00:00:00: Brauchen kleine Unternehmen künftig generell keinen DSB mehr.
00:00:04: Wer kann DSB werden, wer nicht und wie verhält es sich mit Interessenkonflikten.
00:00:11: Die Aufsichtsbehörden haben zuletzt unterschiedliche Aussagen dazu getroffen welche Aufgaben hat ein DSB und welche nicht.
00:00:20: Wann macht ein externer DSB besonders Sinn wird dies in Zukunft ein verstärkter Trend sein.
00:00:27: Und ist zu befürchten dass die Pflicht zur Benennung des DSB in Zukunft noch weiter zurückgedrängt wird.
00:00:34: Datenschutzpraxis der Podcast fragt nach bei Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg.
00:00:51: Mein Name ist Severin Putz, ich heiße Sie herzlich willkommen zu unserer neuen Folge von Datenschutzpraxis der Podcast.
00:00:58: Wir diskutieren regelmäßig mit spannenden Gesprächspartnern über aktuelle Themen aus Datenschutz und Datensicherheit.
00:01:06: Als ausgewiesenen Fachexperten und Moderator habe ich heute wieder Oliver Schonschek an meiner Seite er ist freier Analyst und Fachjournalist und schreibt regelmäßig nicht nur für die Datenschutzpraxis hallo Oliver.
00:01:20: Hallo Severin heute möchten wir uns mit dem Thema die Zukunft des Datenschutzbeauftragten beschäftigen.
00:01:28: Wir freuen uns als Interviewpartner Doktor Stefan Brink Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg begrüßen zu dürfen herzlich willkommen Herr Dr Brink.
00:01:41: Hallo ich freue mich unser Thema.
00:01:45: Zukunft des Datenschutzbeauftragten steht natürlich auch im Zusammenhang mit der Jüngste im Bundestag beschlossenen Änderungen der Zehnerregel.
00:01:54: Sprich künftig müssen nicht öffentliche Unternehmen für die keine anderslautende Regel gilt
00:02:01: erst ab 20 Uhr Daten verarbeiten Mitarbeitern einen Datenschutzbeauftragten benennen.
00:02:08: In unserer diesbezüglichen Leserumfrage waren 20% der Teilnehmer sehr pessimistisch sie befürchten
00:02:16: das nach Wegfall der Datenschutzbeauftragten in den betroffenen Unternehmen sich tatsächlich niemand um den Datenschutz kümmern wird.
00:02:25: Oliver kannst du uns kurz in die Problematik noch mal einführen.
00:02:30: Ja sehr gerne Severin nicht nur unsere Leserinnen und Leser und unsere zuhörerinnen und zuhörer sehen diese Entwicklung mit Sorge
00:02:39: die Aufsichtsbehörden haben sich klar positioniert zu Bedeutung des oder der Datenschutzbeauftragten
00:02:45: in der Entschließung der Datenschutzkonferenz also der Konferenz der unabhängigen Daten.
00:02:51: Aufsichtsbehörden mit dem Titel keine Abschaffung der Datenschutzbeauftragten heißt es nämlich.
00:02:58: Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung.
00:03:04: Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.
00:03:11: Dies hat sich ganz besonders bei der Umstellung auf die datenschutzgrundverordnung bewährt und auf
00:03:16: diese Vorteile möchte man natürlich sehr ungern verzichten und da hat z.b. die Landesbeauftragte für den Datenschutz Niedersachsen die Frau Barbara Thiel gesagt
00:03:26: ist das eine Aushöhlung des Datenschutzes. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Land sagt, dass eine Milchmädchenrechnung aufgestellt wird
00:03:35: wenn man meint das kleine Unternehmen keinen Datenschutzbeauftragten werde nennen müssten und dadurch würde man weniger Aufwand haben
00:03:44: trotzdem hat ja der Bundestag das zweite datenschutz-anpassungs und Umsetzungsgesetz EU beschlossen und nachdem unter anderem Unternehmen mit weniger als 20 datenverarbeitenden Mitarbeitern
00:03:54: künftig nicht mehr verpflichtet sind einen Datenschutzbeauftragten benennen zu müssen.
