Bestellung eines Datenschutzbeauftragten

Seit 2018 gibt es erstmals europaweit die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB). Sie besteht fĂŒr alle Unternehmen, Freiberufler und Organisationen, deren TĂ€tigkeit einer besondere Kontrolle bedarf. Die rechtlichen Grundlagen finden sich in der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG).

Auch nach der neuen Rechtslage wird zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden. Öffentliche Stellen wie Behörden oder Beliehene mĂŒssen, sofern sie personenbezogene Daten verarbeiten, nach Art. 37 Abs. 1 lit. a) DSGVO stets einen Datenschutzbeauftragten bestellen. Je nach Organisation können mehrere Stellen auch einen gemeinsamen DSB bestellen. Dieser kann grundsĂ€tzlich auch extern sein.

FĂŒr nicht-öffentlichen Stellen ist folgendes geregelt:

Wann besteht eine Bestellpflicht nach der Datenschutzgrundverordnung fĂŒr Unternehmen?

Ob die Pflicht zur Bestellung besteht, hÀngt vom Umfang der VerarbeitungstÀtigkeit, der Art der Daten und der Art und Weise der Verarbeitung ab. Geregelt ist dies in Art. 37 DSGVO sowie dem neu gefassten BDSG, dort. §§ 5-7 BDSG.

UnternehmensgrĂ¶ĂŸe / Anzahl der Mitarbeiter

Strenger noch als in der Datenschutzgrundverordnung vorgesehen, hat der Bundesgesetzgeber die Regelung beibehalten, wonach die Bestellpflicht ab 10 Mitarbeitern besteht, die regelmĂ€ĂŸig mit automatisierter Datenverarbeitung – sprich: an Computern, Tablets oder Smartphones – zu tun haben. TeilzeitkĂ€fte und Auszubildende zĂ€hlen voll.

Art der verarbeiteten Daten

UnabhÀngig von der Anzahl der Mitarbeiter besteht die Pflicht dann, wenn sog. besondere Kategorien personenbezogener Daten verarbeitetet werden.

GeschÀftsfeld

Wenn die KerntĂ€tigkeit in der Datenverarbeitung liegt oder der GeschĂ€ftszweck des Unternehmens eine regelmĂ€ĂŸige oder systematische Überwachung von betroffenen Personen erforderlich macht, besteht ebenfalls die Pflicht zur Bestellung eines Datenschutzbeauftragten. KerntĂ€tigkeit ist zum Beispiel anzunehmen, wenn ein Krankenhaus die Gesundheitsdaten der Patienten verarbeitet oder wenn Handel mit Daten betrieben wird.

Wie ist der Datenschutzbeauftragte zu bestellen? 

FrĂŒher war im BDSG geregelt, dass die Bestellung schriftlich zu erfolgen hat. Dieses Erfordernis ist weggefallen. Zudem ist in der deutschen Übertragung der DSGVO nun von einer »Benennung« die Rede.

Es ist gesetzlich vorgeschrieben, dass der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und sie zudem der Aufsichtsbehörde – in der Deutschland den Landesdatenschutzbehörden – mitteilt. Es sind die Kontaktdaten mitzuteilen, die fĂŒr eine leichte Kommunikationsaufnahme erforderlich sind.

Qualifikation eines Datenschutzbeauftragten? 

In Art. 37 Abs. 5 DSGVO ist festgelegt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, dass er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie auf der Grundlage seiner FĂ€higkeiten zur ErfĂŒllung der in Art. 39 DSGVO genannten Aufgaben.

In der Regel mĂŒnden diese Anforderungen darin, dass sowohl Rechtskenntnis erforderlich ist als auch technisches und organisatorisches VerstĂ€ndnis.

Im Grundsatz mĂŒssen diese Qualifikationen bereits zum Zeitpunkt der Benennung des Datenschutzbeauftragten in ausreichendem Maße vorliegen.

Die Behörde des sÀchsischen Landesdatenschutzbeauftragten hÀlt zu dieser Frage hier ein Merkblatt bereit.

DarĂŒber hinaus ist oft die NeutralitĂ€t des Datenschutzbeauftragten ein Thema. Durch dieses anfordern es wird verhindert, dass GeschĂ€ftsfĂŒhrer, die Assistenz der GeschĂ€ftsfĂŒhrung oder der Leiter der IT-Abteilung und anderes Personal des höheren Managements diese Aufgaben ĂŒbernehmen. So soll verhindert werden, dass sich ausfĂŒhrende und kontrollierende Instanz zu nahe stehen und es zu Konflikten kommt.

Gemeinsamer Datenschutzbeauftragter? 

Es ist nunmehr möglich, dass mehrere Behörden Behörden bzw. mehrere Unternehmen eines Konzerns gemeinsam einen Datenschutzbeauftragten bestellen.

Folgen der Nicht-Bestellung? 

Muss ein Datenschutzbeauftragter benannt werden und ist dies nicht der Fall, so ist grundsĂ€tzlich der entsprechende Bußgeldtatbestand in der DSGVO erfĂŒllt, es drohen die bekannten Geldbußen in einer Höhe von bis zu 20 Millionen EUR bzw. 4 % des weltweiten Jahresumsatzes. Auch wenn klar ist, dass bei einem einfachen Verstoß dieser Art in einem kleineren Unternehmen ein so hohes Bußgeld nicht in Betracht kommt, ist davon auszugehen, dass die Aufsichtsbehörden nach Inkrafttreten der DSGVO stĂ€rker auf dieses Thema 8. werden.

Was sollten Unternehmen tun?

FrĂŒhzeitig ist zu klĂ€ren, ob ĂŒberhaupt ein Datenschutzbeauftragter benannt werden muss. Ist dies der Fall, muss ich das Unternehmen entscheiden, ob es einen internen oder einen externen Datenschutzbeauftragten möchte. Beide Varianten haben vor-und Nachteile.

Der interne Datenschutzbeauftragte muss fĂŒr seine TĂ€tigkeit ein bestimmtes Zeitkontingent freigestellt bekommen. Er hat ein Recht auf fort-und Weiterbildung sowie einen erweiterten KĂŒndigungsschutz. Es ist darauf zu 8., dass sie Bestellung fĂŒr mindestens 2 Jahre geschieht.

Ein externer Datenschutzbeauftragter hat andere Vorteile:

  • Recht im Wandel: Gerade jetzt ist damit zu rechnen, dass durch Rechtsprechung und AbĂ€nderungen der einschlĂ€gigen Normen sich das Datenschutzrecht schnell wandeln bzw. dass es konkretisiert werden wird.
  • Erfahrung: beim externen Datenschutzbeauftragten, welche diese TĂ€tigkeit bereits lange Zeit ausĂŒbt, ist keine Einarbeitung in die Materie erforderlich. ErfĂŒllt bereits bei der Nennung die Anforderungen an die Qualifikation.
  • KĂŒndigungsschutz: diesen genießt der externe Datenschutzbeauftragte nicht.
  • Haftung: externe Datenschutzbeauftragte sind versichert und ĂŒbernehmen eine Haftung in weit grĂ¶ĂŸerem Umfang als dies ein interner Datenschutzbeauftragter, der normale Arbeitnehmer ist, tun kann.
  • NeutralitĂ€t: ein externer Datenschutzbeauftragter hat einen ganz anderen Blick auf die Verfahren in einem eingespielten Unternehmen. Bereits bestehende Konflikte haben keinen Einfluss auf seine Arbeit.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert