Sommer-Sonne-Datenschutz: Der Datenschutz macht keine Ferien

Jede Firma, die nach den Vorschriften der DSGVO dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, muss auch daran denken, was passiert, wenn dieser krank ist oder Urlaub hat. Denn der Datenschutz macht keine Ferien. Doch was ist in diesen Fällen zu tun? Und warum ist es so wichtig, dass jemand erreichbar sein muss?

Regelung der Urlaubsvertretung

Bei jedem Arbeitsplatz wird grundsätzlich darauf geachtet, dass während des Urlaubs eine Vertretung rechtzeitig über die aktuell offenen Fälle oder wichtigen Termine informiert wird. Dann erfolgt eine offizielle Übergabe. Diese kann in jedem Betrieb, abhängig von der Größe anders aussehen. Normalerweise können sich zwei Sachbearbeiter in derselben Abteilung leicht vertreten. Sie bekommen meist die laufenden Fälle des jeweiligen Gegenübers ohnehin mit und sind im Team über Schwierigkeiten informiert. Viele Firmen handhaben es so, dass jeder Sachbearbeiter im Urlaub- und Krankheitsfall eine feste Vertretung hat, sodass der Betrieb flüssig weiterlaufen kann. Dies ist auch im Fall des Datenschutzbeauftragten ratsam.

Vertretung des Datenschutzbeauftragten

Der Datenschutzbeauftragte kann leider nicht so leicht durch einen beliebigen Kollegen ersetzt werden, denn für diesen Posten dürfen nur Personen mit dem notwendigen Fachwissen bestellt werden.

Laut Art. 37 Abs. 5 DSGVO muss der Datenschutzbeauftragte einige wichtige Eigenschaften besitzen, damit er für die Aufgabe bestellt werden kann. Er braucht die berufliche Qualifikation, das notwendige Fachwissen im Datenschutzrecht sowie in der Datenschutzpraxis und er muss die notwendigen Fähigkeiten zur Erfüllung aller ihm zugedachten Aufgaben mitbringen.

Der Stellvertreter muss also über exakt dasselbe Profil verfügen. In vielen Firmen, besonders in kleinen Firmen, ist es schwer, bei nur wenigen Mitarbeitern gleich zwei zu finden, die über ein derartiges Fachwissen verfügen, daher greifen diese Firmen häufig darauf zurück, einen externen Datenschutzbeauftragten einzustellen. Diese professionellen Unternehmen verfügen über eine Vielzahl kompetenter Mitarbeiter und können einen solchen Urlaubs- oder Krankheitsausfall schnell abfangen.

Warum nicht das Problem erst nach dem Urlaub regeln?

Im Falle einer Beschwerde, weil ein Betroffener erkennt, dass mit seinen Daten etwas nicht stimmt, steht ihm das Recht auf eine unverzügliche Abhilfe durch den Verantwortlichen zu. Jeder Betroffene muss also den Datenschutzbeauftragten sofort erreichen können, um sein Problem vorzutragen und es regeln zu lassen. Dazu gehören beispielsweise:

  • Artikel 16 – Recht auf Berichtigung von unrichtigen personenbezogenen Daten
  • Artikel 17 – Recht auf Löschung personenbezogener Daten

Außerdem haben die Betroffenen nach Artikel 77 auch das Recht auf Beschwerde bei einer Aufsichtsbehörde. Viele werden aber nicht mit Kanonen auf Spatzen schießen und zunächst versuchen, das Problem direkt zu klären. Es wäre daher ungünstig, wenn in der Firma niemand erreichbar ist und die Betroffenen direkt über die Behörden vorgehen. Die Beschwerde kann nämlich problemlos über die zuständigen Behörden des jeweiligen Bundeslandes online veranlasst werden.

Was ist zu tun, wenn es zu einer Beschwerde kommt?

Da Beschwerden sofort bearbeitet werden müssen und die Daten unverzüglich zu berichtigen oder zu löschen sind, wenn sich die betroffene Person meldet, ist ein Stellvertreter unumgänglich. Nach Eingang der Beschwerde zeigt sich die Kompetenz in der Abwicklung und die ist unter Umständen während der Urlaubszeit erschwert. Denn wenn eine Firma nur halb besetzt ist oder möglicherweise sogar während der Betriebsferien komplett geschlossen ist, sind andere relevante Stellen, beispielsweise in der IT, auch nicht wie gewohnt erreichbar. Für solche Fälle muss im Betrieb daher ein Ablaufplan vorliegen, aus dem der Prozess ersichtlich ist, nach dem die Firma vorgehen muss. Für die Urlaubszeit muss in den Prozessablauf der Vertretungsplan integriert sein. So ist klar, wer zu kontaktieren ist, wenn Daten auf dem Server gelöscht oder berichtigt werden müssen oder in welchem Archiv welche Backups geprüft und gelöscht werden sollen.

Mangels gesetzlicher Vorschrift: Handlungstipps für die Praxis

In der DSGVO ist kein genauer Ablauf vorgeschrieben und es ist nicht geregelt, wie ein Unternehmen den Urlaubs- oder Krankenausfall zu regeln hat. Doch in der Praxis haben sich hierfür verschiedene hilfreiche Vorgehensweisen herauskristallisiert. Auch wenn ein Stellvertreter nicht im Gesetz vorgeschrieben ist, ist er die einfachste und naheliegendste Lösung. Entweder muss die Firma den Datenschutzbeauftragten und den Stellvertreter gleichermaßen schulen oder beide extern von einem qualifizierten Dienstleistungsunternehmen oder den eines Zweigwerkes rekrutieren. Ein Stellvertreter aus einem Zweigwerk hat den Vorteil, dass er sich im Unternehmen und dem verwendeten Computersystem sowie in vielen Abläufen bereits auskennt. Dadurch lassen sich Kosten bei der Einarbeitung reduzieren. Außerdem werden interne und vertrauliche Infos viel lieber an eigene Konzernangehörige weitergegeben als an Fremde. Andererseits kann nicht einfach ausgerechnet in der Urlaubszeit ein Datenschutzbeauftragter aus einem anderen Werk abgezogen werden. Zudem könnte dieses Zweigwerk auch weit entfernt sein und dieser Stellvertreter hat gar nicht die Möglichkeit, flexibel an mehreren Orten gleichzeitig nach dem Rechten zu sehen.

Wie gehst du am besten bei einer Beschwerde vor?

Der wichtigste Punkt für dich ist, dass du auf eine Beschwerde umgehend antworten musst. Wenn also eine Beschwerde eingeht, dann gibt dem Beschwerdeführer bitte sofort Bescheid, dass du seine Nachricht erhalten hast und du oder eine zuständige Person sich sofort um sein Anliegen kümmern wird. Weitere Informationen brauchst du zu diesem Zeitpunkt noch nicht übermitteln. Wenn die Beschwerde bei einer Urlaubsvertretung eingeht, die sich nicht gut mit dem Thema auskennt, dann ist es wichtig, dass sie zumindest verantwortungsbewusst und vertrauenswürdig ist und sich mit den Unterlagen des Datenschutzbeauftragten auskennt. Das bedeutet, dass sie regelmäßig seine Post und E-Mails prüft und weiß, wie sie im Notfall schnell an alle relevanten Informationen kommt und wo sich beispielsweise eine Liste für die wichtigen Ansprechpartner befindet.

Bearbeitungszeit

Gemäß Art. 12 Abs. 3 DSGVO hast du einen ganzen Monat Zeit, um den Betroffenen zu benachrichtigen. Das hört sich recht lange an. Aber da die Beschwerde einen ordentlichen Ablauf erfordert und viele Informationen bereitgestellt oder überprüft werden müssen sowie Löschungen oder Korrekturen vorzunehmen sind, ist sie durchaus angemessen. Und wenn eine Vertretungskraft es erledigen muss, die sich eigentlich nicht oder nicht gut auskennt, dann ist diese Zeitspanne genaugenommen zu kurz bemessen.

