Ab wann ein Datenschutzbeauftragter zu benennen ist, hängt von einigen Faktoren ab. Grundsätzlich müssen private Stellen, das heißt insbesondere Unternehmen, einen Datenschutzbeauftragten bestimmen, wenn sie ständig mit einer umfangreichen regelmäßigen und systematischen Überwachung von Personen befasst sind. Zu Personen, die ständig mit der Verarbeitung von Daten beschäftigt sind, zählen z. B. Mitarbeiter in der Personalverwaltung, im Bereich Marketing oder der Kundenbetreuung. Im Gegensatz hierzu kommen beispielsweise Produktionsmitarbeiter oder Handwerker eher vereinzelt mit personenbezogenen Daten in Berührung. Entsprechend ist hier ein Datenschutzbeauftragter Pflicht.
Diese Pflicht gilt auch dann, wenn besonders sensible Daten (vgl. Art. 9, 10 DSGVO) verarbeitet werden. Marktforschungsunternehmen sind hier ein klassisches Beispiel für Unternehmen, deren Kerntätigkeit in der Datenverarbeitung besteht. Die Benennungspflicht gilt in einem solchen Fall unabhängig von der Zahl der Mitarbeiter. Zuvor mussten private bzw. nicht-öffentliche Stellen, in denen mehr als zehn Personen ständig mit der Datenverarbeitung befasst sind, einen betrieblichen Datenschutzbeauftragten benennen. Nachdem 2019 eine Anpassung des Datenschutzrechts vorgenommen wurde, ist die Benennung mittlerweile erst ab 20 Mitarbeitern vorgeschrieben (§ 38 BDSG).
Mit dieser Änderung sollen vor allem kleinere und mittlere Unternehmen sowie ehrenamtliche Vereine entlastet werden. Nichtsdestotrotz gelten auch für kleine Unternehmen die Vorgaben durch die DSGVO – unabhängig davon, ob ein Datenschutzbeauftragter zu benennen ist oder nicht. Datenschutzrechtliches Know-how darf daher in keinem Unternehmen fehlen.
Zu diesen Mitarbeitern werden alle Personen einschließlich Teilzeitkräften oder Aushilfen gezählt, die auf Daten zugreifen. Dabei ist zunächst unerheblich, wie häufig und intensiv der Datenzugriff stattfindet.
Grundlage für die Entscheidung, wer als Datenschutzbeauftragter geeignet ist, bildet die berufliche Qualifikation und das Fachwissen der Person. Entsprechend sollte sie über umfangreiches Wissen im Bereich des Datenschutzrechts, der IT-Sicherheit sowie der Datenschutzpraxis verfügen. Außerdem wird die Eignung darüber bestimmt, ob die Person die Aufgaben eines Datenschutzbeauftragten laut Art. 39 DSGVO erfüllen kann. Hierzu zählen zum Beispiel die Schulung von Mitarbeitern in Datenschutzthemen und die Überwachung von Strategien zur Einhaltung des Datenschutzes.
In diesem Zusammenhang werden häufig die Begriffe „interner Datenschutzbeauftragter“ und „externer Datenschutzbeauftragter“ verwendet. Nimmt der Datenschutzbeauftragte neben dieser Rolle andere Aufgaben oder Pflichten wahr, darf es hierdurch nicht zu einem Interessenkonflikt kommen. Ein solcher Konflikt kann beispielsweise entstehen, wenn der DSB gleichzeitig als Mitarbeiter in der IT-Abteilung tätig ist und sich selbst überwachen müsste.
Bei dem DSB kann es sich sowohl um einen Mitarbeiter des betreffenden Unternehmens als auch um eine externe Person handeln, die im Rahmen eines Vertrags mit einem fachkundigen Dienstleister benannt wird.
Häufig wird durch die Geschäftsführung eine sogenannte Bestellungsurkunde aufgesetzt. Aus dieser muss konkret hervorgehen, welche Person zum Datenschutzbeauftragten ernannt wird. Wird gegen die Bestellpflicht verstoßen, ist ein Bußgeld von bis zu 10 Millionen Euro möglich. Handelt es sich um ein Unternehmen und nicht etwa um einen Verein oder eine Behörde, kann eine Strafe in Höhe von bis zu 2 % des weltweiten Jahresumsatzes aus dem vergangenen Geschäftsjahr verhängt werden.
Datenschutzbeauftragte überwachen zunächst einmal die Datenverarbeitungsprozesse in einer Organisation und sind dafür zuständig, die Einhaltung des Datenschutzes sicherzustellen. Dabei muss die beauftragte Person, wie bereits erwähnt, nicht zwangsläufig in der Organisation bzw. im Unternehmen selbst angestellt sein. Auch ein externer Datenschutzbeauftragter kann bestellt werden.
Die Aufgaben des Datenschutzbeauftragten gehen jedoch über die Überwachung und Einhaltung des Datenschutzes in einem Unternehmen hinaus. Nachfolgend finden Sie eine Übersicht der wichtigsten Aufgaben:
Obwohl der Datenschutzbeauftragte Verantwortung übernimmt, muss er sich nicht unbedingt um den gesamten Datenschutz des Unternehmens kümmern. Daher kann er Zuständigkeiten zuweisen und Aufgaben an andere Personen delegieren und entsprechend überwachen.
