Seit 2018 gibt es erstmals europaweit die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB). Sie besteht für alle Unternehmen, Freiberufler und Organisationen, deren Tätigkeit einer besondere Kontrolle bedarf. Die rechtlichen Grundlagen finden sich in der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG).
Auch nach der neuen Rechtslage wird zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden. Öffentliche Stellen wie Behörden oder Beliehene müssen, sofern sie personenbezogene Daten verarbeiten, nach Art. 37 Abs. 1 lit. a) DSGVO stets einen Datenschutzbeauftragten bestellen. Je nach Organisation können mehrere Stellen auch einen gemeinsamen DSB bestellen. Dieser kann grundsätzlich auch extern sein.
Für nicht-öffentlichen Stellen ist folgendes geregelt:
Wann besteht eine Bestellpflicht nach der Datenschutzgrundverordnung für Unternehmen?
Ob die Pflicht zur Bestellung besteht, hängt vom Umfang der Verarbeitungstätigkeit, der Art der Daten und der Art und Weise der Verarbeitung ab. Geregelt ist dies in Art. 37 DSGVO sowie dem neu gefassten BDSG, dort. §§ 5-7 BDSG.
Unternehmensgröße / Anzahl der Mitarbeiter
Strenger noch als in der Datenschutzgrundverordnung vorgesehen, hat der Bundesgesetzgeber die Regelung beibehalten, wonach die Bestellpflicht ab 10 Mitarbeitern besteht, die regelmäßig mit automatisierter Datenverarbeitung – sprich: an Computern, Tablets oder Smartphones – zu tun haben. Teilzeitkäfte und Auszubildende zählen voll.
Art der verarbeiteten Daten
Unabhängig von der Anzahl der Mitarbeiter besteht die Pflicht dann, wenn sog. besondere Kategorien personenbezogener Daten verarbeitetet werden.
Geschäftsfeld
Wenn die Kerntätigkeit in der Datenverarbeitung liegt oder der Geschäftszweck des Unternehmens eine regelmäßige oder systematische Überwachung von betroffenen Personen erforderlich macht, besteht ebenfalls die Pflicht zur Bestellung eines Datenschutzbeauftragten. Kerntätigkeit ist zum Beispiel anzunehmen, wenn ein Krankenhaus die Gesundheitsdaten der Patienten verarbeitet oder wenn Handel mit Daten betrieben wird.
Wie ist der Datenschutzbeauftragte zu bestellen?
Früher war im BDSG geregelt, dass die Bestellung schriftlich zu erfolgen hat. Dieses Erfordernis ist weggefallen. Zudem ist in der deutschen Übertragung der DSGVO nun von einer »Benennung« die Rede.
Es ist gesetzlich vorgeschrieben, dass der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und sie zudem der Aufsichtsbehörde – in der Deutschland den Landesdatenschutzbehörden – mitteilt. Es sind die Kontaktdaten mitzuteilen, die für eine leichte Kommunikationsaufnahme erforderlich sind.
Qualifikation eines Datenschutzbeauftragten?
In Art. 37 Abs. 5 DSGVO ist festgelegt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, dass er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie auf der Grundlage seiner Fähigkeiten zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.
In der Regel münden diese Anforderungen darin, dass sowohl Rechtskenntnis erforderlich ist als auch technisches und organisatorisches Verständnis.
Im Grundsatz müssen diese Qualifikationen bereits zum Zeitpunkt der Benennung des Datenschutzbeauftragten in ausreichendem Maße vorliegen.
Die Behörde des sächsischen Landesdatenschutzbeauftragten hält zu dieser Frage hier ein Merkblatt bereit.
Darüber hinaus ist oft die Neutralität des Datenschutzbeauftragten ein Thema. Durch dieses anfordern es wird verhindert, dass Geschäftsführer, die Assistenz der Geschäftsführung oder der Leiter der IT-Abteilung und anderes Personal des höheren Managements diese Aufgaben übernehmen. So soll verhindert werden, dass sich ausführende und kontrollierende Instanz zu nahe stehen und es zu Konflikten kommt.
Gemeinsamer Datenschutzbeauftragter?
Es ist nunmehr möglich, dass mehrere Behörden Behörden bzw. mehrere Unternehmen eines Konzerns gemeinsam einen Datenschutzbeauftragten bestellen.
Folgen der Nicht-Bestellung?
Muss ein Datenschutzbeauftragter benannt werden und ist dies nicht der Fall, so ist grundsätzlich der entsprechende Bußgeldtatbestand in der DSGVO erfüllt, es drohen die bekannten Geldbußen in einer Höhe von bis zu 20 Millionen EUR bzw. 4 % des weltweiten Jahresumsatzes. Auch wenn klar ist, dass bei einem einfachen Verstoß dieser Art in einem kleineren Unternehmen ein so hohes Bußgeld nicht in Betracht kommt, ist davon auszugehen, dass die Aufsichtsbehörden nach Inkrafttreten der DSGVO stärker auf dieses Thema 8. werden.
Was sollten Unternehmen tun?
Frühzeitig ist zu klären, ob überhaupt ein Datenschutzbeauftragter benannt werden muss. Ist dies der Fall, muss ich das Unternehmen entscheiden, ob es einen internen oder einen externen Datenschutzbeauftragten möchte. Beide Varianten haben vor-und Nachteile.
Der interne Datenschutzbeauftragte muss für seine Tätigkeit ein bestimmtes Zeitkontingent freigestellt bekommen. Er hat ein Recht auf fort-und Weiterbildung sowie einen erweiterten Kündigungsschutz. Es ist darauf zu 8., dass sie Bestellung für mindestens 2 Jahre geschieht.
Ein externer Datenschutzbeauftragter hat andere Vorteile:
- Recht im Wandel: Gerade jetzt ist damit zu rechnen, dass durch Rechtsprechung und Abänderungen der einschlägigen Normen sich das Datenschutzrecht schnell wandeln bzw. dass es konkretisiert werden wird.
- Erfahrung: beim externen Datenschutzbeauftragten, welche diese Tätigkeit bereits lange Zeit ausübt, ist keine Einarbeitung in die Materie erforderlich. Erfüllt bereits bei der Nennung die Anforderungen an die Qualifikation.
- Kündigungsschutz: diesen genießt der externe Datenschutzbeauftragte nicht.
- Haftung: externe Datenschutzbeauftragte sind versichert und übernehmen eine Haftung in weit größerem Umfang als dies ein interner Datenschutzbeauftragter, der normale Arbeitnehmer ist, tun kann.
- Neutralität: ein externer Datenschutzbeauftragter hat einen ganz anderen Blick auf die Verfahren in einem eingespielten Unternehmen. Bereits bestehende Konflikte haben keinen Einfluss auf seine Arbeit.