00:03:59: Nun haben wir ja mit Herrn Doktor Brink einen Landesdatenschutzbeauftragten zu Gast, darüber freuen wir uns sehr und wir würden ihn jetzt hier zu sehr gerne direkt befragen
00:04:09: Herr Doktor Brink, wie bewerten Sie diese Änderung bei der Pflicht zur Benennung eines Datenschutzbeauftragten
00:04:19: ja ich würde sagen die Einschätzung Milchmädchenrechnung trifft ziemlich genau und man könnte jetzt meinen das ist vielleicht gar keine so gravierende Änderung von 10 auf 20 Personen
00:04:32: problematisch ist aber in erster Linie wie dieser gesetzliche Neuregelung verstanden wird wie die draußen ankommt und bei sehr vielen, gerade bei vielen kleineren Unternehmen
00:04:42: kommt hier die Botschaft an:
00:04:45: Wenn wir weniger als 20 Mitarbeiter haben, die sich mit Datenverarbeitung beschäftigen dann gilt für uns der Datenschutz nicht mehr, da gelten für uns die Anforderungen der datenschutz-grundverordnung nicht mehr und das wäre wirklich eine ganz schlimme Milchmädchenrechnung
00:04:57: Eigentlich gehts natürlich nicht darum die Geltung der datenschutzgrundverordnung die wir seit Mai 2018 auch in Deutschland haben.
00:05:06: irgendwie in Frage zu stellen, das könnte der deutsche Gesetzgeber überhaupt nicht, es geht ausschließlich um die Frage ob die Unternehmen sich durch einen speziell ausgebildeten
00:05:16: wirklich gut ausgestatteten und versierten Datenschutzbeauftragten unterstützen lassen und da hat der Bundestag jetzt die hohen
00:05:24: bisher geltenden Anforderung etwas herunter geschraubt damit wird derjenige der tatsächlich vor Ort unterstützen kann in manchen Fällen wegfallen.
00:05:33: Das ist eine echte Milchmädchenrechnung gerade weil die Anforderungen gleich bleiben die an der Grundverordnung ändert sich überhaupt nichts an den Pflichten ändert sich überhaupt nichts nur
00:05:43: die Verpflichtung zur Bestellung eines Datenschutzbeauftragten wird jetzt modifiziert und das ist ganz wichtig das wäre diesen Unterschied begreifen.
00:05:51: Und er ist denn die Modifikation überhaupt richtig verstanden wenn man sagt
00:05:56: ich habe jetzt weniger 20 Mitarbeiter in der Datenverarbeitung ich brauche keinen DSB mehr ist das der einzige Grund warum man einen DSB benennen müsste oder gibt es noch andere Gründe.
00:06:11: Es gibt noch andere Gründe. Das mag der häufigste Grund sein warum man einen bestellt, aber es gibt natürlich auch noch andere Gründe warum bestell Pflicht besteht die Datenschutzgrundverordnung selbst nennt solche bestell Pflichten zum einen Einfall der und jetzt heute wahrscheinlich weniger interessiert an öffentlichen Stellen also alle Behörden
00:06:31: müssen dann eigenen Datenschutzbeauftragten bestellen das war in Deutschland auch noch nicht überall so und es kommt jetzt über Artikel 37 der datenschutz-grundverordnung auf alle Behörden herab einen Datenschutzbeauftragten bestellen zu müssen das begrüßen wir auch sehr
00:06:44: aber die datenschutzgrundverordnung sieht eine bestell Pflicht z.b. auch für private also nicht öffentliche Stellen vor wenn die Kerntätigkeit.
00:06:53: Die Verantwortlichen in einer systematischen Überwachung von Personen besteht auch da kann man schon ganz unabhängig ob das jetzt zwei oder drei Mann Laden ist in eine solche bestellpflicht hineinlaufen und.
00:07:07: Es gibt natürlich die Verpflichtung einen Datenschutzbeauftragten zu bestellen wenn die Kerntätigkeit
00:07:16: der verantwortliche Stelle in der Verarbeitung besonders sensibler Daten besteht auch dass es nichts Neues gegenüber der bisherigen deutschen Rechtslage.
00:07:25: Darüberhinaus sieht das Bundesdatenschutzgesetz eine weitere Bestellpflicht vor, nämlich für den Fall,
00:07:32: dass eine Datenschutzfolgenabschätzung vorgenommen werden muss und das kann auch relativ viele Unternehmen treffen.
00:07:39: Und diese Punkte machen, dass es eben viele andere Anlässe und Gründe gibt einen Datenschutzbeauftragten
00:07:46: zu benennen. Finde ich sehr sehr wichtig weil man hat in der Diskussion jetzt in den letzten Wochen auch so lesen können, hören können, dass gerade Startups, kleine Unternehmen, die fallen jetzt da drunter und die haben ja oftmals
00:08:02: Themen in der Datenverarbeitung, die vielleicht zum Bereich Big Data Analyse Profiling oder neu Videoüberwachungsdienste oder data loss prevention was da alles gibt wo dann eine datenschutz-folgenabschätzung erforderlich würde
00:08:16: und die brauchen das dann gar nicht mehr und wenn wir da ihren Ausführungen eben
00:08:23: entnehmen können dass das gar nicht so ist, dieses Startup hat vielleicht fünf Leute aber macht eben eine Verarbeitung besonders sensibler Daten vielleicht im medizinischen Bereich
00:08:35: dann greift da nicht diese Regel, dass man keinen mehr benennen muss.
