Am 25. Mai 2018 trat die neue
europäische Verordnung zum Schutz personenbezogener Daten (im Folgenden: DSGVO - Allgemeine Datenschutzverordnung) in Kraft. Diese Verordnung ist für ihre extraterritoriale Wirkung bekannt: Sie ist in allen EU-Ländern obligatorisch und erstreckt sich unter bestimmten Bedingungen auf außereuropäische Unternehmen oder zwingt sie, ihre Aktivitäten an die Anforderungen der DSGVO anzupassen, um ihren europäischen Partner nicht zu verlieren. Folglich kann das russische Geschäft auch von einem neuen Gesetz betroffen sein, dessen allgemeine Analyse
hier verfügbar
ist . Die DSGVO stärkt das zuvor festgelegte System zum Schutz personenbezogener Daten und führt neue Verpflichtungen für Organisationen ein, die solche Daten verarbeiten.
Mit der Verordnung wurde insbesondere der bereits bestehende, für den Datenschutz zuständige Beruf (im Folgenden: Datenschutzbeauftragter) modernisiert. Dieser Beitrag war auch in der
Rahmenrichtlinie von 1995 vorgesehen , die durch einen neuen Text ersetzt wurde. Frühere Gesetze regelten die Aktivitäten eines solchen Spezialisten, bestanden jedoch nicht unbedingt auf seiner Ernennung.
Wann sollte DPO verschrieben werden?
Heute, im Zeitalter der DSGVO, ist die Ernennung eines Datenschutzbeauftragten in folgenden Fällen obligatorisch geworden (
Artikel 37 der DSGVO ):
- In Unternehmen, die systematisch und regelmäßig eine umfassende Überwachung von Personen durchführen (meistens handelt es sich um eine Überwachung zum Zweck der kontextbezogenen Werbung);
- In Unternehmen, die spezielle Kategorien personenbezogener Daten wie Gesundheitsdaten usw. in großem Umfang verarbeiten;
- In allen Behörden, die personenbezogene Daten verarbeiten.
In allen anderen Fällen bleibt die Ernennung des Datenschutzbeauftragten freiwillig. Dennoch fordern die europäischen Regulierungsbehörden einstimmig, einen solchen Spezialisten nicht zu vernachlässigen und die Befugnis zum Schutz personenbezogener Daten an einen Fachmann auf diesem Gebiet zu delegieren.
Eine solche Neuerung des europäischen Gesetzgebers lässt sich leicht durch die Philosophie der Verordnung selbst erklären: ein verbessertes Datenschutzsystem; erhöhte Verantwortung der Datenverarbeiter; enorme Sanktionen im Falle eines Verstoßes gegen die Bestimmungen der DSGVO. Um ihre Aktivitäten an die neuen Anforderungen anzupassen, benötigen Unternehmen die Unterstützung hochspezialisierter Spezialisten.
Defizit auf dem DPO-Dienstleistungsmarkt
Zwar haben die Parlamentarier die Tatsache nicht berücksichtigt oder einfach ignoriert, dass der derzeitige Markt für Datenschutzdienste nicht bereit ist, einem solchen Zustrom neuer Kunden standzuhalten, die gezwungen sind, Datenschutzbeauftragte einzustellen. Trotz der Tatsache, dass dieser Beruf seit mehr als einem Tag besteht, lässt die Anzahl der Fachkräfte auch auf dem europäischen Markt zu wünschen übrig. Nach
Untersuchungen der IAPP (International Association of Privacy Professionals) sollten 2018 nur in der EU und in den USA 28.000 Spezialisten eingestellt werden. Und auf der ganzen Welt wächst diese Zahl auf 75.000.
Offensichtlich kann eine solche Forderung nicht ausschließlich von internen Fachleuten (internen Mitarbeitern von Unternehmen) befriedigt werden. In diesem Zusammenhang wenden sich viele Unternehmen an externe Beratungsunternehmen, die DPO-Dienstleistungen anbieten. Für kleine und mittlere Unternehmen kann dies beispielsweise viel einfacher sein als die Einstellung eines neuen Mitarbeiters. In jedem Fall hat der externe oder interne Status fast keine Auswirkungen auf die Aktivitäten des Datenschutzbeauftragten.
DPO - Anwalt oder IT-Spezialist?
