DSGVO – externe Datenschutzbeauftragte, Rechtsanwälte und Versicherungsmakler – Teil 1
3. April 2018 | Constantin Behrschmidt
Am 25. Mai ist für viele Unternehmen ein wichtiger Stichtag. Denn ab dann sind die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) europaweit verbindlich anzuwenden. Gerade auf viele kleinere Betriebe, die bisher wenig Berührung mit dem Thema Datenschutz hatten, kommen damit neue Anforderungen zu. Vielfach wird sich erstmals die Notwendigkeit ergeben, einen Datenschutzbeauftragten zu bestellen.
Die DSGVO berührt auch Versicherungsmakler – und zwar in mehrfacher Hinsicht. Als „Unternehmer“ sind Makler unmittelbar selbst gefordert, strengeren Datenschutzvorschriften zu genügen. Gleichzeitig entsteht mit der Umsetzung der Verordnung zusätzlicher Versicherungsbedarf. Das erfordert nicht nur entsprechende Lösungen, sondern auch eine maßgeschneiderte Beratung. Für bestimmte typische Makler-Kunden eröffnet die DSGVO neue Möglichkeiten – zum Beispiel für Rechtsanwälte, denen sich zusätzliche Tätigkeitsfelder als externe Datenschutzbeauftragte eröffnen.
Auf diese verschiedenen Aspekte wollen wir in zwei Beiträgen näher eingehen.
Was die DSGVO bringt – ein (grober) Überblick
Ganz „taufrisch“ ist die DSGVO nicht, denn die Verordnung ist bereits Ende Mai 2016 in Kraft getreten. Sie hat die frühere „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ abgelöst und entfaltet – anders als die Richtlinie – unmittelbare Rechtswirkung in den EU-Mitgliedstaaten. In Deutschland sind die Vorgaben der DSGVO in ein neu gefasstes Bundesdatenschutzgesetz (BDSG) eingeflossen und ab 25. Mai 2018 verbindlich anzuwenden.
Im Zusammenhang mit den neuen Vorschriften sind vielfach Befürchtungen vor einem überbordenden Datenschutz mit zusätzlichem administrativem Aufwand geäußert worden. Dieser Eindruck ist nicht ganz falsch, allerdings betritt die DSGVO – zumindest in Deutschland – kein datenschutzrechtliches Neuland. Viele Vorgaben galten so oder so ähnlich auch schon im Rahmen des „alten“ BDSG.
Auf die einzelnen Regelungen im Detail kann hier nicht näher eingegangen werden. Vom Ansatz her erweitert die DSGVO die Informations- und Dokumentationspflichten im Zusammenhang mit der Sammlung personenbezogener Daten. Die Einwilligungserfordernisse werden ausgedehnt. Neue Datenschutz-Konzepte wie das „Recht auf Vergessen“ oder „Datensparsamkeit“ werden eingeführt. Es gibt wesentlich empfindlichere Bußgelder bei Datenschutzverstößen. Beim Datenschutz existiert keine „Grenze nach unten“ – auch viele Klein- und Kleinstbetriebe oder Selbständige müssen die Vorschriften einhalten.
Externe Datenschutzbeauftragte – noch mehr als bisher gefragt
Die Verpflichtung zur Bestellung von Datenschutzbeauftragten wird ebenfalls ausgedehnt. Bisher bestand die Bestellpflicht im Wesentlichen nur bei Betrieben mit mehr als neun „hauptamtlich“ Beschäftigten in der Datenverarbeitung und ansonsten – unabhängig davon – bei Unternehmen mit spezifischen Geschäftsmodellen im Datenbereich. Künftig sind auch Unternehmen dazu verpflichtet, deren Kerntätigkeit besonders umfangreiche und sensible Datenverarbeitung umfasst – das ist zumindest interpretationsfähig.
Grundsätzlich bestand schon bisher die Möglichkeit, die Datenschutzbeauftragung auch extern zu lösen. Diese Wahlmöglichkeit zwischen einem internen oder externen Datenschutzbeauftragten wird durch die DSGVO explizit festgeschrieben. Externe Datenschutzbeauftragte sind vor allem für kleine und mittlere Unternehmen eine kostengünstige und kostenflexible Lösung. Sie käme ein eigener hauptamtlicher interner Datenschutzbeauftragter „teuer zu stehen“.
Die Aufgabenstellung eines externen Datenschutzbeauftragten unterscheidet sich grundsätzlich nicht von der „internen Lösung“. Der Datenschutzbeauftragte ist für Errichtung und Aufrechterhaltung einer angemessenen Datenschutzorganisation im Unternehmen verantwortlich, u.a. durch Prüfungen, Verfahrensregelungen, Dokumentationen, Schulungen usw.. Das gelingt nur mit der nötigen Fachkunde und Zuverlässigkeit. Zum fachlichen Know How gehören umfassende datenschutzrechtliche Kenntnisse und grundlegende IT-Kenntnisse.
Ein „Geschäftsmodell“ für Rechtsanwälte
Mit der Erweiterung der Datenschutzpflichten für Unternehmen im Rahmen der DSGVO und der Notwendigkeit zur Bestellung von Datenschutzbeauftragten ergibt sich fast automatisch ein „Geschäftsmodell“ für externe Dienstleister als Outsourcing-Partner. Davon wurde und wird reichlich Gebrauch gemacht. Schon bisher sind auf Datenschutzbeauftragungen spezialisierte Unternehmen, aber auch Technische Prüforganisationen, DV-Beratungen oder Unternehmensberatungen in diesem Bereich aktiv.
Für auf Datenschutzrecht spezialisierte Rechtsanwälte bietet die Tätigkeit als externer Datenschutzbeauftragter ebenfalls ein zusätzliches Aufgabengebiet. Die Erweiterung liegt nahe, da sich in der Tätigkeit häufig Berührungspunkte zu anderen Rechtsgebieten (Arbeitsrecht, Wettbewerbsrecht, Telekommunikations- und Medienrecht usw.) ergeben. Die Grenzen von der Prüfung und Überwachung zur Beratung in datenschutzrechtlichen Fragen sind überdies fließend. Das bedeutet Chance und Herausforderung zugleich. Reines Know How im Datenschutzrecht genügt dabei nicht. Es sollte auch eine gewisse IT-Affinität und auch Wissen in diesem Bereich vorhanden sein.
Ein Rechtsanwalt als externer Datenschutzbeauftragter kann für ein Unternehmen einen echten Mehrwert bieten:
- mögliche interne Interessenkonflikte werden von vornherein vermieden;
- durch Ressourcen-Optimierung entstehen Kostenvorteile;
- die Kosten sind transparent und gut kalkulierbar;
- das Haftungsrisiko wird „externalisiert“;
- externe Datenschutzbeauftragte sind kündbar, intern ist das wesentlich schwieriger.
Ausblick auf den nächsten Beitrag
So interessant das Geschäftsmodell „externer Datenschutzbeauftragter“ für Rechtsanwälte ist, mit der Ausübung dieser Tätigkeit ist ein besonderes Haftungsrisiko verbunden, für das Absicherungsbedarf besteht. Mit dieser Thematik werden wir uns im nächsten Blog-Beitrag näher beschäftigen. Außerdem werden wir uns damit befassen, welche zusätzlichen „Leistungen“ beim Datenschutz Sie bei „Ihrem“ Versicherungsmakler im Zusammenhang mit der DSGVO erwarten dürfen.
Das könnte Sie auch interessieren:
Cyber-Versicherung im digitalen Zeitalter immer wichtiger
Wirksamer Cyber-Versicherungsschutz – im digitalen Zeitalter immer wichtiger Es vergeht kaum eine Woche, in der nicht von spektakulären Cyber-Angriffen berichtet […]
Berufshaftpflichtschutz in Berufsausübungsgesellschaften
Mindestanforderungen und ausreichende Deckung Vor nicht ganz zwei Jahren – am 1. August 2022 – ist die sogenannte große BRAO-Reform […]
Vergleiche und anwaltliche Beratungshaftung
Anwaltliche Beratungshaftung bei Vergleichen – ein wichtiges BGH-Urteil Im Rechtsleben kommt es häufig zu Vergleichen. Darunter werden vertragliche Vereinbarungen verstanden, […]