00:08:42: Richtig da ist ja leider die öffentliche Debatte auch die die parlamentarische Debatte die wir gesehen haben sehr einseitig geführt worden und hat sich auf diese
00:08:51: Bestellgröße 10 Personen, 20 Personen, es waren ja auch mal 50 oder 100 oder noch mehr Personen im Gespräch, manhat sich darauf konzentriert
00:08:59: und wollte da in gewisser Weise einen politischen Erfolg herbeiführen, indem man diese Grenze anhebt, hat dabei aber komplett ausgeblendet.
00:09:08: dass es eine Reihe weiterer, auch ganz relevanter Tatbestände gibt bei denen auch zukünftig kleinere Unternehmen auch gerade Startups.
00:09:16: Datenschutzbeauftragte bestellen müssen. das ist auch von der Seite her nicht gut gelaufen in der politischen Debatte das ist immer schlecht wenn man versucht irgendwelche
00:09:25: ja politische Symbole zu erreichen und dabei eigentlich das sagt Thema aus dem aus dem Auge fällt.
00:09:36: Ja umso besser umso wichtiger dass wir da heute drüber sprechen
00:09:40: und weil unsere zuhören Zuhörer sind ja sehr häufig Datenschutzbeauftragte
00:09:46: und die müssen natürlich wissen ob man wenn man sagt ja eigentlich brauchen wir dich nicht mehr dass man dann sagt Nähe tut mir leid das ist missverstanden
00:09:55: aber selbst wenn ein Unternehmen die Benennpflicht nicht hat
00:10:00: würden Sie denn eine freiwillige Benennung auch empfehlen bzw in welchen Fällen würden Sie denn sagen okay du musst zwar nicht aber
00:10:09: benenne doch lieber ein DSP also.
00:10:14: Wir haben glücklicherweise in Deutschland ein vergleichsweise hohes Datenschutzniveau das ander deswegen weil auch schon in der Vergangenheit
00:10:23: viele Verantwortliche stellen, ohne dass sie der Bestellpflicht unterfallen würden, einen Datenschutzbeauftragten sich in Anführungszeichen geleistet haben also jemanden der schlicht und ergreifend
00:10:34: besonders qualifiziert ist, versiert ist und dem Unternehmen auch Sicherheit geben kann, wie das mit der Datenverarbeitung läuft und viele Unternehmer sind einfach clever genug sich zu sagen,
00:10:45: "Es ist mir zunächst mal gar nicht so wichtig ob der Gesetzgeber mich verpflichtet einen Datenschutzbeauftragten zu bestellen sondern sich die zentrale Frage stellen was.
00:10:54: mir das, was bringt das meinem Unternehmen einen solchen Fachmann hier einzustellen und einer ganz nüchternen Kosten-Nutzen-Rechnung, was kostet mich ein Datenschutzbeauftragter, und was
00:11:06: bringt der meinem Unternehmen". Es ist in sehr sehr vielen Fällen auch bei kleineren Unternehmen so, dass sich das absolut lohnt
00:11:12: nehmen Sie nur mal den Hintergrund, dass ja mit der datenschutz-grundverordnung jetzt extrem hohe Bußgelder drohen ja wenn ein Unternehmen das einmal erwischt davon kann man sozusagen ganzes Jahrzehnt lang einen Datenschutzbeauftragten locker finanzieren, wenn man in einem entsprechenden Bußgeld so ausweichen kann.
00:11:31: also gesetzliche Pflichten zur Bestellung sind das eine, aber die auf die ökonomische Vernunft sich zu sagen
00:11:39: ich bin in einem sensiblen Bereich unterwegs,
00:11:42: ich bin auch in gewisser Weise, trifft auf das auch viele Unternehmen, zu in Neuland unterwegs, alles was digitale Fragestellung angeht,
00:11:50: und ich hole mir jetzt nen Fachmann, der mich bereit und der mir,
00:11:52: der mich davor beschützt die schlimmsten Fehler zu machen und der dafür sorgt dass die Rechte meiner Kunden nicht verletzt werden und ich die eigenen Mitarbeiter nicht schädige oder auch nur verärgere durch unbedachten Umgang mit ihren Daten
00:12:08: da hol ich mir einfach einen Fachmann und das ist es mir wert und das rechnet sich auch.
