... "macht ihn nicht heiß"... So könnte man die Einbindung von Datenschutzbeauftragten in den Unternehmensalltag manchmal sehr kurz beschreiben.
Aber das wäre unfair, da beim Datenschutz nur sehr selten bewusst etwas verschwiegen wird. Viel zu oft liegt es schlicht an mangelndem Bewusstsein in der Organisation selbst.
Nun würde es ja Art. 38 Abs. 1 DSGVO so schön klar regeln:
„Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.“
In der Praxis stellt sich das allerdings etwas komplexer dar. Tatsache ist, dass Datenschutzbeauftragte oft
weder "ordnungsgemäß" (was auch immer das im Detail bedeuten kann!) noch "frühzeitig" eingebunden werden.
Schauen wir doch mal auf die wichtigsten Punkte, zu denen der DSB auf jeden Fall frühzeitig einbezogen werden muss (müsste):
- Datenschutz-Vorfälle
- Ausübung Betroffenenrechte
- Einführung oder Veränderung von Verarbeitungen personenbezogener Daten
- Datenschutz-Folgenabschätzung (DSFA)
- Kommunikation mit Aufsichtsbehörden
Kann sein, dass ich etwas Wichtiges vergessen habe. Meiner Erfahrung nach können aber in den o.g. Bereichen die gravierendsten Probleme im Datenschutz auftreten und vor allem auch ganz schnell eskalieren, wenn der DSB (oder DSKO) nicht frühzeitig einbezogen wird.
Zugegeben - Punkt 4 bedingt Punkt 3, da niemand außer einer im Datenschutz versierten Person jemals auf die Idee kommen würde, eine DSFA-Erforderlichkeitsprüfung oder gar eine DSFA durchzuführen.
Aber wir haben den DSB doch bekanntgegeben!
Das ist schön, wichtig und richtig. In der Praxis schaut das so aus, dass der DSB bei der Aufsichtsbehörde gemeldet wird, in den Datenschutzhinweisen genannt wird und eine interne Mail an alle Beschäftigten rausgeht, dass man sich für alle Datenschutz-Fragen an Frau XY oder Herrn Z als DSB wenden könne.
Und dann fängt man noch an, zu schulen und Bewusstsein zu schaffen was Datenschutz ist, warum dieser wichtig ist, etc.
Die Beschäftigten nehmen das größtenteils zur Kenntnis (neben anderen Themen wie Arbeitsschutz, Compliance, IT-Sicherheit und ihren eigentlichen fachlichen Themen), machen brav ihre Schulung zum Datenschutz und – vergessen es dann in 90 % der Fälle.
Ergebnis dieser „Einbindung“ ist dann,
- dass Vorfälle nicht oder viel zu spät behandelt werden,
- dass Betroffenen-Anfragen nicht erkannt werden und nicht sauber (also halbwegs fristgemäß und rechtssicher) bearbeitet oder gar ignoriert werden,
- Verarbeitungen eingeführt werden, die aus Datenschutzsicht höchst riskant sind (ohne dass dazu datenschutzkonforme Regelungen gefunden werden) und
- Anfragen von Aufsichtsbehörden liegen gelassen werden, weil der Ernst der Lage nicht erkannt wird.
Ja danke – und was ist die Lösung dafür?
Natürlich habe ich hier nicht die „Patent-Lösung“. Vor allem ist jede Organisation sehr individuell. Deshalb einfach mal der Versuch, ein paar Lösungsansätze zu finden.
Sind Sie bei einem kleineren Unternehmen tätig?
Dann sorgen Sie dafür, dass Sie bei jedem regelmäßigen Team-Meeting einen Slot für Datenschutz-Belange bekommen und „nerven“ Sie immer wieder mit Punkt 1 – 3.
Sie sind bei einer größeren Organisation DSB?
Versuchen Sie, in jeder Fachabteilung einen „Verbündeten“ zu gewinnen, notfalls über die Benennung einzelner Personen in jedem Bereich im Rahmen eines „Datenschutz-Teams“ durch die Geschäftsführung.
Zu Punkt 1 und 2 habe ich anschließend eine simple Vorlage für einen „Datenschutz Notfall-Flyer“ zum Download für Sie. Nicht schön, aber zweckmäßig (schließlich bin ich ja auch Datenschützer und kein Grafiker). Kann jedem zur Verfügung gestellt werden, kann ausgehängt werden.
Punkt 3 (und damit auch Punkt 4) muss über die direkte Einbindung von Datenschutz in Projekt- und Beschaffungsprozesse erfolgen. Bevor eine Anwendung final ausgewählt oder gar beschafft wird, muss eine Datenschutz-Bewertung stattfinden. Im Prozess muss ein zwingender Schritt eingefügt werden („DSB/DSKO Konsultation erfolgt – ja/nein, Stellungnahme/Bewertung DSB“), ohne dessen Freigabe nichts weitergehen darf.
Punkt 5 muss über das Bewusstsein in der Geschäftsführung (und Assistenz dort) geregelt werden. Anfragen von Aufsichtsbehörden sind von den Fristen her meist großzügig ausgelegt. Es kann und darf also nicht sein, dass Verantwortliche solche Schreiben einfach mal liegen lassen. Notfalls die Leitungsebene nochmals gesondert zu dieser Thematik schulen, inklusive Hinweise auf die Sanktionsmöglichkeiten der Aufsichtsbehörden.
Fazit:
Sie werden immer wieder den Fall haben, wo Sie als DSB/DSKO nicht eingebunden werden und nur über Umwege von Datenschutz-relevanten Vorgängen erfahren (oder wenn die Eskalation z.B. über eine Beschwerde bei der Aufsichtsbehörde da ist).
Nehmen Sie es nicht persönlich. Auch wenn sich für uns alles um Datenschutz dreht – für andere ist er eine Zusatzbelastung. Sie sollten aber als DSB alles versucht haben um umfassend eingebunden zu werden (und das nachweisen können).