Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Datenschutzbeauftragter

Ich bin in letzter Zeit wieder öfter gefragt worden, was eine Datenschutzbeauftragte eigentlich können muss. Im Jahr 2017 habe ich auf Bitten eines englischen Kollegen einmal einen kurzen Vortrag gehalten. Das Thema des kurzen Vortrags war “Privacy challenges in the new decade”.

Ich zitiere hier einen kurzen Auszug, der die Frage zumindest in Teilen beantwortet:

Herausforderungen für die Datenschutzbeauftragte

Privacy challenges in the new decade? Talking about privacy and challenges, I think there are actually two major challenges.

Number one: to work for the better transparency of IT-systems. Number two: to invest in the knowledge about privacy and IT security on any level in the companies.

On a personal level the challenge for us will be that we have many roles: we are the hunters that push the CEOs to action, the staff to get the information that we need in order to do our work. We are the patient mothers, explaining necessary procedures again and again until they work without us. And sometimes, too, we are knights in the shining armor who get things straight again when they went terribly wrong. To combine these very different roles will be our very own challenge, but if we succeed, we will be able to work towards a better working privacy and IT-security on any level.

IT-Sicherheitsbeauftragter

Jetzt, rund acht Jahre später kann ich hinzufügen: diese Beschreibung gilt immer noch und diese "soft skills" braucht auch eine/einen IT-Sicherheitsbeauftragte/r. Letztere waren 2017 noch nicht so weit verbreitet wie heute.

Haben Sie Fragen zur Bestellung eines externen Datenschutzbeauftragten oder eines externen Sicherheitsbeauftragten? Sprechen Sie uns gerne an.

Brauchen Sie eine (externe) Datenschutzbeauftragte?

Wie funktioniert die Bestellung eines betrieblichen Datenschutzbeauftragten?

Das Bundesdatenschutzgesetz verpflichtet nichtöffentliche Stellen, die personenbezogene Daten verarbeiten, unter bestimmten Umständen zur Bestellung eines betrieblichen Datenschutzbeauftragten. In diesem Artikel erfahren Sie, unter welchen Bedingungen Ihr Unternehmen davon betroffen ist und wann Sie mich und die PrivCom Datenschutz GmbH dafür engagieren können.

Anfang ist, wo Sie stehen

Gut, dass Sie hier sind und sich dem Thema widmen! Es ist egal, wie lange Sie schon überlegen und welche Schritte Sie bisher unternommen haben. Wir holen Sie da ab, wo Sie gerade stehen.
Im Laufe der Jahre habe ich als Beraterin gelernt, mit der Führungsebene in Unternehmen Geduld zu haben, was die Bewertung der Wichtigkeit des Datenschutzes und seiner Umsetzung im Unternehmen angeht. Mehr als einmal erlebte ich, dass auch Geschäftsführungen, die Datenschutz zunächst als ein Thema betrachteten, dass zwar irgendwie bearbeitet werden müsste, aber kein weiteres Engagement bräuchte, im Laufe der Zeit umgedacht haben. Dieses Umdenken führte dann oft zu einem Engagement, das aus einer gewachsenen Überzeugung resultierte.

Die ungeliebten Themen endlich angehen

Insofern sind die mir liebsten Geschäftsführungen diejenigen, die Datenschutz und Informationssicherheit zwar mit einer gewissen Skepsis betrachten und von der Wichtigkeit im Grunde ihres Herzens nicht überzeugt sind, die aber gleichzeitig wissen, dass gute Standards ein Baustein ihres geschäftlichen Erfolgs sind. Bestenfalls wächst aus dieser Haltung eben jene Überzeugung, aus der heraus das Thema unternehmensintern bearbeitet wird.

Die Pflicht zur Bestellung einer / eines Datenschutzbeauftragten

…besteht für Unternehmen und Organisationen, sofern sie

„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“;

§ 38 BDSG

und unabhängig von der Anzahl der beschäftigten Personen, wenn

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht"

Art. 37 Abs. 1 lit. c DSGVO

oder

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"

Art. 37 Abs. 1 lit. b DSGVO

Datenschutzbeauftragte können unternehmensintern oder extern bestellt werden.

Bitte beachten Sie: Sofern Ihr Unternehmen nach den Vorgaben des § 38 BDSG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind Sie trotzdem gehalten, die Anforderungen der DSGVO umzusetzen!

