Warum Datenschutz für Websites wichtig ist
Wir machen Ihre Website sicher vor Abmahnungen
Was hat es mit einem Datenschutz–
beauftragten auf sich?
Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist am 25. Mai 2016 in Kraft getreten. Doch lange Zeit hat sich kaum einer für sie interessiert und die dort festgelegten Prozesse, Funktionen und Forderungen zum Thema Datenschutz angewendet. Für die Verordnung wurde ein zweijähriger Umsetzungszeitraum definiert. Die Frist endete am 25. Mai 2018. Je näher dieses Datum rückte, desto mehr rückte das Thema in den Fokus der Öffentlichkeit und vieler Unternehmen.
Im Zuge der Datenschutzgrundverordnung wurden neue Regeln und Abläufe geschaffen, was die Verarbeitung personenbezogener Daten angeht. Sie schützt die Verbraucher und räumt ihnen unter anderem ein, die von einem Unternehmen über erhobenen persönlichen Daten einfordern und löschen lassen zu können. Für sie ist seitdem der sogenannte Cookie Consent Banner omnipräsent. Mit diesem können Internetuser den Umfang der gespeicherten Cookie-Daten beeinflussen.
Außerdem sollten durch die Vorschriften der DSGVO innerhalb der EU die Regelungen zum Datenschutz vereinheitlicht werden. Denn in der Vergangenheit ließen sich einige international agierende Unternehmen in Ländern wie Irland und Luxemburg nieder, deren Datenschutzbestimmungen liberal waren.
Es wurde die Funktion des Datenschutzbeauftragten in den Vordergrund gerückt, der für Unternehmen unter bestimmten Voraussetzungen erforderlich ist. Bis zur endgültigen Umsetzung des Datenschutzes nach DSGVO-Richtlinien im Jahr 2018 musste dieser zwar auch benannt werden. Doch die Auswirkungen bei einem geahndeten Verstoß waren gering. Unternehmen brauchten lediglich eine Strafe von maximal 300.000 Euro zu zahlen, wenn sie den Datenschutzbeauftragten nicht pflichtgemäß gemeldet hatten und dies aufflog. Das Bußgeld nahmen sie zum Teil billigend in Kauf. Inzwischen betragen die Bußgelder maximal zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes aus dem Vorjahr. Unternehmen sind zudem inzwischen verpflichtet, ihren Datenschutzbeauftragten bei den Behörden im Vorfeld anzugeben. Bei einer Prüfung ist es damit nicht mehr möglich, einen Mitarbeiter spontan zum Datenschutzbeauftragten zu berufen, wie es in der Vergangenheit zum Teil der Fall war.
Was ist ein Datenschutz–
beauftragter?
Welche Qualifikationen und Kenntnisse ein Datenschutzbeauftragter zur Erfüllung seiner Aufgaben besitzen muss, ist in der Datenschutzgrundverordnung nicht eindeutig definiert. Darin heißt es lediglich, dass eine geeignete Person über Fachwissen in den Bereichen des Datenschutzrechts und der Datenschutzpraxis besitzen soll, um die an ihn gestellten Aufgaben erfolgreich erledigen zu können. Diese kann im Unternehmen angestellt sein oder durch einen Dienstleister akquiriert werden. Die Rede ist dann entweder von einem internen oder einem externen Datenschutzbeauftragten.
Um juristisch auf der sicheren Seite zu sein, sollten Unternehmen als Datenschutzbeauftragten eine Person einsetzen, die ihre Qualifikationen nachweisen kann. Dazu reichen Zertifikate von Institutionen wie dem TÜV und der IHK bereits aus. Diese drücken nämlich aus, dass sich die angegebene Person im Rahmen von anerkannten Weiterbildungsmaßnahmen mit wichtigen Themen des Datenschutzes befasst hat. Das kann im Falle eines Rechtsstreits von großer Bedeutung sein.
Die Stellung von internen und externen Datenschutz–
beauftragten
Wichtig ist auch die Stellung eines internen Datenschutzbeauftragten innerhalb eines Unternehmens. Er ist ein Kontrollorgan und ist somit weisungsfrei. Damit er seine Funktion wahrnehmen kann, darf er keiner Ebene oder Abteilung angehören, die er überwacht. Ein Posten in der Geschäftsführung oder in der IT-Abteilung sind damit ausgeschlossen. Die Position eines externen Datenschutzbeauftragten ergibt sich aus dem Vertragsverhältnis. Er ist lediglich ein Dienstleister, der eine definierte Leistung erbringt und somit innerhalb des Unternehmens keine Funktion wahrnimmt.