00:12:12: Ja das ist also ein sehr wichtiger Punkt finde ich also auf jeden Fall natürlich klar dass man die gesetzlichen Anforderungen im Blick hat aber dass man sich auch sagt das ist denn wirklich gut für mein Unternehmen macht es nicht sowieso ökonomisch aus anderen Gründen Sinn
00:12:26: DSB, weil, wie Sie auch schon eingangs sagten,
00:12:29: die Aufgaben bleiben ja, nur dass man plötzlich keine Person mehr hat, die eigentlich damit beauftragt würde, dort zu beraten, zu unterstützen
00:12:38: und wenn Aufgaben bleiben und ausführende Stellen wegfallen, ist das eigentlich nie besonders gut und
00:12:45: Ich würd gern neben der Benennpflicht auf einen weiteren Punkt auch noch kommen, da wir ja über die Zukunft des DSB sprechen.
00:12:55: Und zwar welche Qualifikationen
00:12:59: sind denn heute besonders wichtig, die ein DSB haben sollte und sehen Sie denn weitere Anforderungen in der Zukunft wenn man schaut wie sich die Datenverarbeitungen immer schneller weiterentwickeln
00:13:10: worauf sollten, was sollten Datenschutzbeauftragte besonders gut können und vielleicht in Zukunft sogar noch mehr gut können als heute schon.
00:13:18: Ich sehe in dem Bereich eigentlich drei Kern-Qualifikationen, die Datenschutzbeauftragte mitbringen sollen, zum einen
00:13:27: brauchen wir,
00:13:29: Man kann vielleicht sagen leider, ein gewisses Grundverständnis, eine Grundfähigkeit mit einem juristischen Text, wie der Datenschutzgrundverordnung, umzugehen.
00:13:39: Das heißt überhaupt nicht, dass jeder Datenschutzbeauftragte jetzt zwingend eine juristische Ausbildung haben müsste, aber man muss eben
00:13:46: nicht nur bereit sein sich mit der datenschutzgrundverordnung und dem BDSG auseinanderzusetzen, sondern sollte das auch sozusagen zu seinem Ding machen, also man sollte da nicht mit spitzen Fingern das Gesetz anfassen, sondern man muss auch bereit sein
00:14:01: Text zu lesen zu versuchen zu verstehen vielleicht auch sich ein bisschen breiter noch zu erkundigen und dann einfach gut mit diesem
00:14:08: Text umgehen wir geben als Aufsichtsbehörden viele Hilfestellung gerade was die auslegen und das Verständnis des Gesetzes angeht aber eine gewisse Affinität auch zur Arbeit mit einem rechtlichen text.
00:14:19: Der nicht so einfach zu verstehen ist die muss da sein
00:14:22: das ist Punkt Nummer eins. Nummer zwei sind ist eine Affinität und Offenheit in bezug auf technische
00:14:30: Fragestellung wir sind eigentlich inzwischen in unserem Datenschutz Verständnis weit darüber hinaus dass Daten Datenschutz erzwingen jemand sein muss der technische sagen
00:14:45: gut versiert ist sozusagen ein Informatiker ist
00:14:47: das muss ja auch nicht sein aber es muss jedenfalls eine Person sein die offen ist für diese Vorgänge der in der Lage ist, sich das auch entweder sich selbst dort rein zu arbeiten oder sich gut erklären zu lassen und der gewisses Grundverständnis mitbringt um diese
00:15:03: technischen Abläufe auch selbst selbständig gut beurteilen zu können und der dritte Punkt , die dritte Kernkompetenz ist
00:15:10: vielleicht sogar das wichtigste von allen die er als Datenschutzbeauftragter haben muss man
00:15:15: ein guter Berater sein, man muss gut kommunizieren können und man muss auch einen gewissen Ausgleich sagen können also es bringt mir als Datenschutzbeauftragter im Unternehmen relativ wenig,
00:15:27: wenn ich dort sozusagen den starken Mann markiere und.
00:15:32: möglichst viel möglichst häufig in die Geschäftsmodelle des Unternehmens eingreifen, wenn man das macht und dabei nicht alle Beteiligten von der Geschäftsleitung bis zu den Mitarbeitern mitnimmt und auch interessiert und sensibilisiert und
00:15:46: offen macht für die Fragestellung, dann wird man sehr schnell im Abseits stehen und dann wird keiner mehr mit einem reden wollen und wird sagen na ja du bist 1er bist eher ungünstig für unser nehmen du kostest uns neben dem was du an
00:15:59: persönlichen Kosten verursachst relativ viel weil wir unsere Geschäftsmodelle nicht mehr sinnvoll
00:16:04: fahren können also man muss kommunizieren können man muss auch Verständnis wecken für eine nicht ganz einfache Materie.
00:16:11: Und ja auch Überzeugungstäter sein in gewisser Weise und Überzeugungsarbeit.
00:16:18: Würden Sie sagen, alle drei Qualifikationen werden in dem Sinne immer wichtiger oder gibt's irgendwas von den dreien, wo sie sagen das wird in Zukunft, Sie haben ja so einen
00:16:29: Schwerpunkt gesetzt auf dem dritten. Dass man auch so eine vermittelnde Rolle haben muss.