Bitte beachten Sie außerdem: Die mögliche Verpflichtung, eine Datenschutzbeauftragte zu bestellen, gilt sowohl für Verantwortliche (Unternehmen, die ihre eigenen Daten verarbeiten) als auch für Auftragsverarbeiter (Unternehmen, die die Daten anderer verarbeiten, z.B. Rechenzentren).

Auslagern hat Vorteile

Auch und gerade für kleine Unternehmen kann es vorteilhaft sein, die Bearbeitung der Datenschutz-Aufgaben auszulagern, anstatt sie selber bearbeiten zu wollen. Wir lösen Probleme in 15 Minuten, für die Sie Tage bräuchten, da wir uns seit vielen Jahren ausschließlich mit diesen Themen beschäftigen. Und wir übernehmen die Gewähr, dass unsere Lösungen richtig und rechtskonform sind.

... und die Kosten?

Für kleine Unternehmen haben wir Bausteine zu den wichtigsten Themen, die Sie auch ohne Bestellung als Datenschutzbeauftragte buchen können.

Für größere Unternehmen vereinbaren wir eine individuelle Beratung.

In beiden Fällen gilt: eine Auslagerung und externe Beratung ist günstiger als selber machen.

Privacy Challenges for the New Decade

Bei der Sortierung alter Texte traf ich auf einen kurzen Vortrag zum Europäischen Datenschutztag, den ich online gehalten habe. Ich war der Bitte eines Kollegen in einem internationalen Konzern gefolgt, der online Fortbildungen organisiert. Obwohl der Europäische Datenschutztag ja schon eine eine ganze Weile zurückliegt (28. Januar), veröffentliche ich den Vortrag hier noch mal. Vielleicht ist es ja ganz gut ein paar Gedanken abseits von Covid-19 zu lesen. Das Thema des kurzen Vortrags war: “Privacy challenges in the new decade”.

(mehr …)

Datenschutz im Versicherungswesen (1)

Wir wollen hier in loser Reihenfolge Fragen zum Thema Datenschutz im Versicherungswesen thematisieren, mit denen wir uns in unserer Beratungspraxis befassen. Im ersten Beitrag geht es heute um die Frage des Widerspruchs bei einem Wechsel des Versicherungsmaklers.

Die Beteiligten:

Ein Unternehmen (U), das eine Zusatzkrankenversicherung für seine Mitarbeiter abgeschlossen hat.
Eine Versicherungsgesellschaft (V), bei der die Verträge laufen.
Ein Versicherungsmakler (M), der die Verträge betreut.
Ein zweiter Versicherungsmakler (M2), der den Vertrag von M übernimmt.

Das Problem:

U kündigt den Maklervertrag mit M und übergibt ihn an M2. M2 tritt an V heran und bittet um Übermittlung der Daten der versicherten Personen. V verweigert die Herausgabe und verlangt von M2 eine schriftliche Bestätigung, dass U seine versicherten Mitarbeiter über den Maklerwechsel informiert und keiner dem Wechsel widersprochen hat. Ansonsten könne man aus datenschutzrechtlichen Gründen den Vertrag nicht auf M2 übertragen. M2 ist der Meinung, dass V ihm die Daten auch ohne diese Bestätigung übertragen könne. Das werde an allen anderen Stellen auch so gemacht.

Datenschutzrechtliche Einordnung:

Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.2018) konkretisieren die gesetzlichen Datenschutzvorschriften im Hinblick auf eine einheitliche und von den Aufsichtsbehörden akzeptierte, branchenspezifische Auslegung. Zusätzliche Einwilligungen sollen durch die Anwendung der Verhaltensregeln möglichst vermieden werden. Sie kann auch für die DSGVO als Auslegungshilfe herangezogen werden.

In den Verhaltensregeln heißt es in Art. 20 Abs. 2 „Datenübermittlung an selbständige Vermittler“:

… im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten … möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherers und ihr Widerspruchsrecht. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt.

Nach Art. 20 Abs. 4 Satz 2 gilt diese Vorgabe auch für einen Wechsel des Versicherungsmaklers.

Damit ist eine Übertragung der Daten der versicherten Personen von M auf M2 datenschutzrechtlich unter der Voraussetzung zulässig, dass die versicherten Personen im Vorhinein über den Wechsel informiert werden und ein Widerspruchsrecht erhalten. Zuständig für die Information und den Hinweis auf das Widerspruchsrecht ist das Unternehmen, das die Übertragung veranlasst, hier also U. Diese Pflicht korrespondiert mit der Rolle des Unternehmens als Verantwortlicher im datenschutzrechtlichen Sinn.