Öffentliche Information der Betroffenen

Wenn die Beschwerde nicht einen Einzelfall betrifft, sondern einen massiven Datenverlust, der mit großen Risiken verbunden ist – also beispielsweise einen unbefugten Zugang oder unbefugte Veröffentlichungen – dann musst du die Betroffenen sogar öffentlich über die Presse oder auf andere geeignete Weise informieren.

Die Aufsichtsbehörde einschalten

Außerdem musst du dann sofort der Aufsichtsbehörde Bescheid geben. Da kannst du aber nicht nur sagen, dass es einen Vorfall gegeben hat, sondern du musst die Behörde ausführlich über den Fall informieren. Dazu gehört auch, dass du die Hintergründe erläuterst und die Gegenmaßnahmen erklärst. Auch dafür benötigst du im Normalfall wegen der Vielzahl der notwendigen Daten Zeit. Und die wenigsten Unternehmen sind auf einen solchen massiven Problemfall vorbereitet, schon gar nicht eine Urlaubsvertretung, die ansonsten wenig mit dem Thema zu tun hat.

Auch deshalb ist es ein großer Vorteil, wenn du dich von einem externen Dienstleister unterstützen lässt, der große Erfahrung in diesem Bereich mitbringt und genau weiß, was zu tun ist. Diese Vorteile erklären wir dir im nächsten Abschnitt ausführlicher.

Vorteile externer Unterstützung

Damit gewährleistet ist, dass das ganze Jahr über ein kompetenter Ansprechpartner zur Verfügung steht, der Beschwerden umgehend korrekt bearbeitet, hat sich ein externer Dienstleister als beste Lösung herauskristallisiert. Besonders während der Urlaubszeit zeigt diese Lösung ihre Stärken. Und Urlaubszeit ist nicht nur im Sommer, sondern auch an Feiertagen wie Ostern oder natürlich an Weihnachten.

Spezialisten vertreten Spezialisten

Gerade wir bei WB Trade-IT haben Spezialisten auf jedem Gebiet, die in allen Unternehmensbereichen eingesetzt werden können. Eine vertrauensvolle und langfristig angelegte Zusammenarbeit ergibt das notwendige Fachwissen auf dem Gebiet und wichtige Kenntnisse der Strukturen innerhalb der zu betreuenden Firma.

DSGVO ist Routine

Während in einem Industriebetrieb die neuen Anforderungen der DSGVO noch ungewohnt sind und eventuell Schwierigkeiten bei der Umsetzung auftreten können, ist es für WB Trade-IT tägliche Routine.

Ständige Erreichbarkeit

Auch wir und unsere Experten brauchen einmal Urlaub. Doch während der Urlaubszeit kommt es zu keinerlei Einschränkungen oder Verzögerungen, da alle Experten auf demselben Stand sind und durch routinierte Prozesse und durchdachte Vertretungspläne jederzeit erreichbar sind.

Detaillierte Absprache mit dem Kunden

Unsere Leistungen und Vertretungsmöglichkeiten sowie die notwendige Bestellung legen wir im Einzelfall nach den individuellen Bedürfnissen des Kunden fest. Denn je nach Firmengröße und Branche oder eventuellen Sonderwünschen sollten unterschiedliche Punkte auch im Sinne der Endkunden besprochen werden.

Individuelle Beratung

Gerne erklären wir dir in einem persönlichen Gespräch alle unsere Möglichkeiten. Und selbstverständlich unterstützen wir unsere Kunden nicht nur bei allen Fragen rund um die Einführung der DSGVO, sondern auch in allen anderen Unternehmensbereichen.