Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Adventskalender

Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.

Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.

(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)

Hinweisgeberschutzgesetz verabschiedet

Wir haben in den letzten Wochen und Monaten ein neues Geschäftsmodell entwickelt. Die Frau meines Kollegen nennt es unsere „Petzer-Hotline“, aber, mit Verlaub, das trifft es nicht ganz. Die formale Bezeichnung ist „Meldestelle nach Hinweisgeberschutzgesetz“. Die Pflicht zur Einrichtung einer solchen findet sich in dem Hinweisgeberschutzgesetz (HinSchG), das vor ein paar Tagen vom Bundestag verabschiedet wurde. Das Gesetz dient der lange überfälligen Umsetzung der "EU-Whistleblower-Richtlinie" in deutsches Recht. Die Zustimmung des Bundesrats steht derzeit noch aus, aber trotzdem ging die Verabschiedung nun viel schneller als allgemein erwartet.

Worum geht es genau?

Es hat sich die Erkenntnis durchgesetzt, dass „Petzen“ in Unternehmen und Behörden ein erwünschter Vorgang sein kann, wenn er interne Missstände in den Blick rückt, die vorher nicht bekannt waren – oder die vielleicht bekannt waren, aber unter den sprichwörtlichen Teppich gekehrt werden sollten. Diejenigen, die in Unternehmen und Behörden Fehlentwicklungen, Gesetzesverstöße, Risiken und auch Straftaten melden, sollen mit dem HinSchG besser geschützt werden, beispielsweise vor Kündigungen oder Abmahnungen, die auf die Meldung eines Vorfalls zurückzuführen sind. Besser geschützt werden sollen aber auch die, die von den hinweisgebenden Personen beschuldigt werden. Die Meldungen sollen durch die Einrichtung entsprechender interner Prozesse aufgearbeitet und einer Lösung zugeführt werden.

Was müssen Unternehmen jetzt tun?

Mit der Verkündung des Gesetzes voraussichtlich im Februar 2023 haben Arbeitgeber mit 250 oder mehr Beschäftigen drei Monate Zeit, die Vorgaben des HinSchG umzusetzen und interne oder externe Meldestellen aufzubauen. Unternehmen mit 50 bis 249 Beschäftigten haben länger Zeit für die Umsetzung: sie müssen bis zum 17. Dezember 2023 fertig sein. Öffentliche Stellen sind bereits seit dem 18. Dezember 2021 verpflichtet, interne Meldestellen vorzuhalten, weil die EU-Whistleblower-Richtlinie seit dem Ablauf der Umsetzungsfrist für die öffentliche Verwaltung unmittelbar gilt.

Risikomanagement im Unternehmen

Bei genauerem Hinsehen zeigt sich, dass das Gesetz ein weiterer Baustein der Compliance und des Risikomanagements in Unternehmen ist. Dort sind dann auch die Schnittstellen zum Datenschutz und zur Informationssicherheit zu verorten. Als Datenschutzbeauftragte und Manager von Informationssicherheit sind wir täglich und ständig mit Risikobewertung und Compliancefragen befasst. Hier wie dort geht es um die Frage der guten Unternehmensführung durch Einhaltung der gesetzlichen Vorgaben und Etablierung angemessener interner Prozesse.

Deshalb empfehlen wir auch, diese neuen Vorgaben nicht nur als eine weitere lästige Pflicht zu betrachten, die der Gesetzgeber den Unternehmen ärgerlicherweise auferlegt, sondern sie für die Fortentwicklung des Unternehmens und der Unternehmenskultur positiv zu nutzen.

Darüber hinaus stellen sich bei der Einrichtung einer solchen Meldestelle, wie sie das Gesetz jetzt verpflichtend macht, zahlreiche Datenschutzfragen. Sie reichen von der Sicherstellung der Anonymität einer hinweisgegebenden Person (sofern gewünscht) über die Umsetzung der Löschfristen bis zur Erstellung einer Datenschutz-Folgenabschätzung für das Verfahren.

Was können wir für Sie tun?

Wir unterstützen Sie bei der Einrichtung der Meldestelle und beraten Sie zu allen damit einhergehenden Fragen. Sie können uns auch als externe Beauftragte für den Betrieb Ihrer Meldestelle beauftragen. Wir sind eine Kooperation mit LegalTegrity eingegangen und setzen die schon langjährig erprobte LegalTegrity Software für die Bearbeitung der Meldungen ein. Sprechen Sie uns gerne an und vereinbaren einen Termin.

Weitere, detaillierte Informationen finden Sie auch in diesem Beitrag von LegalTegrity:

https://legaltegrity.com/hinweisgeberschutzgesetz/

Startseite NEU

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive. 

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert. 

Was nun? 

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten. 

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen. 

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht. 

Welche Fristen sind einzuhalten? 

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht! 

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist. 

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind. 

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO). 

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann. 

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist.