Im Mai 2018 beginnt eine neue Ära im europäischen Datenschutz: Die EU-Datenschutz-Grundverordnung (EU-DSGVO, im englischen Sprachraum „GDPR“ genannt) gilt dann für alle EU-Mitgliedsstaaten. Es wurde viel über Strafen und Sanktionen bei Verstößen diskutiert, können diese doch bis zu 20 Millionen Euro oder vier Prozent des jährlichen weltweiten Umsatzes eines Unternehmens betragen. Dadurch gerät ein wichtiger Aspekt aus den Augen, mahnt der Security-Anbieter Sophos: die Anforderungen an die Rolle des Datenschutzbeauftragten (Data Protection Officer, DPO) in Unternehmen.

„In der Vergangenheit war die Rolle des DPOs weitgehend undefiniert“, erläutert Michael Veit, IT-Security-Experte bei Sophos, „denn das aktuell noch bestehende europäische Datenschutzgesetz stammt aus einer EU-Richtlinie von 1995, welche derartige Rollen und Aufgaben noch nicht in dem Maße berücksichtigt wie in GDPR.“

In jenen Tagen, so Sophos, wurden Daten fast ausschließlich im „Computing-Kontext“ gesehen, und die ersten DPOs hatten meist einen IT-Hintergrund. Ihre Aufgabe war es, den Fluss von computergesteuerten Daten zu verstehen, zu identifizieren und zu schützen.

Heute hingegen müsse der Datenschutzbeauftragte einem Unternehmen oder einer Organisation helfen, den gesetzlichen Verpflichtungen nachzukommen – auch hinsichtlich der Achtung der Privatsphäre von Privatpersonen. Diese Aufgabe, mahnt Sophos, beinhalte nicht nur die Sicht auf die IT, sondern auch Kompetenzen in Bereichen wie Recht, Compliance oder Kunden-Service.

Durch die EU-DSGVO (Art. 35 ff.) wird es ab Mai 2018 erstmals eine europaweite Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben. Diese Rolle ist bindend, sofern die Überwachung und der Umgang mit personenbezogenen Daten zum Kerngeschäft eines Unternehmens zählt.

Ein Datenschutzbeauftragter ist auch für diejenigen Organisationen zwingend vorgeschrieben, deren Kerntätigkeiten eine „regelmäßige und systematische Überwachung von Daten in großem Maßstab“ oder die Verarbeitung besonders sensibler Daten umfassen (also etwa Daten, die sich auf die ethnische Herkunft, religiöse Überzeugung, Gesundheit, Sexualleben oder strafrechtliche Verurteilungen beziehen).

Deshalb werden zum Beispiel alle öffentlichen Einrichtungen einen Datenschutzbeauftragten benötigen. Dies könne bedeuten, warnt Sophos, dass auch sehr kleine Organisationen oder Unternehmen in der gesetzlichen Pflicht stehen, einen DPO zu haben, etwa Gemeinden oder staatliche Schulen.

Die Artikel-29-Arbeitsgruppe, einer Gruppe von Vertretern von Datenschutzbehörden der gesamten EU, hat dazu Leitlinien erstellt. Diese Leitlinien erklären beispielsweise, dass kritische „Kernaktivitäten“ nicht die Verarbeitung von Personalinformationen innerhalb einer Personalabteilung betreffen. Die gegenteilige Ansicht hätte bedeutet, dass prinzipiell jeder Arbeitgeber einen Datenschutzbeauftragten braucht.

Die EU-DSGVO beschreibt die Strukturen und definiert einige der erforderlichen Qualitäten und Pflichten eines Datenschutzbeauftragten:

* Möglichkeit unabhängigen Handelns,
* Unabhängig von Anweisungen des Arbeitgebers,
* Kenntnis des Datenschutzrechts,
* ausreichende Ressourcen zur Erfüllung der Aufgaben und
* Reporting direkt an die höchste Management-Ebene.

Dabei muss ein Datenschutzbeauftragter nicht unbedingt im eigenen Haus bestellt werden. Die DSGVO lässt es zu, dass auch ein externer Spezialist diese Rolle übernehmen kann. Dies, so Sophos, sei zweifellos für die kleineren Organisationen hilfreich. Denn diese würden es schwer haben, einen qualifizierten internen Mitarbeiter für die Aufgaben eines DPO zu finden.

Laut Artikel 29 der Leitlinien ist schließlich nicht nur eine geeignete Qualifikation erforderlich, es darf auch kein Interessenkonflikt bestehen. Einige Rollen im Unternehmen sind mit der des Datenschutzbeauftragten nicht vereinbar, darunter beispielsweise der CEO, CFO, Marketingleiter, HR oder IT.

Was passiert aber, wenn eine Organisation einen Datenschutzbeauftragten nach DSGVO ernennen muss, dies aber unterlässt? Theoretisch könnte eine solche Verletzung eine Geldbuße von bis zu zehn Millionen Euro oder zwei Prozent des jährlichen weltweiten Umsatzes zur Folge haben. Doch laut Einschätzung von Sophos ist nicht zu erwarten, dass ein Kontrolleur jemals eine solche Geldbuße nur für die Nicht-Ernennung eines Datenschutzbeauftragten erheben wird. Tragisch werde die Situation aber, wenn dann noch substanzielle Verstöße gegen die DSGVO hinzukommen.

„Generell sollte jedes Unternehmen oder jede Organisation einen DPO ernennen, auch solche, die es laut Vorgaben nicht müssen“, rät deshalb Sophos-Experte Veit. Denn es gelte, Compliance- und organisatorische Verbesserungen für die kommende Jahre anzustoßen und zu justieren.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.