Die Bestellung eines Datenschutzbeauftragten, die Erfüllung des Hinweisgeberschutzgesetzes und die Absicherung gegen Cyberrisiken sind die drei großen Themen, die die Abteilungen für Datenschutz und -sicherheit aktuell auf Trab halten. Für große Organisationen in Wirtschaft und Staat lohnt es sich, eigene Ressourcen zur Bewältigung der genannten Aufgaben aufzubauen. Für KMU hingegen ist es oft sinnvoller, externe Dienstleister in Anspruch zu nehmen.

Datenschutzbeauftragte: intern, extern oder beides?

Die europäische Datenschutzgrundverordnung DSGVO stellt seit ihrem Inkrafttreten 2018 viele Unternehmen vor Fragen. Eine der ersten gilt der Entscheidung, ob ein Datenschutzbeauftragter bestellt werden muss oder soll. Die Antwort ergibt sich aus dem Bundesdatenschutzgesetz (BDSG). Gemäß Paragraf 38 Absatz 1 BDSG müssen Unternehmen, die mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten benennen. Ergänzend werden Fälle aufgeführt, in denen die Benennung unabhängig von der Beschäftigtenanzahl Pflicht ist, etwa wenn Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der Markt- und Meinungsforschung verarbeiten.

Was dabei oft in den Hintergrund gerät: Die Vorgaben der DSGVO müssen unabhängig von der Benennungspflicht nach BDSG immer erfüllt werden – und sie sind keineswegs trivial, sondern setzen ein gehöriges Maß an fachlicher Kompetenz voraus. Es kann daher sinnvoll sein, einen Datenschutzbeauftragten zu benennen, auch wenn gar keine gesetzliche Pflicht besteht. Zumindest ist die interne Verantwortlichkeit für die Umsetzung der DSGVO-Vorgaben zu regeln, andernfalls kann die fehlende Organisationsstruktur als Pflichtverletzung der Geschäftsführung gewertet werden.

Wird die Position des Datenschutzbeauftragten intern vergeben, berät die Person „nach oben“ zu datenschutzrechtlichen Themen und überwacht die Einhaltung der DSGVO-Vorgaben. Die dafür erforderliche fachliche Qualifikation muss aufgebaut und stetig auf dem neuesten Stand gehalten werden. Die gesamte Tätigkeit wird in den meisten Fällen den erheblichen Teil der Arbeitszeit der benannten Person einnehmen. Zu bedenken ist zudem, dass ein interner Datenschutzbeauftragter erweiterten Kündigungsschutz genießt.

Übernimmt hingegen ein externer Dienstleister die Position des Datenschutzbeauftragten, liegen fachliche Qualifikation und Weiterbildung, Ressourcenplanung, Beratungs- und Überwachungsaufgaben et cetera alleine in seiner Verantwortung. Arbeitgeber des Datenschutzbeauftragten ist der Dienstleister.

Gleichwohl kann die Aufgabe nicht vollständig delegiert werden. Die Pflicht zur Umsetzung der DSGVO-Vorgaben obliegt stets dem Unternehmen, nicht dem Datenschutzbeauftragten. Es braucht daher einen internen Verantwortlichen, der die entsprechenden Maßnahmen koordiniert. Der externe Dienstleister unterstützt die Aufgabe, vermittelt das erforderliche Fachwissen und bietet maßgeschneiderte Schulungen an. Die Kombination aus interner Datenschutzkoordination und externer Expertise wird in vielen Fällen das schnellste, wirtschaftlichste und fachlich qualifizierteste Ergebnis erzielen.

Pflichten aus dem Hinweisgeberschutzgesetz

Mit dem Hinweisgeberschutzgesetz (HinSchG) hat der deutsche Gesetzgeber 2023 die Hinweisgeberrichtlinie der EU in nationales Recht umgesetzt. Ziel ist der Schutz von Angestellten, die mögliche Vergehen ihres Arbeitgebers aufdecken. Mitarbeiter sind typischerweise die ersten, die Umstände wie Geldwäsche, illegale Beschäftigung, regelwidrige Absprachen et cetera entdecken. Diese „Whistleblower“ haben gegebenenfalls Repressionen zu befürchten, entweder durch den aktuellen oder ehemaligen Arbeitgeber, oder sie müssen mit Vorbehalten kämpfen, wenn sie sich auf eine neue Stelle bewerben.

Dabei übernehmen Hinweisgeber Verantwortung für die Gesellschaft. Durch das neue Gesetz sind sie nun besser vor Nachteilen geschützt. In der praktischen Umsetzung sieht es vor, dass Organisationen mit 50 oder mehr Mitarbeitern verpflichtet sind, eine sogenannte „interne Meldestelle“ einzurichten. Unabhängig von der Mitarbeiterzahl besteht diese Pflicht zudem für etliche Firmen aus der Finanz- und Versicherungsbranche, zum Beispiel für Wertpapierdienstleistungsunternehmen, Börsenträger oder Kapitalverwaltungsgesellschaften.

Hinweise auf Rechtsverstöße, die der internen Meldestelle postalisch, telefonisch, elektronisch oder über andere Kanäle zukommen, müssen von ihr bearbeitet oder an zuständige Stellen weitergeleitet werden. Wichtig ist, dass die Hinweise unter Wahrung der Anonymität des Whistleblowers eingehen können.