M2 stellt sich vor diesem Hintergrund auf den Standpunkt, dass V die Daten der versicherten Person auch ohne Nachweis der Information und eines möglichen Widerspruchs an ihn übermitteln könne. Wenn der Versicherungsnehmer seinen Verpflichtungen gegenüber den versicherten Personen, seinen Mitarbeitern, nicht nachgekommen sei, liege das in der Verantwortung von U und nicht von V.

Datenschutzrechtliche Verantwortlichkeit

Dies mag erst mal zutreffend sein, jedoch ist zu berücksichtigen, dass V verantwortlich ist für die Zulässigkeit der Übermittlung der Daten an M2. M2 verbindet mit V kein Vertragsverhältnis, das eine Datenübermittlung zum Zwecke der Vertragserfüllung rechtfertigen könnte. Hinzukommt, dass V die Anweisung, die Daten zu übertragen, ausschließlich M2 erhalten hat - nicht von seinem Vertragspartner U, und auch nicht von seinem früheren Vertragspartner, M. Gleichzeitig ist V aber datenschutzrechtlich verantwortlich und, da es sich um Krankenversicherungsdaten handelt, im Falle der Unzulässigkeit der Übermittlung möglicherweise auch im Bereich der Strafbarkeit nach § 203 StGB.

Insofern leuchtet die Forderung des V ein, eine Bestätigung darüber zu erhalten, dass eine Information der versicherten Personen über den Maklerwechsel vorliegt und niemand widersprochen hat - im Falle eines Widerspruchs dürften die entsprechenden Daten ja dann auch nicht an M2 übermittelt werden.

Das Praxisproblem:

Die Verträge des M2 enthalten eine Klausel, dass im Falle des Maklerwechsels das auftraggebende Unternehmen – hier also U - die Zulässigkeit der Datenübermittlung an den neuen Makler zusichert. Die Aufnahme dieser Klausel geschah, um genau solche Probleme zu vermeiden und die Verträge auf datenschutzkonforme Füße zu stellen. Diese Klausel wurde jedoch von U gestrichen. Es gab einen Maklervertrag, jedoch ohne die Zusicherung der datenschutzrechtlichen Zulässigkeit der Datenübertragung an M2. Insofern sah der M2 geringe Aussichten, nun die entsprechende Bestätigung von U zu erhalten und sah sich auch nicht in der Verantwortung dafür. V wiederum betrachtete es als „klassische Serviceaufgabe eines Maklers“, sich genau mit solchen Fragen zu beschäftigen und diese zu lösen. Pikant am Rande war, dass die Übermittlung der Daten an M2 durch V bereits erfolgt war, als V dann einfiel, diesen Punkt zu problematisieren. Das Ganze war also ein wenig der Streit um des Kaisers Bart.

Die Empfehlung der Datenschutzbeauftragten:

Die Empfehlung richtet sich vorwiegend an V: die Angst vor möglichen negativen Folgen einer Datenübermittlung ist ein schlechter Ratgeber. Ebenso ist es unvorteilhaft, den Kopf in den Sand zu stecken und zu versuchen, die als lästig empfundenen Folgen auf andere Beteiligte abwälzen zu wollen. Eine systematische Analyse der Prozesse hingegen schafft das Wissen, unter welchen Voraussetzungen Sie Daten übermitteln dürfen. Schaffen Sie die formalen Voraussetzungen für die Übermittlung von Daten für alle wichtigen Bereiche. Wäre das geschehen, hätte von Beginn an eine Bestätigung vorgelegen, dass kein Versicherter widersprochen hat (oder man hätte gewusst, wer widersprochen hat und die zu übermittelnden Daten wären entsprechend aufbereitet worden). Mit entsprechender Vorbereitung müssen solche Fragen nicht erst dann geklärt werden, wenn Verträge schon geschlossen sind, die Beteiligten mit den Füßen scharren und schnell handeln wollen. Die Zeit, die Sie in Fällen wie dem oben geschilderten mit schwierigen Diskussionen verbringen, ist für eine grundlegende Regelung der datenschutzrechtlichen Anforderungen besser investiert.