00:16:37: Wird sowas noch wichtiger werden nur in Zukunft?
00:16:40: Ja wir sehen uns ja auch gerade als Aufsichtsbehörden in der öffentlichen Debatte wir stehen ja als Landesbeauftragte im engen Kontakt mit der Politik mit dem Parlament mit der Regierung
00:16:51: ein Großteil unserer Aufgabe besteht im Moment darin einfach das Thema zu transportieren
00:16:57: eher verständlich zu machen warum wir nicht die sozusagen der Dr. No sind der immer sagt dass er das nicht geht sondern dass wir Verständnis.
00:17:07: Z.b. auch gegen dem gegenüber einem Innenministerium gegenüber Sicherheitsbehörden gegenüber parlamentarischen Fraktionen für die Thematik informationelle Selbstbestimmung als Grundrecht als Freiheitsthema
00:17:19: das wird diese Position gut rüberbringen.
00:17:23: Dass uns nicht ins Abseits begeben sondern mittenrein auch in die politische Debatte und dabei nicht überziehen damit dabei nicht versuchen andere zu dominieren oder an die Wand zu fahren sondern schlicht und ergreifend für dieses wichtige Thema werben.
00:17:36: Und das spielt aus meiner Sicht in den Unternehmen und in den Behörden eine auch ganz wichtige Rolle und das wird
00:17:44: je komplexer auch die technische Entwicklung in der Zukunft wird und je schwieriger das auch mit der juristischen
00:17:51: Situation wird spielt ist eine immer größere Rolle dass man einen guter Moderator ist ein guter Übersetzer und wie ich eben schon sagte jemand sein muss der auch eine gewisse Überzeugung transportiert.
00:18:04: Ja vielen Dank für die Einschätzung das ist sicherlich ganz wichtig auch für Datenschutzbeauftragter zu sagen
00:18:11: ist das mit dem rechtlichen und technischen ist wird dir immer komplexer aber man kann sich wenn man so eine vermittelnde Person ist dann moderierende press
00:18:19: so eben auch an den sprechen Experten Unternehmen Unterstützung holen aber man muss sie halt gemeinsam auf den Datenschutz einführen musst also da sind
00:18:28: bisschen auch Datenschutz-Leitfigur.
00:18:32: Wir haben jetzt über die Benennung gesprochen, über Qualifikation, ich würde jetzt gern noch mal mit ihnen drüber sprechen
00:18:42: wer kann eigentlich DSP werden? Hintergrund ist das Thema "Interessenkonflikte" hier machen die Aufsichtsbehörden
00:18:49: teilweise etwas unterschiedliche Aussagen ob man beispielsweise sein kann als die Sicherheitsbeauftragter und Datenschutzbeauftragter IT Leiter Datenschutzbeauftragter
00:18:59: was würden Sie sagen, wie kann sich da ein Unternehmen dran orientieren
00:19:04: wer kann überhaupt als DSB benannt werden, abgesehen davon dass man die Qualifikation haben muss.
00:19:10: Ja das Thema Interessenskonflikt ist sehr wichtig, nämlich überzeugend in seinem Job als Datenschutzbeauftragter kann man nur dann arbeiten wenn man das auch zu 100%.
00:19:21: Macht und nicht sagen in seiner eigenen Person schon widerstreitende Interessen hat und es ist ganz klar wenn ich selbst Geschäftsführer eines Unternehmens bin dann kann ich nicht auch wenn es ein kleines Unternehmen ist nicht sagen ich mache jetzt selbst den Datenschutzbeauftragten oder
00:19:38: Stelle einen, sehen wir auch bei gerade bei kleinen Unternehmen relativ häufig bestelle
00:19:44: den netten Ehepartner oder einen engen Verwandten das Thema. Wir brauchen den Datenschutzbeauftragten als
00:19:51: unabhängige Person die nicht nur versiert ist sondern auch in der Lage ist ihre Kenntnisse frei und unbefangen vorzutragen.
00:20:00: Und deswegen verbieten sich bestimmte Funktion also überall dort wo es
00:20:05: kannst regelmäßig zu datenschutzrechtlichen Herausforderung kommt und das ist z.b. wenn ich Leiter der IT Abteilung bin oder auch wenn ich z.b. Leiter in größeren Unternehmen
00:20:17: Unternehmen einer Compliance Abteilung
00:20:19: bin dann gibt es da eben regelmäßig Interessenkonflikt da weil die Aufgaben zum Teil gegenläufig sind und dann muss mal gucken also das wichtigste ist jetzt weniger sich an bestimmten Positionen festzumachen.
00:20:32: Sondern in der Sache zu gucken kontrolliere ich mich da eigentlich selbst komme ich da eine Situation wo ich sagen würde da ein Seite habe ich den Auftrag z.b. dafür zu sagen dass im Unternehmen
00:20:42: die Mitarbeiter keine dem den Arbeitgeber nicht schädigen durch strafbare oder
00:20:48: ordnungswidrige Handlung und kollidiere ich damit mit meiner anderen Funktion darüber zu wachen dass die Mitarbeiterinnen Mitarbeiter in ihren
00:20:58: Rechten auf informationelle Selbstbestimmung nicht übermäßig eingeschränkt werden und sobald ich diese Kollision sehe muss ich sagen dass es nicht gut da muss ein anderer ran.
00:21:08: Das ist ein Konflikt den ich selbst nicht sinnvoll austrage.
00:21:12: Okay das ist auf jeden Fall sehr sehr hilfreich weil wir haben da
00:21:18: einiges an Feedback auch von Leserinnen und Lesern, die dann sagen ich habe die Rolle und ich habe mal so gehört ich könnte das nicht machen, ist das Interessenkonflikt oder nicht das, das bewegt wirklich viele
00:21:31: ich habe dazu jetzt gerade vor zwei Monaten eine eigene Handreichung verfasst hier in Baden-Württemberg die aber
00:21:40: aus unserer Sicht auch sozusagen übergreifend als Orientierung dienen kann eine zweibändige
00:21:46: Broschüre zum Thema "Was macht der Datenschutzbeauftragte eigentlich" und da ist ein ganz zentraler Punkt:
00:21:51: Wer darf eigentlich bestellt werden, wo gibt es Interessenkonflikte, wie löse ich diese Thema, hatte ich auf auch da einfach der hin war es schon Sie bei uns auf der Homepage da war.
00:22:01: Unsere Ratgeber alle online verlinkt und da gibt es wie gesagt jetzt in zwei bändigen Ratgeber für Datenschutzbeauftragte.
00:22:09: Na super das ist eine wichtige Unterstützung die und überhaupt leisten die Aufsichtsbehörden ja wirklich die enorme Unterstützung das nehmen wir schon deutlich war.
00:22:21: Ich möchte jetzt gern zu dem Thema kommen Aufgaben eines Datenschutzbeauftragten und zwar eigentlich mehr noch die Frage welche er hat, sondern welche er nicht hat, weil da scheinen auch Unklarheiten zu sein
00:22:33: Wenn man nämlich bedenkt Benennpflicht
00:22:36: wird verwechselt damit, wenn ich kein benennen muss, muss ich mich auch nicht an Datenschutz halten, das scheint ja daneben falsches Bild zu sein, was der Datenschutzbeauftragte eigentlich ist, was könnten Sie dazu sagen, welche Aufgaben hat er denn und welche nicht.
00:22:52: Ganz wichtig ist in dem Kontext: der Datenschutzbeauftragter hat eine beratende Funktion das heißt er ist deswegen ja auch unmittelbar an die Geschäftsleitung angebunden und dann direkten Draht zu haben und dort
00:23:04: im Rahmen seiner Fachkunde und ganz unabhängig seine Meinung sagen zu können zu den Datenverarbeitung die im Unternehmen stattfinden
00:23:11: und dieser unmittelbare Draht ist deswegen so wichtig damit man Gehör findet auf der einen Seite damit man aber eben auch
00:23:19: sozusagen seine eine eigene Rolle ganz klar kennt man es Berater man ist nicht derjenige der operativ tätig wird wir sehen immer wieder und das ist ein schwerer Fehler
00:23:29: Datenschutzbeauftragte sich selbst bestimmte Aufgaben
00:23:33: an Land ziehen die sie besser nicht machen würden also z.b. eine Auskunftsersuchen erreicht ein Unternehmen nach Artikel 15 der Grundverordnung ein Kunde sagt im Unternehmen zeig mir mal die Daten die von mir
00:23:45: und dann ist es sinnvoll dass der Datenschutzbeauftragte das berät und begleitet aber er sollte nicht selbst die Informationen einsammeln er sollte auch nicht selbst Antworten das ist nicht sein Ding.
00:23:55: Beratend tätig und nicht operativ auch bei Datenpannen Meldung z.b. sagen wir immer wieder Liebe Datenschutzbeauftragte ihr sollt eine zentrale Rolle spielen wenn ihr was euch was auffällt sagt der Geschäftsleitung Bescheid aber ihr meldet gefälligst nicht selbst
00:24:09: das ist nicht euer Ding sondern ihr beratet die Geschäftsleitung und die Geschäftsleitung muss ich entscheiden
00:24:15: ist es aus unserer Sicht eine Datenpanne ja oder nein da beziehe ich natürlich den Datenschutzbeauftragten ein und legt großen Wert auf seinem Sachverstand und dann seinen Rat aber die Entscheidung muss die Geschäftsleitung treffen.