Diese Anonymität zu gewährleisten und zudem Interessenkonflikte zu vermeiden, kann Unternehmen stark fordern. Einerseits muss eine isolierbare IT-Infrastruktur für die Bearbeitung eingehender Meldungen geschaffen werden. Außerdem ist – zum Beispiel durch einen Zuweisungsmechanismus – dafür zu sorgen, dass Mitarbeiter der internen Meldestelle nur Hinweise auf Vorgänge bearbeiten, an denen sie selbst nicht beteiligt sind und somit kein Interessenkonflikt besteht.

Alle Mitarbeiter, die Meldungen nach dem HinSchG entgegennehmen, müssen zudem hinreichend geschult werden. Mit der Tätigkeit in der internen Meldestelle gehen sie Vertraulichkeitsverpflichtungen ein, die persönliche Haftungen auslösen können.

Häufig kann es daher eine attraktive Lösung sein, die interne Meldestelle an einen externen Dienstleister zu delegieren. Das ist möglich, da es sich weiterhin um eine Maßnahme handelt, die vom Unternehmen selbst verantwortet wird. Der externe Dienstleister aber bietet einen Meldekanal an, der über eine von der IT-Infrastruktur des Auftraggebers unabhängige Software läuft. Die Anonymität des Hinweisgebers ist somit sichergestellt.

Zum anderen bearbeiten Fachkräfte die Meldungen, die nicht Teil der Belegschaft oder von Geschäftsprozessen sind. Interessenkonflikte sind damit praktisch vollständig ausgeschlossen, was sich positiv niederschlägt im Vertrauen, das Hinweisgeber der Meldeinstanz entgegenbringen.

Bei Auslagerung müssen Unternehmen zudem weder eigene Ressourcen einplanen noch ihre Fachkräfte selbst qualifizieren lassen.

Basis-Check für kleine und kleinste Unternehmen

Mit fortschreitender Digitalisierung, mit dem Einsatz mobiler Endgeräte und der Möglichkeit, remote zu arbeiten, stehen Unternehmer verstärkt vor der Frage, wie es um den Schutz ihrer IT-Infrastruktur, von Servern und Endgeräten sowie der darauf gespeicherten Daten steht. Denn obwohl in der Öffentlichkeit über Cyberattacken meist nur gesprochen wird, wenn große Unternehmen und staatliche Organisationen angegriffen wurden, trifft Ransomware, CEO-Fraud, Hacking oder Social Engineering auch kleine und sogar kleinste Unternehmen (KKU).

Bei vielen von ihnen sind jedoch weder das Wissen noch die Mittel vorhanden, sich gegen diese Gefahren zu wappnen. Gerade Ärzte, Steuerberater, Rechtsanwälte, Finanzberater, Versicherungsmakler und andere, deren Tätigkeit die Pflicht zur Geheimhaltung einschließt, sollten sich fragen, wie ihre Daten weiterhin geheim und geschützt sein können, gegen versehentliche Löschung oder beabsichtigte Fälschung abgesichert sind und welche Maßnahmen erforderlich sind, um ein angemessenes Schutzniveau zu erreichen.

Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik hat das Bundesministerium für Wirtschaft und Klimaschutz daher ein Verfahren entworfen, das KKU bis zu 50 Mitarbeitern die Überprüfung ihres Informationssicherheitsrisiko ermöglichen soll. Der sogenannte CyberRisikoCheck stuft es anhand von bis zu 54 Fragen aus sechs Themenbereichen objektiv ein.

Der Check kann mit geringer externer Unterstützung durchgeführt werden. Empfehlenswert ist, dass KKU sich von einem Spezialisten in Form eines Interviews durch die Fragen führen lassen. Die Tätigkeit des Beraters ist gemäß DIN SPEC 27076 geregelt, sollte nicht mehr als einen Tag in Anspruch nehmen und beinhaltet neben der Durchführung der Prüfung auch ihre Auswertung, das Formulieren von Handlungsempfehlungen sowie die Information, welche staatlichen Fördermittel für weiterführende Maßnahmen beantragt werden können.

Nach dem CyberRisikoCheck können KKU objektiv einschätzen, ob sie die Mindestanforderungen an Informationssicherheit einhalten – als Voraussetzung, um diese strukturiert weiter auszubauen.

Pragmatische Lösungen von Praktikern des Datenschutzes

Verlässlicher Partner bei allen drei oben diskutierten Themen ist die Deutsche Datenschutz Consult GmbH (DDSC). Die Gesellschaft aus Hamburg ist spezialisiert auf Datenschutz und Datensicherheit von kleinen und mittleren Unternehmen. Seit vielen Jahren unterstützen die Experten Firmen in ganz Deutschland durch Bereitstellung eines Datenschutzbeauftragten, die Einrichtung einer „externen internen“ Meldestelle und die moderierte Durchführung des CyberRisikoChecks.

Um die Kosten für kleine Unternehmen und Mittelständler erschwinglich zu gestalten, entwickelte DDSC eine eigene Datenschutz-Management-Plattform. Das Portal leitet Nutzer zur Dokumentation ihrer Datenschutzmaßnahmen an, enthält Vorlagen zur Erstellung von Dokumenten, erläutert in Erklärvideos die wichtigsten Themen in einer Sprache, die auch Nicht-Juristen verstehen und stellt im E-Learning-Bereich Onlinekurse zur Schulung der Mitarbeiter zur Verfügung. Viele Prozesse, die sonst teure Berater erfordern, liegen bei DDSC automatisiert, schnell und kostengünstig vor.

Nichtsdestotrotz steht das Team aus Volljuristen, IT-Experten und Betriebswirten – allesamt durch TÜV oder DEKRA zertifizierte Datenschutzexperten – bei jedweden Fragen gerne persönlich beratend zur Seite. Ihre Leistung kann bereits ab 200 Euro pro Monat gebucht werden.