Zunächst müssen Sie verstehen, dass der Datenschutzbeauftragte über juristische Kenntnisse verfügen muss. Diese Schlussfolgerung ergibt sich unmittelbar aus
Artikel 39 der Europäischen Verordnung, in dem die Aufgaben und Aufgaben des Datenschutzbeauftragten aufgeführt sind. In größerem Umfang ist dies natürlich ein Anwalt. Darüber hinaus muss es sich um einen Anwalt handeln, der über starke Managementfähigkeiten und angemessenes technisches Fachwissen verfügt, dh um einen Manager.
Weniger häufig wird die Rolle des Datenschutzbeauftragten von Spezialisten auf dem Gebiet der Informationstechnologie gespielt, die nur grundlegende Vorstellungen vom Gesetz haben. Diese Situation ist zwar typisch für westliche Länder. Auf dem heimischen Markt zum Schutz personenbezogener Daten dominieren IT-Spezialisten und überhaupt keine Anwälte. Die bereits in Kraft getretene DSGVO sollte den Juristen in Russland, genauer gesagt den Fachjuristen, den Ausschlag geben.
Auf die eine oder andere Weise ziehen es große Unternehmen natürlich vor, einige Spezialisten einzustellen, um die IT-Sicherheit zu gewährleisten, und andere für personenbezogene Daten. Kleine und mittlere Unternehmen versuchen, sich für einen Mitarbeiter zu entscheiden, der in beiden Bereichen kompetent ist.
Warum passiert das? Die Antwort liegt an der Oberfläche: Die DSGVO hat zu viele Verantwortlichkeiten für Unternehmen.
Einerseits ist es notwendig, die Sicherheit personenbezogener Daten zu gewährleisten, um im Falle einer Leckage korrekt reagieren zu können. Dies wird normalerweise von IT-Mitarbeitern durchgeführt. Andererseits ist es notwendig, Vereinbarungen zu schließen, die rechtlich den Anforderungen der Verordnung entsprechen, speziell bereitgestellte Register zu führen, die Aufsichtsbehörden zu kontaktieren und andere „Papier“ -Pflichten zu erfüllen. Und Anwälte, manchmal sogar Manager, sind normalerweise daran beteiligt.
Ein guter Spezialist auf dem Gebiet der personenbezogenen Daten ist daher eine Mischung aus all diesen Berufen.
Was macht DPO?
In Bezug auf den Umfang des Datenschutzbeauftragten wird ein solcher Mitarbeiter alles Notwendige tun, damit das Unternehmen die europäischen Vorschriften und sonstigen Rechtsvorschriften im Bereich des Schutzes personenbezogener Daten vollständig einhält und somit größere Sanktionen sowie vertragliche Risiken mit Partnern vermeidet.
Der Datenschutzbeauftragte führt eine allgemeine Prüfung der Aktivität durch, identifiziert alle vom Unternehmen verarbeiteten Kategorien personenbezogener Daten, schlägt Maßnahmen zur Gewährleistung ihrer Sicherheit vor sowie eine allgemeine Entwicklungsstrategie für die rechtmäßige Verwendung von Daten. Er wird bei Bedarf auch mit dem Vorgesetzten verhandeln. Es wird auch helfen, auf die Anfragen von Personen, deren Daten vom Unternehmen verarbeitet werden, richtig zu reagieren. Im Allgemeinen fällt fast alles, was mit personenbezogenen Daten zu tun hat, unter den Schutzbereich des Datenschutzbeauftragten.
Sollte ein solcher Mitarbeiter im Zeitalter der DSGVO sowie inmitten großer Skandale mit dem Verlust personenbezogener Daten vernachlässigt werden, liegt es an den Unternehmen selbst. Dies ist jedoch wiederum nur für diejenigen erforderlich, die nicht direkt für die Ernennung eines Datenschutzbeauftragten verantwortlich sind.
Merkmale der Bereitstellung von DPO-Diensten
Wenn eine Organisation über die Einstellung von Datenschutzbeauftragten nachdenkt, ist es wichtig zu verstehen, dass es in diesem Bereich zwei Haupttypen von Dienstleistungen gibt: die oben genannten internen und Beratungsleistungen. Im ersten Fall wird der Mitarbeiter im Rahmen eines Arbeitsvertrags eingestellt, im zweiten Fall erbringt ein externes Beratungsunternehmen DPO-Dienstleistungen im Rahmen eines zivilrechtlichen Vertrags. Unabhängig von der gewählten Option bleibt das Unternehmen selbst die rechtlich verantwortliche Person. In keinem Fall haftet DPO für die Nichteinhaltung von DSGVO-Bestimmungen durch das Unternehmen.
