Externer Datenschutzbeauftragter

Manche Immobilienunternehmen müssen, andere sollten einen externen Datenschutzbeauftragten einsetzen.

Was Sie von uns erwarten können

Wie ist das mit der Bestellpflicht für einen Datenschutzbeauftragten in den Firmen? Müssen wir einen Datenschutzbeauftragten bestellen oder kommen wir drumherum? Das ist eine oft gestellte Frage. Wir von Johns Datenschutz sagen:
„Drehen Sie doch den Spieß zu Ihren Gunsten um und bestellen in jedem Fall einen externen Datenschutzbeauftragten, allein um zu Beginn bei der Handhabung der neuen Themen auf der sicheren Seite zu sein und einen Experten an der Hand zu haben.“
Die Art. 37 bis 39 der DS-GVO und der neue § 38 BDSG regeln die Bestellung der Datenschutzbeauftragten in den Unternehmen.
Art. 37 DS-GVO legt fest, ob ein Unternehmen die Pflicht trifft, einen Datenschutzbeauftragten zu bestellen oder nicht. Wenn mehr als 9 Personen regelmäßig Zugriff auf personenbezogene Daten im Unternehmen haben, dann muss ein Datenschutzbeauftragter benannt werden. Diese Regelung haben Sie bestimmt schon gehört? Aber welche Immobilienunternehmen trifft nun wirklich diese Verpflichtung? Welche Personen werden eingerechnet in diesen Personenkreis? Alle fest angestellten Mitarbeiter*innen, alle freien Mitarbeiter*innen, alle Teilzeitkräfte, alle Handelsvertreter*innen, alle Lizenznehmer*innen, alle externen Firmen, Agenturen, Berater usw, die Zugriff auf die personenbezogenen Daten im Unternehmen haben, fallen unter diese Regelung.

Faustregel: Es wird in Köpfen und nicht in Vollzeitstellen gerechnet

Immer wieder hören wir die Frage, was denn sei, wenn die freien Mitarbeiter einen eigenen Zugang zu einer Software haben. Würde dann auch die Zahl erreicht werden? Das kommt auf die Handhabung im Immobilienbüro an. Wenn z.B. im Wochenmeeting die Kontaktdaten von Kaufinteressenten und Eigentümern mit alle freien Mitarbeiter*innen ausgetauscht werden, diese in einer Excel-Tabelle mit Zugriff von Allen o.ä. ausgetauscht werden, dann kann trotz des abgeschotteten Zugriffs in der Software dennoch ein Zugriff aller mitarbeitenden Personen auf die personenbezogenen Daten der Kunden erfolgen. Das wird in einer Prüfung im Unternehmen zu erörtern und letztlich die Entscheidung zu treffen sein, ob die gesetzliche Pflicht zur Benennung eingreift. Und was spricht eigentlich dagegen, den Datenschutzbeauftragten freiwillig zu bestellen?
Beachten Sie bitte, dass in Köpfen gerechnet wird und nicht in Vollzeitstellen. Es geht darum, dass je mehr Personen Zugriff auf Daten haben, desto größer wird das Risiko des Missbrauchs von Daten, des Risikos von Datenlecks und der unsachgemäßen Handhabung von Daten in den Unternehmen. Das Risiko wird so groß, dass es auch zu einem Kontrollverlust der zentralen Verwaltung kommt. Dafür sind die technischen und organisatorischen Maßnahmen da, die sog. TOMs, deren Einhaltung überwacht wird. Auch dabei unterstützt der Datenschutzbeauftragte.
Wenn Sie weitergehende Informationen ansehen wollen, z.B. zu den organisatorischen Maßnahmen in den Unternehmen, dann können Sie unter diesem Link klicken.
Vor allem sollten Sie die Bestellpflicht für den Datenschutzbeauftragten auch deshalb ernst nehmen, weil die Aufsichtsbehörden angekündigt haben, dass die unterlassene Bestellung des DSB als Bußgeldtatbestand geahndet werden wird. In dieses Risiko wollen Sie nicht wirklich hineinlaufen, oder?