist seit deren Einführung im Jahr 2018 stark angestiegen. Während deutsche Gerichte Anfang 2019 in weniger als zehn Fällen Urteile zu solchen Klagen sprachen, stieg diese Zahl bis Anfang 2024 auf fast 300.
Um den Anforderungen der Datenschutzgrundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) gerecht zu werden, müssen Unternehmen intern vorsorgen. Dazu gehört in vielen Fällen, Fachkräfte für Datenschutz, wie Datenschutzbeauftragte und Datenschutzkoordinator:innen, zu beschäftigen. Aber auch in Geschäftsleitungen und unter Mitarbeitenden müssen grundlegende Kenntnisse des Datenschutzrechts auf dem aktuellen Stand bleiben.
In einem Interview haben wir mit Andreas von Heinemann, Datenschutzexperte und zertifizierter Datenschutzbeauftragter, über die folgenden Themen gesprochen:
Die Verantwortung für den Datenschutz liegt direkt bei der Geschäftsführung, die Maßnahmen dafür planen und umsetzen muss. Dabei beraten und kontrolliert wird sie von speziell ausgebildeten Datenschutzbeauftragten, die tiefgehende Kenntnisse im Datenschutzrecht haben. In einigen größeren Unternehmen sind darüber hinaus Datenschutzkoordinator:innen mit der Umsetzung dieser Maßnahmen betraut. Im Arbeitsalltag sind oft auch Mitarbeitende für Datenschutzmaßnahmen verantwortlich, die keine eigene Ausbildung dafür haben. Sensibilisierung und Schulung für den Datenschutz sind deshalb an allen Stellen nötig.
Datenschutzbeauftragte üben eine Kontroll- und Beratungsfunktion aus. In Unternehmen, die mit sensiblen Daten umgehen, muss laut DSGVO mindestens ein:e Datenschutzbeauftragte:r beschäftigt sein. Die Regelung für die Bundesrepublik sieht diese Pflicht darüber hinaus für Unternehmen ab einer Zahl von 20 Mitarbeitenden vor.
Die Beratung und Kontrolle sowohl der Geschäftsleitung als auch der Mitarbeitenden setzt einige Kompetenzen voraus. Datenschutz hat sowohl rechtliche als auch technische Aspekte. Gute Kenntnisse in Rechtsfragen und hinsichtlich Informationstechnologie, Hardware und Software sind Voraussetzungen für Datenschutzbeauftragte. Andreas von Heinemann verdeutlicht aber, dass ihre Tätigkeit sich auf Kontrolle und Beratung beschränkt: „Datenschutzbeauftragte sind nicht für die Umsetzung des Datenschutzes verantwortlich. Diese Pflicht bleibt bei der Geschäftsleitung und den Mitarbeitern.“
Geeignete Maßnahmen für den Datenschutz können schnell sehr umfassend werden. Auch wenn eine seriöse Geschäftsleitung aus Eigeninteresse Datenschutzkompetenz haben sollte, übersteigt die Umsetzung oft ihre Kapazität. Hier kommen Datenschutzkoordinator:innen ins Spiel, die nach von Heinemann „oft Fachkräfte sind, die eigentlich aus dem Marketing, dem Einkauf oder dem Vertrieb kommen und die Prozesse ihrer Abteilungen ganz genau kennen. Deshalb werden sie in ihren Unternehmen gebraucht.”
Darin unterscheiden sich Datenschutzkoordinator:innen von Datenschutzbeauftragten. Ihre Funktion im Unternehmen entspringt nicht einer gesetzlichen Regelung. Sie implementieren in ihren Unternehmen den Datenschutz mithilfe komplexer Maßnahmen, die sowohl die Unternehmensbelange als auch die Anforderungen des Datenschutzes berücksichtigen müssen. Für diese Aufgabe empfehlen sich im Unternehmen Personen mit Fachexpertise in den jeweiligen Unternehmensbereichen, die dann eine Weiterbildung zum/zur Datenschutzkoordinator:in absolvieren.
Auch wenn Mitarbeitende keine Fortbildung zu Datenschutzbeauftragten oder Datenschutzkoordinator:innen absolvieren, fällt ihnen, je nach Tätigkeitsbereich, Verantwortung für den Datenschutz zu. Andreas von Heinemann weist hier auf die DSGVO hin, in der „eine Weiterbildungspflicht für alle Mitarbeiter entsprechend ihrer Verantwortung im Unternehmen verankert“ ist. Seiner Erfahrung nach „hat sich eine zweistündige Grundschulung mit einer zweistündigen fachorientierten Schulung am besten bewährt“.