00:24:26: Der Datenschutzbeauftragte kommt in Teufels Küche wenn er hier einen Verstoß meldet.
00:24:32: Von dem nachher die Geschäftsleitung sagt, aus unserer Sicht war das gar keiner, und noch schlimmer, wenn die Aufsichtsbehörde antwortet, keine Ahnung, warum du uns das gemeldet hast.
00:24:40: Der Datenschutzbeauftragte hat eine beratende Funktion er ist nicht operativ tätig.
00:24:45: Haben Sie vielleicht auch den Eindruck dass die Unternehmen gerne wenn sie sagen wir haben doch einen Beauftragten für den Datenschutz gerne Aufgaben an den DSB delegieren
00:24:59: ist DSB der dann vielleicht auch sagt "Macht keiner, also übernehme ich".
00:25:07: der gutmütige Datenschutzbeauftragten der sagt na ja sonst kanns ja keiner, sonst macht's keiner, da machs halt ich das Verarbeitungsverzeichnis oder dann mach halt
00:25:17: ich die datenschutz-folgenabschätzung oder ich mache die Datenpanne Meldung oder ich gebe die Auskunft.
00:25:22: Das ist gut gemeint aber das ist sehr problematisch und das sollte man sein lassen, umgekehrt
00:25:28: ja sehen wir leider immer noch viel zu häufig dass die Geschäftsleitung sagt Verarbeitungsverzeichnis müssen wir angeblich haben soll das doch der Datenschutzbeauftragter machen, nein
00:25:37: das ist nicht seine Funktion, da muss man natürlich, auch wir sehen die Realität in den Unternehmen, schon da muss man als Datenschutzbeauftragter gab wenn man als erster seiner Zunft in dem Unternehmen beginnt
00:25:50: wieder Überzeugungsarbeit leisten und.
00:25:53: Mit ein bisschen Fingerspitzengefühl vorgehen sich in solchen Punkten, als erstmal
00:26:00: konfrontativ auf die Geschäftsleitung zu zugegehen und zu sagen: Mach ich nicht, ist nicht mein Ding.
00:26:05: Ist vielleicht jetzt unter Kommunikationsgesichtspunkten nicht ganz optimal, man muss versuchen geschickt da vorzugehen und darauf hinweisen, es ist eigentlich nicht meine Aufgabe, aber ich kann euch z.b. mal Muster besorgen, ich kann euch Hinweise geben
00:26:17: wie man das ganz ordentlich macht aber bitte sucht euch einen anderen der dafür verantwortlich ist den bereits dann gerne.
00:26:25: Wenn wir noch zum externen Datenschutzbeauftragten kommen also in den nicht aus dem Unternehmen selber Stamm
00:26:33: wann macht sowas denn besonders Sinn und glauben Sie dass in Zukunft mehr externe Datenschutzbeauftragte gesucht werden.
00:26:43: Dass Sie gesucht werden die externen ist mit ganz offensichtlich der Markt war Anfang 2018 leergefegt, kurz vor Torschluss also kurz vor Mai 2018 fiel vielen
00:26:52: Verantwortlichen auf, Oh ich habe ja noch gar keinen Datenschutzbeauftragten und dann war es eigentlich nicht mehr möglich.
00:26:57: Jedenfalls einen erfahrenen versierten Datenschutzbeauftragter als externe Kraft zu bekommen ich glaube auch in Zukunft wird es guten Ausgleich geben
00:27:07: wir machen sehr gute Erfahrung mit internen Datenschutzbeauftragten, die gut geschult sind
00:27:12: und auch genügend Freiraum bekommen zeitlich sachliche Unterstützung bekommen um ihren Job gut zu machen hat viele Vorteile weil das natürlich die Beauftragten sind, die den Laden kennen und die auch ganz schnell ansprechbar sind vor Ort wenn irgendwo was passiert
00:27:27: gute Einrichtung kann man machen in vielen Fällen optimale Lösung.
00:27:32: Die externen Datenschutzbeauftragten spielen einfach deswegen auch eine größere Rolle weil eine enorme Nachfrage ist nach Datenschutzbeauftragten und das kann man in manchen Fällen tatsächlich jedenfalls kurzfristig nur durch externe Kräfte
00:27:46: bewerkstelligen auch da gibt's natürlich Vor und Nachteile. Vorteile bei Externen jedenfalls wenn es gute sind ist dass ich fachlich in besonderer Weise versiert sind
00:27:56: Nachteile bestehen häufig leider bei der Erreichbarkeit und auch bei der bei der Ansprechbarkeit ja als Mitarbeiter eines Unternehmens fällt mir auf da läuft was schief
00:28:06: mit den Daten dann irgendwo ein externen anzurufen und dein Anführungszeichen zu petzen ist viel schwieriger als den internen Datenschutzbeauftragten anzusprechen und sagen du
00:28:15: beim Mittagessen irgendwas läuft da komisch kannst du dir das mal anschauen aber
00:28:20: beides hat vor und Nachteile beides sind gute Möglichkeiten der Aufgabe gerecht zu werden an datenschutzbeauftragt.