Im Wesentlichen untergliedern sich die Aufgaben des Datenschutzbeauftragten in drei Segmente. Zum einen nimmt er interne Aufgaben in seinem Kompetenzbereich innerhalb eines Unternehmens wahr. Dazu zählen unter anderem, Prozesse zu definieren, damit das Datenschutzrecht eingehalten wird, Verstöße nachzuverfolgen und Mitarbeiter im Bereich des Datenschutzes zu beraten sowie zu schulen. Daneben ist er das Bindeglied zwischen den Aufsichtsbehörden und dem Unternehmen. Als solches dient er stets als erste Anlaufstelle und muss unter anderem Übersichten über die Prozesse bei der Verarbeitung personenbezogener Daten erstellen. Die letzte Säule seiner Aufgaben ist, Verstöße gegen das Datenschutzrecht entgegenzunehmen, zu analysieren und intern aufzuarbeiten. Diese können von den eigenen Mitarbeitern, aber auch von externen Personen und Organisationen stammen. Persönlich haften muss ein interner oder externer Datenschutzbeauftragter bei Pannen nicht – es sei denn, er hat zuvor grob fahrlässig gehandelt.
Wer braucht einen internen oder externen Datenschutz–
beauftragten?
Nicht alle Unternehmen müssen notwendigerweise einen Datenschutzbeauftragten benennen. Die Datenschutzgrundverordnung schreibt im Wesentlichen zwei Voraussetzungen vor, unter denen ein Datenschutzbeauftragter erforderlich ist. Zum einen ist dies die Tatsache, dass es das Kerngeschäft des jeweiligen Unternehmens ist, personenbezogene Daten zu erfassen und automatisiert zu bearbeiten. Das trifft auf viele Branchen zu. Versicherungen fallen ebenso unter diese Kategorie wie Anbieter von Onlinediensten und Marktforschungsinstitute. Wesentlich komplexer ist die zweite Eigenschaft. Denn sie befasst sich damit, inwiefern es sich bei der Datenverarbeitung um riskante Vorgänge handelt. Hier muss im Einzelfall geprüft werden, welche Risiken mit den Vorgängen verbunden sind beziehungsweise, wie lange die Verarbeitung personenbezogener Daten dauert.
Das deutsche Bundesdatenschutzgesetz hebelt die zuvor genannten Voraussetzungen aus. Denn es schafft eine zusätzliche Klausel, die unabhängig von ihnen betrachtet wird. Darin heißt es, dass ein Datenschutzbeauftragter dann erforderlich ist, wenn in einem Unternehmen mindestens 20 Personen dauerhaft personenbezogene Daten verarbeiten. Der Bundesrat stimmte im September 2019 einer Anhebung der Personenanzahl zu. Ursprünglich war der Wert auf zehn Mitarbeiter festgelegt worden. Diese Angabe ist in alter Literatur noch zu finden.
Bei der Interpretation des deutschen Gesetzes ist zu bedenken, dass der Begriff der Datenverarbeitung sehr weit gefasst ist. Er beinhaltet nicht nur Vorgänge, die unmittelbar mit dem Abrufen oder der Pflege eines konkreten Datenbestands verbunden sind. Bereits das Bearbeiten von E-Mails wird in diesem Sinne als Datenverarbeitung verstanden. Somit lässt sich zusammenfassen: Haben mindestens 20 Personen in einem deutschen Unternehmen Zugriff auf wesentliche Bereiche der IT-Infrastruktur, muss ein Datenschutzbeauftragter benannt werden. Dabei spielt es keine Rolle, in welcher Branche das Unternehmen agiert und was das Kerngeschäft ist. Die Notwendigkeit eines internen oder externen Datenschutzbeauftragten ergibt sich allein aus der Anzahl der zuständigen Mitarbeiter.
Interner oder externer Datenschutz–
beauftragter: Was ist die bessere Wahl?
Ein Datenschutzbeauftragter muss nicht zwingend ein Angestellter des Unternehmens sein, in dem er seine Expertise einbringt. Er kann auch als selbstständiger Dienstleister oder als Mitarbeiter eines Dienstleisters in einem fremden Unternehmen eingesetzt werden. Ob es sinnvoll ist, einen internen oder einen externen Datenschutzbeauftragten einzusetzen, ist eine individuelle Entscheidung.