Wenn eine Geschäftsleitung Richtlinien zum Datenschutz erlässt, bleibt es die Aufgabe der Mitarbeitenden, diese korrekt umzusetzen und einzuhalten. Einige Abteilungen sieht Andreas von Heinemann dabei besonders in der Pflicht. Neben Einkauf, Vertrieb und Marketing betrifft das vor allem die IT und Informationssicherheit: „Fehler im Datenschutz passieren bei der IT und bezahlen muss nachher das Unternehmen.“
Fehler im Datenschutz können zu Bußgeldzahlungen und Schadensersatzforderungen führen. Dafür kommt – so sieht es die DSGVO vor – in aller Regel das Unternehmen selbst auf. Der Europäische Gerichtshof bestätigt dies in seiner aktuellsten Rechtsprechung. Die Unternehmensleitung und andere Mitarbeitende haften in aller Regel nicht persönlich. Ihre Verantwortung für den Datenschutz ist anders definiert.
Wenn ein Unternehmen Auflagen der DSGVO oder eines anderen Rechtstextes mit Bezug zum Datenschutz nicht erfüllt, kann es bußgeld- oder schadensersatzpflichtig werden. Auch wenn der Fehler einer Person aus der Geschäftsleitung oder sonstigen Mitarbeitenden zuzuordnen ist, ändert das zunächst nichts an dieser Tatsache: Das Unternehmen haftet selbst für den Schaden. Ausnahmen davon kommen sehr selten vor, wie Andreas von Heinemann erläutert: „Es gibt den sogenannten Mitarbeiterexzess, wenn Mitarbeitende sich nicht an die Vorschriften gehalten hat, obwohl er darin ausgebildet wurde und sie klar erlassen wurden, sodass dem Unternehmen kein Vorwurf gemacht werden kann.“ Dann können auch Mitarbeitende haftbar gemacht werden und sehen sich gegebenenfalls Bußgeld- und Schadensersatzforderungen ausgesetzt. Das komme aber sehr selten vor, so von Heinemann.
Die Regelungen der DSGVO verpflichten Geschäftsleitungen, im Sinne des Datenschutzes zu agieren. Andernfalls drohen Haftungsfälle für ihre Unternehmen. Sie sind heute aber zunehmend selbst am Datenschutz interessiert und spüren auch die steigende Nachfrage ihrer Mitarbeitenden. Dazu meint Andreas von Heinemann: „Wurde das Thema bei der Einführung der DSGVO eher als lästig empfunden, reagieren die meisten Mitarbeitende heute sehr interessiert.“ Die Verpflichtung, ihre Belegschaft im Datenschutz zu schulen und fortzubilden, können Geschäftsleitungen heute meist einfach erfüllen.
Platzhalter
Auch wenn einzelne Mitarbeitende nicht durch die Gesetzgebung direkt angesprochen sind, spielen sie eine wichtige Rolle beim Datenschutz. Andreas von Heinemann fasst es so zusammen: „Datenschutz ist ein Querschnittsthema. Das geht vom Einkauf bis hin zur Logistik.“
An verschiedenen Stellen in den Betriebsabläufen eines Unternehmens werden Daten erfasst und verarbeitet. Dabei gibt es je nach Branche Unterschiede. Die Verpflichtung, Mitarbeitende zu schulen und fortzubilden, ist somit auch eine praktische Notwendigkeit.
Wenn ein Unternehmen eine:n Datenschutzbeauftragte:n einstellen möchte, wird diese Person kein spezifisches Studium vorweisen. Jedoch sieht das Gesetz vor, dass sie über gute Rechtskenntnisse im Datenschutz verfügen muss. Zusätzlich sind in der Praxis auch Kenntnisse im Umgang mit Hardware, Software und sonstiger Informationstechnologie notwendig. Je nach Industrie können die Anforderungen sehr spezifisch sein: Im Bankenwesen benötigen Datenschutzbeauftragte anderes Wissen als beispielsweise im E-Commerce. Das gilt auch für notwendige Datenschutzkenntnisse anderer Personen im Unternehmen. Das Spektrum an Aus- und Fortbildung im Datenschutz ist deshalb mittlerweile stark ausdifferenziert.
