Der Datenschutzbeauftragte: Wegweiser für den Datenschutz

Die Implementierung der datenschutzrechtlichen Anforderungen stellt viele Unternehmen vor große Herausforderungen.

Wann braucht man einen Beauftragten für den Datenschutz?

Betrachtet man die Komplexität und die oft abstrakt formulierten Vorschriften, welche beim Umgang mit personenbezogenen Daten einzuhalten sind, wünscht sich manches Unternehmen einen Wegbegleiter, der Orientierung gibt. Die Regelungen des Bundesdatenschutzgesetzes (BDSG) geben vor, dass öffentliche, aber auch nicht-öffentliche Stellen (bspw. Personengesellschaften, juristische Personen und freiberuflich Tätige) einen Datenschutzbeauftragten zu bestellen haben, sofern mindestens zehn Personen an der automatisierten Verarbeitung personenbezogener Daten beteiligt sind (§ 38 BDSG). Diese Verpflichtung besteht bereits bei weniger als zehn Beschäftigten, wenn eine automatisierte Datenverarbeitung vorgenommen werden soll, die einer sog. „Vorabkontrolle“ unterliegt. Dies ist regelmäßig bei der Installation einer Video-Überwachungsanlage der Fall. Es handelt sich dabei um eine technische und organisatorische Analyse vor der Einführung einer Maßnahme, um besonders hohe Risiken bzgl. der Einschränkung von Rechten und Freiheiten betroffener Personen zu minimieren.

Aufgabe des Datenschutzbeauftragten

Aufgabe des Datenschutzbeauftragten ist es, auf die Einhaltung des Datenschutzgrundverordnung (DSGVO) und anderer Vorschriften zum Datenschutz hinzuwirken. Das bedeutet im Einzelnen: er hat die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen und die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen hinsichtlich ihrer Pflichten nach der DSGVO sowie des BDSG zu unterrichten und zu beraten (Art. 39 Abs.1 lit.a DSGVO). Der Datenschutzbeauftragte beteiligt sich an den für den Verantwortlichen verpflichtenden Datenschutz-Folgenabschätzung (Art. 35 Abs.2 DSGVO).

Die Unternehmensleitung hat außerdem die Möglichkeit, eigene Verpflichtungen, wie die Anlage und Führung des Verfahrensverzeichnisses (Art. 30 Abs.1 DSGVO) an den Datenschutzbeauftragten zu delegieren. Durch regelmäßige Schulungsmaßnahmen trägt der Datenschutzbeauftragte dazu bei, dass die Beschäftigten ein Bewusstsein (sog. „Awareness“) für datenschutzrelevante Berührungspunkte in ihrer täglichen Arbeit entwickeln. Er unterstützt die Unternehmensführung mit seiner Expertise bei der Ausgliederung von Arbeitsbereichen an Dienstleister (sog. „Outsourcing“ im Rahmen der Auftragsdatenverarbeitung), bei der Übermittlung personenbezogener Daten ins Ausland, bei Fragen zur Nutzung virtueller Datenspeicher („Cloud-Computing“) und in den Bereichen des Beschäftigtendatenschutzes. Verantwortlicher für die Verarbeitung personenbezogener Daten bleibt stets das Unterenhmen.

Der Datenschutzbeauftragte stellt durch seine Tätigkeit sicher, dass bei allen Vorgängen innerhalb des Unternehmens und bei allen Handlungen nach außen der Datenschutz gewahrt bleibt. Dadurch schafft er Transparenz und stärkt die Glaubwürdigkeit des Unternehmens. Er trägt zu einem positiven Image bei und vermeidet kostenintensive Rechtsstreitigkeiten durch sein proaktives Handeln. Durch sein Handeln bildet der Datenschutzbeauftragte ein wichtiges Organ im Lebenszyklus eines Unternehmens.

Interner Datenschutzbeauftragter versus externer Datenschutzbeauftragter

Die Bestellung des Datenschutzbeauftragten kann in zwei Varianten erfolgen: Beim sog. „betrieblich bestellten Datenschutzbeauftragten“ wird für das Amt ein interner Beschäftigter abgestellt. Der Datenschutzbeauftragte ist in der Ausübung seiner Tätigkeit weisungsfrei. Zur Wahrung seiner Unabhängigkeit ist er innerhalb der Unternehmensorganisation lediglich der Geschäftsleitung unterstellt (Art. 38 Abs.3 DSGVO). Seine Kompetenz erstreckt sich auf das gesamte Unternehmen, d. h. er hat die Befugnis, die Prozesse aller Abteilungen auf deren Datenschutzkonformität zu überprüfen.

Beim sog. „extern bestellten Datenschutzbeauftragten“ wird zur Übernahme der Aufgaben eine externe Person eingekauft. Die Vorteile des externen Datenschutzbeauftragten sind vielfältig. Zum einen verfügt er bereits über die notwendige Fachkenntnis und Berufserfahrung für die Übernahme der Aufgabe und zum anderen können sich die eigenen Mitarbeiter auf ihre Kerntätigkeiten konzentrieren und müssen sich nicht in eine neue Aufgabe einarbeiten. Ein externer Datenschutzbeauftragter agiert weitgehend frei von innerbetrieblichen Interessenkonflikten; eine Beteiligung des Betriebsrates bei der Bestellung ist nicht erforderlich.

Bei der Bestellung eines Arbeitnehmers sind ggf. die einschlägigen Beteiligungsrechte des Betriebsrates zu beachten; die Übernahme einer zusätzlichen Funktion des internen Datenschutzbeauftragten ist als Versetzung zu bewerten. Einfluss kann der Betriebsrat an dieser Stelle insoweit nehmen, indem er seine Zustimmung mit einer mangelnden Eignung der Person begründet.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Externer Datenschutzbeauftragter

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.