Es gilt zu beachten, dass ein angestellter Beauftragter für den Datenschutz zu jener Personengruppe zählt, die in einem Unternehmen einen besonderen Kündigungsschutz genießt. Das bedeutet, dass der Mitarbeiter nicht ordentlich gekündigt werden kann. Es bedarf somit einer nachvollziehbaren Begründung, um sie unternehmensseitig ihrer Anstellung zu entbinden. Diese Klausel trifft für einen Zeitraum von zwölf Monaten im Anschluss auch dann zu, wenn der Angestellte zuvor Datenschutzbeauftragter im Unternehmen war. Arbeitet ein Unternehmen hingegen mit einem externen Datenschutzbeauftragten zusammen, gilt diese Regelung nicht. Aber auch dann ist es nicht möglich, den externen Datenschutzbeauftragten von heute auf morgen zu wechseln. In der Regel enthalten auch die mit Dienstleistern geschlossenen Verträge eine Kündigungsfrist.
Wird ein Mitarbeiter zum internen Datenschutzbeauftragten ernannt, bringt das zumindest in der Anfangsphase einige Synergien mit sich, die bei den bevorstehenden Aufgaben eingebracht werden können. Zum einen kennt er das Unternehmen. Er ist mit den Abläufen, den Geschäftspartnern und den Mitarbeitern vertraut. Dadurch können Kosten bei der Einarbeitung gespart werden.
Die Vorteile eines externen Datenschutz–
beauftragten
Ein externer Datenschutzbeauftragter ist jedoch oft in der Lage, eine wertvolle Außenperspektive zu bieten. Bevor er sich in die Gepflogenheiten eines Unternehmens eingearbeitet hat, blickt er als neutraler Außenstehender auf die Prozesse im Bereich des Datenschutzes. Außerdem verfügt er oftmals über Erfahrungen aus anderen Betrieben und Branchen. Sein großes Knowhow kann auch bei anderen Auftraggebern eingebracht werden.
Die Leistungen von Taismo im Bereich Datenschutz
Das Thema Datenschutz ist nicht leicht zu durchschauen. Unternehmen, die in diesem Bereich Unterstützungsbedarf haben, hilft die Online Marketing Agentur taismo GmbH aus dem Münchner Umland gerne weiter. Zu unseren Kerndienstleistungen gehört es, in Workshops Datenschutzberatungen anzubieten, den Datenschutz für Ihre Website sicherzustellen sowie auf Gefahren hinzuweisen. Wir helfen unseren Kunden dabei, eine rechtssichere Datenschutzerklärung sowie ein Impressum mit allen erforderlichen Angaben anzulegen.
Wichtig ist auch, das Userverhalten zu dokumentieren. Durch ein zielführendes Tracking können Website-Betreiber analysieren, aus welchen Quellen sie ihren Traffic generieren und wie er über die eigene Internetseite bewegt. Dabei kommen unter anderem Cookies zum Einsatz sowie zusätzliche Softwarelösungen. Das gilt auch für andere Erweiterungen, die bei den modernen Content-Management-Systemen wie Typo3, Joomla, WordPress und Co. beispielsweise zur Suchmaschinenoptimierung genutzt werden können. Wir beraten Sie gerne dahingehend, DSGVO-konforme Dienste zu nutzen und diese korrekt auszuweisen.
Einbettungen von Google Maps, YouTube und den sozialen Netzwerken werden auf Homepages gerne zur Illustrierung verwendet. Sie werden häufig leichtfertig genutzt, ohne sich über die Auswirkungen Gedanken zu machen. Doch gerade im Bereich des Datenschutzes sollte man genau dies tun. Unsere Datenschutzexperten kennen sich dank ihrer umfangreichen Expertise bestens in diesem Bereich aus und können ihr Knowhow einbringen, damit unsere Kunden beim Datenschutz sicher aufgestellt sind.
Sie sehen in Ihrem Unternehmen akuten Bedarf im Bereich des Datenschutzes? Dann zögern Sie nicht und nehmen unverbindlich Kontakt zu uns auf. Wir begleiten Sie gerne dabei, auf Ihrer Website für Datensicherheit zu sorgen. Gerne gehen wir auch in den direkten Austausch mit Ihrem internen oder externen Datenschutzbeauftragten.