00:28:30: Dazu bestellen und wahrscheinlich ist es tatsächlich so dass das Thema Datenschutz als
00:28:38: Dienstleistung auch als externe Dienstleistung in der Zukunft ihr noch an Fahrt aufnimmt als wir es im Moment schon sehen.
00:28:46: Noch kurz wenn Sie einen Wunsch frei hätten was würden Sie sich von einem DSB wünschen
00:28:54: ich wünsche mir von Datenschutzbeauftragten in erster Linie große Selbstbewusstsein und natürlich Freude an der Arbeit Selbstbewusstsein dass man tatsächlich überzeugt ist davon dass das was man macht.
00:29:08: Keine Bürokratie keine keine Gängelung kein Formalismus ist sondern dass man immer im Kopf hat warum man das tut
00:29:16: was man Gutes tun kann für die Rechte von Mitarbeitern von Kunden von Geschäftspartnern und dass man das mit Freude und Nachdruck macht
00:29:25: und da dass man da auch wirklich selbstbewusst und offen sie vorgeht ich wünsche mir viele Datenschutzbeauftragte die auf den Kontakt zu uns suchen zu den Aufsichtsbehörden um sich einfach auszutauschen um uns zu sagen die aus.
00:29:38: der eigenen Sicht
00:29:39: gute Wege gefunden werden können nicht im Sinne von dass die Aufsichtsbehörde allwissend ist und man dort immer alle Fragen beantwortet bekommt überhaupt nicht sondern dass man das Gespräch geht dass man auch mal
00:29:53: sich beschwert bei der Aufsichtsbehörde wenn wir
00:29:56: Position vertreten die unpraktikabel erscheinen also viel Kommunikation viel Selbstbewusstsein das wünsche ich mir von Datenschutzbeauftragten.
00:30:05: Ja das ist ein berechtigter und guter Wunsch und ich hoffe auch dass das viele ebenso erfüllen könnt die uns zuhören
00:30:16: von meiner Seite zum Schluss
00:30:18: Sehen Sie die Gefahr dass die Pflicht zur Benennung eines DSB in Zukunft noch weiter zurückgedrängt wird dass man also die mal ursprünglich auf diskutiert von diesen 20 auf 50 oder 100 geht das dann
00:30:31: dass sich weiter in die Richtung entwickelt oder versteht man dass es eine Milchmädchenrechnung ist
00:30:38: ich fürchte mal jetzt ist ein bisschen Druck aus dem Kessel durch die gesetzliche Änderungen und die war schwierig genug aber ich fürchte das Thema wird wieder auftauchen unser Hauptargument wird sein wir haben im BDSG höhere Anforderung als im Rest von Europa
00:30:53: und solange dieses Argument auf dem Tisch ist werden
00:30:56: bestimmte Kräfte aus der Wirtschaft heraus immer wieder auf einen angeblichen Wettbewerbsnachteil hindeuten ich fürchte also das Thema bleibt unterhalten vielleicht nicht mehr in dieser Legislaturperiode aber in der nächsten mit
00:31:10: einiger Wahrscheinlichkeit ja dann Herr Dr. Brink danke ich Ihnen sehr für ihre wirklich spannenden.
00:31:17: Statements und gebe zurück an Severin Putz.
00:31:22: Herzlichen Dank ja ich fand es sehr spannend lieber Herr Doktor Brink vielen Dank für Ihre Antworten da haben sie ganz konkrete und ja
00:31:32: greifbare Antworten gegeben für unsere unsere Hörer für unsere Leser.
00:31:39: Herzlichen Dank herzlichen Dank Oliver das Thema bleibt spannend und wir werden auch in unserer Zeitschrift und online weiter darüber berichten.
00:31:49: Liebe Hörer ich hoffe dass es Ihnen gefallen hat und dass sie auch zu unserer nächsten Podcast Folge wieder einschalten.
00:31:56: Wenn Sie Fragen zu dem Thema haben oder Vorschläge welche Fragen wir unseren spannenden Interviewpartnern stellen sollten bitte schreiben Sie uns.
00:32:05: Vielen Dank für Ihr Interesse und bis zur nächsten Folge von Datenschutzpraxis der Podcast.