Bei der Auswahl der passenden Datenschutz-Fortbildungen sollten Unternehmen darauf achten, dass Schulungen in der Regel konkret für die Rolle von Fachkräften, Geschäftsleitungen oder Mitarbeitenden konzipiert sind. Zudem sind die Inhalte von Datenschutz-Fortbildungen häufig auf bestimmte Unternehmensabteilungen und Branchen abgestimmt.
In Unternehmen, die sowohl Beauftragte als auch Koordinator:innen (oder auch ganze Abteilungen dafür) beschäftigen, ergibt sich die Arbeitsteilung zwischen den beiden aus ihren Kompetenzen. Während Datenschutzbeauftragte eher beraten und kontrollieren, sind Datenschutzkoordinator:innen mit Planung und Umsetzung befasst. Die beiden können auch in einer Mittlerrolle aufeinandertreffen.
Datenschutzbeauftragte
Datenschutzkoordinator:innen
Expertise im Datenschutzrecht, berät sowohl Geschäftsleitung wie auch DSK
↔
Ansprechperson für Mitarbeitende, Abteilungen und Externe, holt rechtliche Expertise bei DSB ein
Kontrolliert den Stand bei der Umsetzung von Datenschutzverpflichtungen in Dokumenten und Verarbeitungsverfahren
↔
Unterstützt bei der Prüfung von Pflichtdokumenten und Datenverarbeitungsverfahren
Prüft, ob Verfahren zum Datenschutz im Unternehmen den rechtlichen Anforderungen gerecht werden
↔
Sorgt in Abstimmung mit DSB für die rechtskonforme Implementierung von Datenschutzmaßnahmen
In kleinen und mittelständischen Unternehmen kann es auch sein, dass nur eine der beiden Stellen besetzt ist. Andreas von Heinemann kennt das aus seiner Erfahrung als Unternehmensberater. Er rät aber davon ab, in solchen Fällen beide Kompetenzbereiche von einer Person abbilden zu lassen: „Etwas zu kontrollieren, was man selbst erstellt hat, wird immer etwas schwierig.“
Eine Lösung könnte sein, die fehlende Expertise extern zu buchen. Aus Kostengründen tendieren aber einige Unternehmen dazu, Fachkräfte aus betroffenen Abteilungen zu Ansprechpersonen für Datenschutz zu ernennen.
Wenn ein Unternehmen Maßnahmen für den Datenschutz ergreift oder nachjustiert, sind die meisten Mitarbeitenden in der Verantwortung. Das erfordert auf der Seite von Datenschutzbeauftragten und -koordinator:innen Fingerspitzengefühl. Sie sollten „Prozesse in Soft- und Hardware so gestalten, dass die Mitarbeitenden ihre Aufgaben gut erledigen, sodass der Datenschutz gar nicht bemerkt wird“, so von Heinemann.
Als praktisches Beispiel führt Andreas von Heinemann die Verwendung einer Software an, für die bestimmte Berechtigungen unterschiedlich verteilt sind. Nicht jede Person im Betrieb darf jede Funktion nutzen. Das Konzept dazu entwirft beispielsweise ein:e Datenschutzkoordinator:in. Ein solches Berechtigungskonzept zu entwerfen, fällt unter administrativen Datenschutz.
Bei den Mitarbeitenden muss dieses Konzept nicht bekannt sein. Die Umsetzung, in diesem Fall die Vergabe von Nutzungsrechten und Passwörtern, obliegt nämlich der IT-Abteilung des Unternehmens. Damit führt sie in diesem Fall die Rolle des operativen Datenschutzes aus.
Mit der fortschreitenden Digitalisierung wächst nicht bloß die Menge der erfassten personenbezogenen Daten, auch die Technologien, mit denen sie gesammelt und verarbeitet werden, wandeln sich. Künstliche Intelligenz ist eine Wachstumsbranche der nächsten Jahre und bisher ist ihr Einsatz erst in Grundzügen reglementiert, auch was den Datenschutz betrifft. Die Verordnung der Europäischen Union zu künstlicher Intelligenz aus dem Sommer 2024 tritt ab Februar 2025 in Kraft. In ihr fällt das Wort Datenschutz mehr als fünfzigmal. In Folge der sich stetig wandelnden Herausforderungen an den Datenschutz ist die kontinuierliche Weiterbildung der Mitarbeitenden wichtiger denn je.
Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.
Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.
Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.
