Datenschutzbeauftragter im Maschinenbau Konzern – Ihre Pflichten nach der DSGVO

Warum muss unser Unternehmen im Maschinenbau den Datenschutz beachten?

Im Bereich des Maschinen- und Anlagenbaus ist die Verarbeitung personenbezogener Daten im Arbeitsalltag nicht wegzudenken. Dazu gehören Namen, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Bankverbindung, Personalnummern, Vertragsnummern, Steuernummern, Religionszugehörigkeit. Ein Datenschutzbeauftragter im Maschinenbau ist daher unverzichtbar.

Diese personenbezogenen Daten werden auf vielfältige Weise verarbeitet: Kunden und Geschäftspartner erhalten Einladungen zu Firmenevents und Newsletter, die Personalabteilung verwaltet die Personalakte, die Buchhaltung weist die Zahlung von Löhnen und Gehältern und sonstiger offener Forderungen an, die Website zeigt Fotos  von Mitarbeitern im Rahmen der Team-Vorstellung.

Die Maschinenbauindustrie ist keine Ausnahme. Unternehmen müssen bei allen Verarbeitungen personenbezogener Daten (auch im B2B-Bereich) ihren rechtlichen Verpflichtungen nachkommen, die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetzes (BDSG) einzuhalten, um einen Schutz personenbezogener Daten zu gewährleisten. Deshalb ist der Datenschutz im Maschinenbau essenziell.

Wann muss mein Maschinenbauunternehmen einen Datenschutzbeauftragten benennen?

Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) besteht die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten für einzelne Unternehmen in folgenden Fällen:

• Im Unternehmen sind mindestens 20 Personen damit beschäftigt, regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer –  zu verarbeiten. 
• Im Unternehmen werden in großem Umfang sensible Daten verarbeitet, z.B. Gesundheitsdaten im Rahmen gesundheitlicher Untersuchungen oder Religionszugehörigkeit für die Abführung der Lohnsteuer.

Die Pflicht zur Benennung eines Datenschutzbeauftragten im Maschinenbau muss für jedes Unternehmen im Konzern gesondert geprüft werden. Sofern mehrere Konzernunternehmen, die beispielsweise die Schwelle von 20 Mitarbeiter überschreiten, kann die Benennung mehrerer Datenschutzbeauftragter erforderlich werden.  Ein externer Datenschutzbeauftragter kann bei ALPHATECH bereits ab 99 Euro im Monat beauftragt werden.

Konzerndatenschutzbeauftragter im Maschinenbau

Im Maschinen- und Anlagenbau sind Konzerne keine Seltenheit. Im Datenschutz fällt ein Konzern in der Regel unter die Definition der Unternehmensgruppe nach Art. 4 Nr. 19 DSGVO.

Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter im Maschinenbau ernannt werden, z.B. in Form eines Konzerndatenschutzbeauftragten. Der Vorteil eines Konzerndatenschutzbeauftragten begründet sich in der einheitlichen und konzernweiten Themenbehandlung und Implementierung von zentralen Datenschutz-Maßnahmen für den Gesamtkonzern.

Als Voraussetzung für die Bestellung eines Konzerndatenschutzbeauftragten muss nach Art. 37 Abs. 2 DSGVO die leichte Erreichbarkeit des Konzerndatenschutzbeauftragten aus den einzelnen Niederlassungen heraus gewährleistet sein. Mit dieser Anforderung soll sichergestellt werden, dass sich die Beschäftigten ohne größeren Aufwand an den Konzerndatenschutzbeauftragten wenden können. Dies erfordert nicht, dass dieser innerhalb kurzer Zeit auch in den einzelnen Niederlassungen physisch präsent ist. Es genügt, wenn der Datenschutzbeauftragte im Maschinenbau für die Beschäftigten in einer Niederlassung entweder physisch oder aber per Telefon oder anderer Kommunikationsmittel (E-Mail) erreichbar ist und innerhalb angemessener Zeit reagiert.

Wie können wir die Umsetzung der Datenschutz-Vorgaben in den Tochtergesellschaften sicherstellen?

Die zentral geführte Datenschutzpolitik innerhalb von Konzernstrukturen oder anderweitig verbundenen Unternehmen ist durchaus üblich und sinnvoll . Allerdings kann die Umsetzung vor Ort in den Tochtergesellschaften ins Stocken geraten, insbesondere wenn der Konzerndatenschutzbeauftragte das Datenschutz-Managementsystem aus der Muttergesellschaft heraus steuert. Für die Umsetzung der konzernweiten Datenschutz-Vorgaben empfiehlt sich je Tochtergesellschaften die Ernennung von Datenschutz-Koordinatoren. Diese sind für die Umsetzung vor Ort verantwortlich und verfügen über spezielle Kenntnisse an ihrem Standort, z.B. Landessprache oder nationalgesetzliche Besonderheiten.

Wer darf als Datenschutzbeauftragter im Maschinenbau benannt werden?

Die Rolle des Datenschutzbeauftragten im Maschinenbau kann beispielsweise ein Mitarbeiter (sog. interner Datenschutzbeauftragter) übernehmen, wenn dieser über die erforderliche Fachkenntnis auf dem Gebiet des Datenschutzrechts verfügt (Art. 37 Abs. 5 DSGVO). Zur Vermeidung von Interessenkonflikten sollten die Aufgaben des Datenschutzbeauftragten allerdings nicht von Geschäftsleitung, leitenden Angestellten, Betriebsräten oder IT- Administratoren ausgeübt werden.

Alternativ kann das Unternehmen im Maschinenbau den Datenschutz extern beauftragen. Der sog. externe Datenschutzbeauftragte ist unabhängig und arbeitet in der Regel auf Vertragsbasis mit dem Unternehmen zusammen. Hierfür kommen externe Datenschutzberater oder ein Fachanwalt für Datenschutz in Betracht. Als zertifizierte Fachexperten bringen externe Datenschutzbeauftragte die Qualifikation für die Ausübung des Amtes mit. Des Weiteren verfügen externe DSB über umfangreiche Erfahrung in verschiedenen Branchen und Unternehmen. Aufgrund der objektiven Perspektive ist eine unvoreingenommene Herangehensweise sichergestellt, wodurch das Risiko von Betriebsblindheit vermieden wird.  Allerdings muss er sich, anders als ein interner Datenschutzbeauftragter erst mit den betrieblichen Arbeitsabläufen vertraut machen.

Aufgaben eines externen Datenschutzbeauftragten – DSGVO im Maschinenbau

Aufgabe des externen Datenschutzbeauftragten ist es, die Einhaltung der gesetzlichen Datenschutzvorgaben im Unternehmen zu überwachen und geeignete Maßnahmen festzulegen. Der Datenschutzbeauftragte im Maschinenbau informiert und berät die Geschäftsleitung über ihre Datenschutz-Pflichten. Des Weiteren dient er den Datenschutz-Aufsichtsbehörden als Ansprechpartner.

Datenschutz im Maschinenbau: Wesentliche DSGVO-Pflichten in der Industrie

1. Verzeichnis von Verarbeitungstätigkeiten:
   Jedes Unternehmen im Konzern ist zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet (Art. 30 Abs. 1 DSGVO). Hierbei werden alle datenschutzrelevante Geschäftsprozesse aus den verschiedenen Fachbereichen, z.B. Personal, Finanzen, Buchhaltung, Auftragsservice, Vertriebs und Marketing dokumentiert.

2. Datenschutzerklärung auf der Website:
   Über die auf der Website stattfindende Datenverarbeitung müssen Maschinenbau Unternehmen die betroffenen Personen über Datenschutz informieren und erst nach einer erteilten Einwilligung ist die Angabe personenbezogener Daten möglich. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz eine auf Ihre Webseite individuell angepasste Datenschutzerklärung.

3. Verwendung von Cookie Banner auf der Website:
   Werden Analyse- oder Marketingtools eingesetzt, die für die Funktionsfähigkeit der Website nicht erforderlich sind, ist zudem ein Cookie-Banner verpflichtend, um der automatisierten Verarbeitung von Daten zuzustimmen.

4. Technische und organisatorische Maßnahmen zum Datenschutz im Maschinenbau:
   Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen im Unternehmen festzulegen. Diese individuelle anhand des Risikos, Digitalisierungsgrads und technischer Ausstattung zu ergreifen und zu dokumentieren (Art. 32 DSGVO).

5. Mitarbeiter im Datenschutz schulen Maschinenbau:
   Regelmäßige Datenschutz-Schulungen für Mitarbeiter ist gesetzlich vorgesehen und unerlässlich in jedem Datenschutz-Konzept.

6. Beschäftigte auf Vertraulichkeit verpflichten:
   Sämtliche Beschäftigte sollten auf einen vertraulichen Umgang mit personenbezogenen Daten verpflichtet werden.

7. Auftragsverarbeitungsverträge mit Dienstleistern abschließen:
   Wenn Ihr Unternehmen mit Drittanbietern zusammenarbeitet, z.B. Software as a Service oder Anmietung von Rechenzentren, muss ein  Auftragsverarbeitungsvertrag abgeschlossen werden

8. Auf Betroffenenanfragen vorbereiten:
   Unternehmen im Maschinenbau sollten ihre Angestellten auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Kunden, Geschäftspartner, ehemalige Mitarbeiter oder Mitarbeiter, Dienstleister, Makler) kann Auskunft darüber verlangen, ob personenbezogene Daten über sie verarbeitet werden. Dabei gibt es Fristen und formale Anforderungen zu beachten. So kann ein absoluter Schutz garantiert werden.

9. Datenpannen-Management-Prozesse etablieren:
   Datenpannen bzw. Datenschutzverletzungen müssen unverzüglich festgestellt und bewertet werden. Im Falle eines Risikos bleiben nur 72 Stunden, um der zuständigen Aufsichtsbehörde den Fehler mitzuteilen.
10. Löschkonzept erstellen und umsetzen:
    Personenbezogene Informationen dürfen nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Werden bestimmte Informationen über die Speicherfrist hinaus aufbewahrt, fehlt es an einer Rechtsgrundlage und es liegt ein Datenschutzverstoß vor.

Datenschutz im Maschinenbau-Konzern: Kein Konzernprivileg für Übermittlungen

Für Konzerne ist die Einhaltung des Datenschutzes eine anspruchsvolle Aufgabe. Mangels „Konzernprivileg“ in der DSGVO bedarf jeder Datenaustausch innerhalb einer Unternehmensgruppe  einer Rechtsgrundlage. Es empfiehlt sich, die Datenübertragungen im Konzern durch ein sog. Intercompany Agreements” oder “Intra-Group-Agreements” vertraglich abzusichern. Hierbei handelt es sich vereinfacht ausgedrückt um einen mehrseitigen Vertrag, mit dem sich die einzelnen Unternehmen des Konzerns untereinander verpflichten, die Datenschutzvorgaben einzuhalten.

Datenschutzgesetze in Drittstaaten beachten

Der Datenschutz im Maschinenbau und der Industrie kann auf verschiedenen Gesetzen fußen. Denn der Datenschutz wird weltweit unterschiedlich geregelt. Das hat zur Folge, dass multinationale Unternehmensgruppen gleichzeitig verschiedene Datenschutzvorschriften beachten müssen. Für Unternehmen mit Ansässigkeiten innerhalb der Europäischen Union gilt die Datenschutz-Grundverordnung sowie ergänzend die nationalen Datenschutzgesetze. Darüber hinaus gelten für außereuropäische Tochtergesellschaften die Datenschutzgesetze am Ort der Ansässigkeit. So gilt beispielsweise in Kalifornien der California Consumer Privacy Act (CCPA) oder in Singapur der Personal Data Protection Act (PDPA).

Vorteile eines externen Datenschutzbeauftragten für Ihr Maschinenbauunternehmen

• Kosteneffizienz: Vermeidung von zusätzlichen Kosten für Aus- und Fortbildung  eines internen Mitarbeiters durch einen externen Datenschutzexperten.
• Fachkompetenz: Zertifizierte Fachkenntnisse und jahrelange Datenschutz-Erfahrungen im Maschinen- und Anlagenbau sowie der Fertigungsindustrie.
• Reduzierung der Haftungsrisiken: Reduzierung des Risikos von Datenschutzverstößen und den damit verbundenen finanziellen und reputativen Schäden.
• Ständige Verfügbarkeit: Krankheitstage, Urlaub oder betriebliche Erfordernisse: Ein interner Datenschutzbeauftragter steht nicht immer zur Verfügung. Wir stehen Ihnen auch bei Datenpannen sofort als Ansprechpartner zur Verfügung.
• Kein besonderer Kündigungsschutz: Ein interner DSB unterliegt einem besonderen Kündigungsschutz, der mit der Stellung des Betriebsrats vergleichbar ist. Im Gegensatz dazu kann die Beauftragung eines externen Datenschutzbeauftragten fristgerecht beendet werden.

Sie benötigen Unterstützung bei dem Thema Datenschutz?

Die Benennung eines externen Datenschutzbeauftragten von Alphatech ist ein entscheidender Schritt zur Sicherstellung der Datenschutz Compliance in Ihrem Unternehmen. Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Wir sind ein Team aus ausgebildeten Juristen und IT-Fachkräften mit Schwerpunkt Datenschutz und IT-Sicherheit. Unsere Datenschutzberater behalten bei der Umsetzung der DSGVO Ihre unternehmerischen Ziele und die Besonderheiten Ihrer Branche im Blick.

FAQ Datenschutz Maschinenbau