„Innovationen optimieren Ihr Forderungsmanagement. Abonnieren Sie den atriga Newsletter und erfahren Sie immer zuerst davon!“
Kristin Pagnia, Datenschutzbeauftragte der atriga GmbH, im Gespräch: „Datenschutz muss aktiv im Unternehmen gelebt werden.“ (1/2)
Ein Bußgeld in Höhe von 35,3 Millionen Euro hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im letzten Herbst gegen das schwedische Modeunternehmen H&M verhängt. Laut Bundesbehörde hatte H&M in einem Servicecenter mit mehreren hundert Angestellten seit 2014 Daten zu privaten Lebensumständen der Mitarbeiter gesammelt. Sie wurden auf einem Netzlaufwerk gespeichert, auf das bis zu 50 Führungskräfte Zugriff hatten. Durch einen Konfigurationsfehler wurden die Daten 2019 unternehmensweit sichtbar. Die Aufsichtsbehörde verordnete daraufhin ein ‚Einfrieren‘ und die Herausgabe des Datenträgers. Der Hamburgische Landesdatenschutzbeauftragte Prof. Dr. Johannes Caspar ordnet den Verstoß so ein: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes (…). Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Das genannte Beispiel zeigt ganz deutlich: Die Bundes- und Länderbehörden machen ernst, die Schonfrist bei Verstößen gegen die DSGVO ist vorbei. Unternehmen sollten das Risiko nicht auf die leichte Schulter nehmen. Für die atriga ist das selbstverständlich: Das Langener Unternehmen hat die Herausforderung DSGVO schon sehr frühzeitig angenommen und den Datenschutz zur Chefsache gemacht: Die Geschäftsführung bestellte im Januar letzten Jahres die langjährige atriga-Syndikusanwältin Kristin Pagnia zur neuen Datenschutzbeauftragten (DSB). Sie löst einen zuvor mit dieser Aufgabe betrauten externen Dienstleister ab. Wir haben mit Kristin Pagnia über die Hintergründe und Chancen dieser Entscheidung gesprochen und ein erstes Resümee eingeholt.
„Die Umstellung von einem externen auf einen internen Datenschutzbeauftragten bietet die Chance, näher am Unternehmen, den Mitarbeitern und Themen zu sein.“
Kristin Pagnia, Syndikusanwältin und interne Datenschutzbeauftragte der atriga
Welches sind die Vorteile eines internen Datenschutz-beauftragten?
Kristin Pagnia: Die Umstellung von einem externen auf einen internen Datenschutzbeauftragten bietet die Chance, näher am Unternehmen, den Mitarbeitern und Themen zu sein. So kann ich beispielsweise Datenschutz-Schulungen ganz anders gestalten, wenn man diese genau auf die Anforderungen der einzelnen Abteilungen hin konzipiert und Inkasso-Fachkenntnisse mit den Anforderungen des europäischen Datenschutzes kombiniert. Als interner Datenschutzbeauftragter hat man auch die Aufgabe, zu beraten und zu schulen. Es ist eine große Herausforderung, den Datenschutz so im Unternehmen zu verankern, dass er von jedem Vorgesetzen und Mitarbeiter als selbstverständlich anerkannt und als Chance begriffen wird.
Warum die Entscheidung für einen internen DSB?
Es steht jedem Unternehmen frei, ob es einen internen oder externen Datenschutzbeauftragten wählt. Wir haben uns entschieden, auf eine interne Lösung umzustellen, weil atriga ständig weiter stark wächst. Die Aufgaben, die im Bereich Datenschutz anfallen, werden zu umfangreich, um diese extern zu vergeben. Ein interner DSB ist vor Ort und kann ganz anders in die Abläufe eingebunden werden als ein externer DSB, der auch für andere Unternehmen tätig ist.
Wie sehen die besonderen Herausforderungen der Inkassobranche beim Datenschutz aus?
Die Inkassobranche erhält täglich tausende von Datensätzen. Dabei trägt sie Verantwortung für die personenbezogenen Daten von Mandanten und Schuldnern. Das sind Daten, die sehr sensibel zu behandeln sind und bei denen es keine Datenpanne geben darf. Zudem wird in der Inkassobranche häufig mit Auskunfteien zusammengearbeitet, zum Beispiel, um Schuldner zu bonifizieren. Auch in diesem Bereich ist die Einhaltung der DSGVO unerlässlich. Und immer und überall gilt der Grundsatz der Datensparsamkeit: Aus einer minimalen Datenmenge maximale Information extrahieren, dabei die umfangreichen Informationspflichten gegenüber allen beteiligten Personen beachten.
Lesen Sie am 30. August 2021 im nächsten atriga Newsletter unter anderem, woran Mandanten erkennen wie ihr Inkassopartner beim Datenschutz aufgestellt ist.