Darüber hinaus sieht die europäische Verordnung strikt die vollständige Unabhängigkeit eines Spezialisten für den Schutz personenbezogener Daten vor. Im internen Fall kann der Datenschutzbeauftragte nur gegenüber der Person rechenschaftspflichtig sein, die die höchste Position in der Hierarchie innehat. Bei externer Beratung sollte sich der Datenschutzbeauftragte nicht in einer Interessenkonfliktsituation befinden, was häufig der Fall ist, wenn es sich beispielsweise um einen Anwalt handelt.
In jedem Fall werden Interessenkonflikte und die Unabhängigkeit des Datenschutzbeauftragten immer vom Vorgesetzten im Bereich des Schutzes personenbezogener Daten überprüft. Dies ist ein obligatorischer Prozess, und jede DPO-Zuweisung muss der Aufsichtsbehörde gemeldet werden. Mit anderen Worten, jedes Mal, wenn ein Datenschutzbeauftragter ernannt wird, muss der Vorgesetzte darüber informiert werden.
Weitere
Informationen zu den verschiedenen Feinheiten im Zusammenhang mit der Ernennung von Datenschutzbeauftragten, sowohl obligatorisch als auch optional, sowie zu deren Funktionen und Aufgaben finden Sie in der
Richtlinie der
WP29-Arbeitsgruppe . Diese Organisation existierte im Zeitalter der Rahmenrichtlinie von 1995, und ihre Hauptaufgabe bestand darin, die Rechtsvorschriften im Bereich des Schutzes personenbezogener Daten auszulegen. Mit dem Inkrafttreten der DSGVO wurde die Arbeitsgruppe
durch das Europäische Datenschutzgremium ersetzt, aber die Arbeit von WP29 hat ihre Bedeutung nicht verloren.
Ein paar Einblicke in den Beruf des Datenschutzbeauftragten
Es ist heute völlig unverständlich, welchen Hintergrund ein Arbeitssuchender für einen Datenschutzbeauftragten in Russland haben sollte. Bildungseinrichtungen bieten fast keine speziellen Programme im Bereich des digitalen Rechts oder des Schutzes personenbezogener Daten an. Natürlich ist die Nachfrage auf dem Inlandsmarkt um ein Vielfaches geringer als auf dem europäischen, aber nicht genug, um eine solche Lücke zu rechtfertigen. Große juristische Fakultäten beginnen gerade mit der Einführung spezieller IT-Kurse.
Viele internationale Organisationen bieten seit langem verschiedene Zertifizierungsmethoden an. Zum Beispiel bietet das oben genannte
IAPP einen Vorbereitungskurs zur DSGVO an und zertifiziert diejenigen, die die Prüfung erfolgreich bestehen. Dieser Kurs ist für alle Teilnehmer zugänglich und die IAPP-Akkreditierung wird auf der ganzen Welt sehr geschätzt.
Was die Rentabilität des Berufs betrifft, so verdient der durchschnittliche Datenschutzbeauftragte in Europa zwischen 2,5.000 und 4.000 Euro, wenn Sie beispielsweise der französischen Vereinigung der für den Schutz personenbezogener Daten Verantwortlichen glauben. Dieser Stecker entspricht in etwa dem Durchschnittseinkommen eines europäischen Programmierers. Zusammenfassend können wir eine ungefähre Gleichheit zwischen den Einkommen dieser beiden Berufe auf dem Inlandsmarkt erwarten.
Zusammenfassend muss betont werden, dass der Datenschutzbeauftragte ein junger Beruf ist, der dank des Inkrafttretens der neuen europäischen DSGVO-Verordnung einen erheblichen Entwicklungsimpuls erhalten hat. Der Schutz personenbezogener Daten in der DSGVO ist heute ein wissenschaftlicher Trend, auf den Unternehmen auf der ganzen Welt achten sollten, nicht nur in Europa. Eine uneingeschränkte Zusammenarbeit mit europäischen Partnern wird bald nur möglich sein, wenn die DSGVO eingehalten wird, was zumindest ohne die Integration des Datenschutzbeauftragten in den Beratungsdienstleistungssektor schwer vorstellbar ist.
