Datenschutzbeauftragter

Der Datenschutzbeauftragte ist ein Mittel zur Selbstkontrolle. Spätestens mit der Einführung der Datenschutzgrundverordnung (DSGVO) hat das Thema Datenschutz eine neue Bedeutung bekommen. Die Umsetzung der datenschutzrechtlichen Vorgaben der DSGVO und des Bundesdatenschutzgesetzes (BDSG) ist nun Teil oder sogar Mittelpunkt vieler Entscheidungen und Prozesse in Unternehmen. Doch die komplexen, oft abstrakt formulierten Vorschriften des Datenschutzrechts machen es den Verantwortlichen nicht einfach, alle Vorgaben zu erfüllen. So mancher Verantwortliche wünscht sich deshalb einen Wegbegleiter, der Orientierung gibt und das Unternehmen sicher durch den „Dschungel“ des Datenschutzrechts führt.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter ist eine natürliche Person, die von einem Unternehmen oder einer öffentlichen Stelle benannt wird, um die Einhaltung des Datenschutzes sicher zu stellen und zu überwachen.

Wer ist zur Benennung eines Datenschutzbeauftragten verpflichtet?

In welchen Fällen ein Datenschutzbeauftragter ernannt werden muss, regelt Art. 37 DSGVO. Für Deutschland gilt ergänzend § 38 BDSG. Behörden und öffentliche Stellen müssen gemäß Art. 37 Abs. 1 lit. a DSGVO einen Datenschutzbeauftragten benennen. Für private Unternehmen schreiben die DSGVO und das BDSG die Benennung eines Datenschutzbeauftragten vor, wenn eine der folgenden Voraussetzungen vorliegt:

  1. Das Unternehmen beschäftigt in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten, wie z.B. Name, Geburtsdatum, dienstliche Kontaktdaten (§ 38 Abs. 1 S.1 BDSG). Bei der Berechnung werden auch Teilzeitkräfte, Auszubildende, Praktikanten und freie Mitarbeiter berücksichtigt.
  2. Das Unternehmen ist verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung gemäß Art- 35 DSGVO durchzuführen (§ 38 Abs. 1 S. 2 Alt. 1 BDSG).
  3. Das Unternehmen verarbeitet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§ 38 Abs. 1 S. 2 Alt. 2 BDSG). Darunter fallen z.B. Auskunftei, Detektei, Adressverlag oder Markt- und Meinungsforschungsinstitute.
  4. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO).
  5. Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, genetische oder biometrische Daten, Daten zur sexuellen Orientierung) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten Art. 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO).

Die Voraussetzungen 2. bis 5. sind unabhängig von der Anzahl der beschäftigten Personen. Folglich kann die Benennung eines Datenschutzbeauftragten also auch für kleine Unternehmen verpflichtend sein.

Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

test1

 

Ist eine freiwillige Benennung möglich?

Neben der Pflicht zur Benennung nach DSGVO und BDSG können Unternehmen auch freiwillig einen Datenschutzbeauftragten ernennen. In einigen Fällen kann dies durchaus sinnvoll sein. Viele – gerade auch kleinere – Unternehmen sind mit den zahlreichen Dokumentations-, Auskunfts- und Nachweispflichten der DSGVO überfordert. Hilfe kann hier von einem spezialisierten Anwalt oder einem Datenschutzbeauftragten geleistet werden. Dadurch werden im Unternehmen personelle Ressourcen frei. Hinzu kommt, dass ein professioneller Umgang mit dem Thema Datenschutz auch das Vertrauen von Kunden und Geschäftspartnern steigert.

Aufgaben eines Datenschutzbeauftragten

Der Datenschutzbeauftragte ist zuständig für die Einhaltung der datenschutzrechtlichen Vorschriften und die Überwachung eines datenschutzkonformen Umgangs mit personenbezogenen Daten im Unternehmen. In diesem Zusammenhang obliegen dem Datenschutzbeauftragten nach Art. 39 DSGVO die folgenden Aufgaben:

  • Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen. Dabei ist der Datenschutzbeauftragte Ansprechpartner für die Geschäftsführung, alle Beschäftigten und Abteilungen des Unternehmens.
  • Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften sowie der unternehmenseigenen Datenschutzstrategien inklusive der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Beschäftigten.
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO.
  • Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
  • Ansprechpartner für betroffene Personen und Beschäftigte zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.

Der Datenschutzbeauftragte arbeitet hinsichtlich seiner Aufgaben weisungsunabhängig und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

Weiterhin muss der Datenschutzbeauftragte durch den Verantwortlichen ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Dazu ist ihm die notwendige Zeit und Unterstützung, etwa durch Fortbildung, finanzielle, materielle und personelle Ausstattung zu gewähren.

Interner vs. externer Datenschutzbeauftragter

Die Position des Datenschutzbeauftragten kann innerhalb des Unternehmens intern durch einen betrieblichen Datenschutzbeauftragten oder extern besetzt werden.

Soll ein interner Datenschutzbeauftragter benannt werden, muss der entsprechende Beschäftigte bestimmte persönliche und fachliche Voraussetzungen erfüllen. Zu berücksichtigen sind die berufliche Qualifikation und das Fachwissen des Beschäftigten auf dem Gebiet des Datenschutzrechts. Genaue Vorgaben an die Kenntnisse des internen Datenschutzbeauftragten machen DSGVO und BDSG nicht. Der Datenschutzbeauftragte sollte aber mit der Datenverarbeitung, der IT-Sicherheit und den relevanten Datenschutzbestimmungen vertraut sein. Die Kenntnisse müssen bereits zum Zeitpunkt der Benennung vorliegen. Mit zunehmender Komplexität der vom Unternehmen durchgeführten Verarbeitung steigen auch die Anforderungen an den Datenschutzbeauftragten. Hilfreich ist es in jedem Fall, wenn der Datenschutzbeauftragte seine Kenntnisse beispielsweise mit einem Zertifikat nachweisen kann. Zudem ist darauf zu achten, dass durch die Person des Datenschutzbeauftragten keine Interessenkonflikte entstehen. Der Geschäftsführer des Unternehmens sowie IT- und Personalleiter sollten deshalb nicht gleichzeitig Datenschutzbeauftragter sein. Aus Unternehmenssicht muss zudem beachtet werden, dass nach §§ 38 Abs. 2, 6 Abs. 4 BDSG ein interner Datenschutzbeauftragter über einen besonderen Kündigungsschutz verfügt.

Der externe Datenschutzbeauftragte erfüllt seine Aufgaben dagegen auf Grundlage eines Dienstleistungsvertrags. Dadurch, dass der externe Datenschutzbeauftragte zu Beginn seiner Tätigkeit noch nicht mit den speziellen Unternehmensstrukturen vertraut ist, ist eine gewisse Einarbeitungsphase erforderlich. Dennoch bietet der externe Datenschutzbeauftragte einige Vorteile. Zum einen werden die eigenen Beschäftigten des Unternehmens nicht mit dem – zugegebenermaßen oft auch unbeliebten – Thema Datenschutz gebunden. Zum anderen verfügt ein externer Datenschutzbeauftragter über die notwendigen Fachkenntnisse und Erfahrung. Er hat sich auf den Datenschutz und die Datensicherheit spezialisiert und ist so in der Lage, schnelle, zuverlässige und kompetente Antworten auf datenschutzrechtliche und technische Fragestellungen zu geben, die den Bedürfnissen des Unternehmens gerecht werden. Dem eigenen Unternehmen bleiben Fortbildungskosten erspart. Der Fokus liegt dabei immer auf der Einhaltung der Vorschriften von DSGVO und BDSG. Sollte es jedoch zu einer Datenschutzverletung kommen, ist eine schnelle und ordnungsgemäße Handlung unerlässlich. Zudem werden durch einen externen Datenschutzbeauftragten Interessenkonflikte und eine gewisse „Betriebsblindheit“ vermieden, da der externe Datenschutzbeauftragte aus einer neutralen Perspektive auf den Datenschutz im jeweiligen Unternehmen sieht.

Benennung, Veröffentlichung und Meldung

Eine vorgeschriebene Form für die Benennung eines Datenschutzbeauftragten besteht in DSGVO und BDSG nicht. Aus Nachweisgründen empfehlen sich aber die Schrift- oder Textform.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und sind der jeweiligen Aufsichtsbehörde zu melden. Dabei ist es egal, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt.

Folgen eines fehlenden Datenschutzbeauftragten

Unternehmen, die zur Benennung eines Datenschutzbeauftragten verpflichtet sind, aber die Benennung versäumen, verstoßen gegen Art. 37 DSGVO. Dieser Verstoß kann von den Datenschutzbehörden gemäß Art. 83 Abs. 4 DSGVO mit einer Geldbuße von bis zu 10 Mio. EUR oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.

Zielgruppe

  • Unternehmen, die zur Benennung eines Datenschutzbeauftragten verpflichtet sind.
  • Unternehmen, die – ohne dazu verpflichtet zu sein – freiwillig einen Datenschutzbeauftragten benennen möchten.

Wie helfen wir Ihnen weiter?

  • Unterrichtung und Beratung des Verantwortlichen.
  • Berücksichtigung besonderer gesetzlicher Bestimmungen bei der Auftragsverarbeitung (z.B. Datenverarbeitung im Rechenzentrum).
  • Beratung bei der Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO.
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben.
  • Koordinierung und stichprobenartige Überwachung der Maßnahmen zur Datensicherheit, soweit es sich um gesetzliche Anforderungen handelt.
  • Schulung der Beschäftigten.
  • Prüfung der Rechtsgrundlage für die Übermittlung personenbezogener Daten ins europäische oder außereuropäische Ausland.
  • Verpflichtung der Beschäftigten auf die Vertraulichkeit.
  • Wahrung der Rechte der betroffenen Personen.

Ihre Vorteile durch einen externen Datenschutzbeauftragten

  • Erfüllung der datenschutzrechtlichen Anforderungen der DSGVO und Vermeidung von Bußgelder.
  • Der besondere Kündigungsschutz für angestellte interne Datenschutzbeauftragte entfällt.
  • Der Einsatz eines neutralen Beraters vermeidet Interessenkonflikte.
  • Eine Bildung unnötiger interner Strukturen entfällt.
  • Es entstehen keine zusätzlichen Aus- und Fortbildungskosten.
  • Der externe Datenschutzbeauftragte hat langjährige Erfahrung im Datenschutzrecht und ist entsprechend spezialisiert.
  • Durch unsere langjährige Erfahrung in verschiedenen Branchen und Unternehmensgrößen können wir individuelle und effektive Datenschutzkonzepte entwickeln, implementieren und überprüfen.
Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine Beratung und Durchführung rund um das Thema Datenschutzbeauftragter an.