Datenschutzexperte Ioannis Dimas "Datenschutz ist Chefsache"

Ioannis Dimas Foto: Thomas Küppers

Die Uhr für das neue Datenschutzrecht tickt. Zeit, die Abläufe im Unternehmen und speziell im Fuhrpark auf Vordermann zu bringen. Datenschutzexperte Ioannis Dimas erklärt, worauf es ankommt.

Herr Dimas, am 25. Mai 2018 wird die Europäische Datenschutzverordnung (EU-DSGVO) wirksam. Stehen die Fuhrparkverantwortlichen bei Ihnen schon Schlange, um sich fit zu machen?

Der Beratungsbedarf in den Unternehmen ist riesig. Viele Fuhrparkleiter haben das Thema Datenschutz bislang eher bei den Autoherstellern gesehen. Alleine schon weil die Nutzung eines Dienstfahrzeugs jede Menge Daten erzeugt, ist der Datenschutz aber ebenfalls Angelegenheit der Fuhrparkmanager. Mit der neuen Datenschutzverordnung rücken nun zudem die Rechte der Mitarbeiter im Unternehmen stärker in den Fokus.

Was bedeutet das konkret für einen Fuhrpark?

Jeder Dienstwagennutzer ist in der Regel mit seinen Daten über mehrere Schnittstellen mit diversen Abteilungen des Unternehmens verbunden. Das kann die Buchhaltung sein, die Personalabteilung oder eben der Fuhrpark. Hier wie dort sind persönliche Daten wie Name, Adresse, Führerschein- und Bankdaten im Spiel. Das bedeutet, Datenschutz ist nicht nur eine Aufgabe für den Fuhrpark allein, sondern eine Querschnittsaufgabe für das ganze Unternehmen.

Ioannis Dimas Foto: Thomas Küppers
Datenschutzexperte Ioannis Dimas: "Datenschutz betrifft den kleinen Gewerbebetrieb ebenso wie das große Industrieunternehmen."
Wie stellen sich in diesem Fall die Verantwortlichkeiten dar?

Die Unternehmensleitung trägt die Gesamtverantwortung. Sie ist für die Umsetzung der Pflichten und Anforderungen aus der Datenschutzgrundverordnung verantwortlich. Sie muss unter anderem eine Organisationsstruktur für den Datenschutz einrichten und sicherstellen, dass die datenschutzrelevanten Unternehmensprozesse korrekt überwacht werden. Zuständig sind aber auch die Leiter der Fachabteilungen und die Mitarbeiter selbst. Die Mitarbeiter stehen zum Beispiel in der Pflicht, sich mit den Regelungen und Vorschriften in Sachen Datenschutz vertraut zu machen und diese auch zu beachten.

Welche Aufgaben kommen auf einen Fuhrparkleiter zu?

In den Fuhrparks gibt es in der Regel jede Menge Prozesse und Aufgaben, bei denen Daten der Dienstwagennutzer verarbeitet werden. Der Abteilungsleiter übernimmt die Prozessverantwortung für den Datenschutz. Dazu gehören etwa die Dokumentation, die Identifizierung von Schnittstellen und die Verwaltung von Einwilligungen und Nachweisen der Dienstwagennutzer. Außerdem muss der Fuhrparkleiter Betroffenenrechte sicherstellen sowie Transparenz- und Informationspflichten erfüllen.

Welche Rolle spielt die Größe eines Unternehmens?

Datenschutz betrifft den kleinen Gewerbe­betrieb ebenso wie das große Industrieunternehmen. Spielraum gibt’s in der Frage, ob der Betrieb dazu verpflichtet ist, einen Datenschutzbeauftragten zu ernennen. Diese Position ist zu besetzen, wenn in einem Unternehmen mehr als neun Menschen regelmäßig mit der elektronischen Verarbeitung von Per­so­nen­daten beschäftigt sind.

Ein Handwerksbetrieb bräuchte demnach keinen Datenschutzbeauftragten?

Mit dieser Vorgabe sind alle Mitarbeiter gemeint, die de facto mit Personendaten arbeiten. Das kann der Geschäftsführer sein, die Chefsekretärin, die Mitarbeiter aus der Buchhaltung oder das Fuhrparkmanagement. Dabei spielt es keine Rolle, ob die Mitarbeiter fest angestellt sind oder nur als Teilzeitkraft ihrem Job nachgehen. Am Ende zählen die Köpfe, was bedeutet, dass auch in einem kleineren Unternehmen ein Beauftragter für den Datenschutz erforderlich sein kann. Selbst wenn das nicht der Fall ist, kommt ein Betrieb aber nicht an den Pflichten in Sachen Datenschutz vorbei. Kleine Unternehmen sollten sich zumindest von einem Experten beraten lassen, damit die Grundlagen zum Datenschutz stimmen.

Worin besteht der Part des Datenschutzbeauftragten? Was muss er können?

Er muss sich mit Verfahren und Techniken der automatisierten Datenverarbeitung, aber auch mit den rechtlichen Bedingungen und Fallstricken im Datenschutzrecht auskennen. In erster Linie ist seine Aufgabe die Umsetzung der rechtlichen Datenschutzanforderungen aus der DSGVO. Dazu sind unter anderem Beratung, Unterstützung und Monitoring bei Umsetzung und Überwachung gefragt. Ein Datenschutzbeauftragter ist nicht weisungsgebunden und steht arbeitsrechtlich auf einer Stufe mit dem Betriebsrat.

Wer könnte diesen Job übernehmen?

Keine guten Kandidaten wären zum Beispiel der Fuhrparkleiter, der IT-Abteilungsleiter oder der EDV-Mitarbeiter, der bereits mit den entsprechenden Daten zugange ist. Als Datenschutzbeauftragte müssten sich diese Mitarbeiter unter Umständen selbst maßregeln. Auch der Geschäftsführer selbst kommt nicht infrage. Generell sollte der Datenschutzbeauftragte keine weitere Verantwortung als leitender Mitarbeiter im Betrieb haben. Datenschutz ist zudem keine Aufgabe, die sich nebenbei erledigen lässt.

Wie steht es mit dem Engagement eines externen Datenschutzbeauftragten?

Das dürfte für manche Unternehmen eine Alternative sein. Wer einen externen Experten engagiert, schlägt damit zwei Fliegen mit einer Klappe. Die Zeit und die Ressourcen für Schulungen, die der eigene Mitarbeiter in Anspruch nehmen müsste, fallen mit dem externen Beauftragten weg. Er hat zudem das Know-how, um die nötigen Themen und Aufgaben im Betrieb auszurollen.