Grundsätzlich ist der Datenschutzbeauftragte dazu verpflichtet, Geheimhaltung und Vertraulichkeit zu wahren. Außerdem ist er nicht weisungsgebunden. Das bedeutet, dass er lediglich dem geltenden Recht verpflichtet ist und keine Anweisungen z. B. vom Verantwortlichen erhalten darf.
Je nach Unternehmen kann es sinnvoll sein, dass der Datenschutzbeauftragte das sogenannte Verarbeitungsverzeichnis erstellt und pflegt. Diese Aufgabe zählt laut DSGVO jedoch nicht zu seinen direkten Pflichten. In diesem Verzeichnis dokumentiert für gewöhnlich der Verantwortliche alle Verarbeitungsprozesse im Kontext von personenbezogenen Daten.
Damit Sie das Konzept des Datenschutzbeauftragten umfassend nachvollziehen können, erläutern wir Ihnen kurz, was hinter den Begriffen steckt.
Als Verantwortlicher wird im Rahmen der DSGVO eine Person bezeichnet, die allein oder auch gemeinsam mit anderen dafür verantwortlich ist, wie und zu welchem Zweck personenbezogene Daten verarbeitet werden. Der Verantwortliche kann diese Datenverarbeitung jedoch auch an anderer Stelle in Auftrag geben. Diese Person wird entsprechend als Auftragsverarbeiter bezeichnet. Wichtig ist hier, dass auch Behörden oder Einrichtungen Verantwortlicher bzw. Auftragsverarbeiter sein können.
Eine wichtige Aufgabe des Datenschutzbeauftragten besteht oftmals darin, den Verantwortlichen oder Auftragsverarbeiter bei der bereits angesprochenen Datenschutz-Folgenabschätzung zu unterstützen und diese zu überwachen. Außerdem kann es vorkommen, dass eine Aufsichtsbehörde Rückfragen zu einer solchen Abschätzung hat und sich an den DSB wendet.
Der Verantwortliche bzw. Auftragsverarbeiter muss immer dann eine sogenannte Datenschutz-Folgenabschätzung durchführen, wenn durch die Verarbeitung von Daten ein besonders hohes Risiko für die Rechte von Betroffenen erwartet wird. In solchen Fällen muss abgeschätzt werden, welche Folgen die vorgesehenen Verarbeitungsvorgänge voraussichtlich haben werden. Wenn im Rahmen der Datenschutz-Folgenabschätzung ein hohes Risiko vorausgesagt wird und keine Maßnahmen getroffen werden, das Risiko einzudämmen, muss der Verantwortliche dies an die Aufsichtsbehörde melden und sie zurate ziehen.
Der Verantwortliche oder Auftragsverarbeiter muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen (bspw. auf der Unternehmenswebseite) und der zuständigen Aufsichtsbehörde mitteilen. Darüber hinaus muss sichergestellt werden, dass der DSB die datenverarbeitenden Prozesse des Unternehmens kennt und „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ (§ 6 BDSG) eingebunden wird.
Ergänzend muss der DSB in der Erfüllung seiner Aufgaben unterstützt werden. Zu diesem Zweck müssen dem DSB alle notwendigen Ressourcen zur Verfügung gestellt werden. Dazu gehört u. a. der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Außerdem muss der DSB die Möglichkeit haben, sein Fachwissen erhalten und weiter ausbauen zu können. Eine Abberufung oder Benachteiligung der zum DSB ernannten Person, wegen Tätigkeiten, die zu ihrem gesetzlichen Aufgabenkreis gehören, ist nicht zulässig.
Soll ein DSB von seinen Aufgaben entbunden werden muss zwischen externen und internen Datenschutzbeauftragten unterschieden werden. Wurde ein externer Datenschutzbeauftragter benannt, liegt ein Dienstleistungsvertrag vor, der den Vertragsvereinbarungen entsprechend gekündigt werden kann. Ist der ernannte DSB Mitarbeiter des Unternehmens, ist dieser besonders geschützt. In § 6 Abs. 4 BDSG ist hierzu geregelt, dass eine Abberufung ausschließlich aus wichtigem Grund erfolgen kann. Damit gelten die gleichen Regelungen wie bei einer fristlosen Kündigung nach § 626 BGB.
Da der Datenschutzbeauftragte nach Art. 37 Abs. 7 DSGVO namhaft gemacht werden muss, können Aufsichtsbehörden leicht überprüfen, ob ein Unternehmen einen Datenschutzbeauftragten benannt hat. Da ein Verstoß gegen die Benennungspflicht bußgeldbewehrt ist, kann eine Fehlbeurteilung zu einem hohen Bußgeld führen (Art. 83 Abs. 4 lit. a) DSGVO).
Auch wenn ein Datenschutzbeauftragter benannt wird, bleibt das Unternehmen selbst dafür verantwortlich, die datenschutzrechtlichen Vorschriften einzuhalten. Und auch in Unternehmen, die nicht zur Benennung eines DSB verpflichtet sind, darf das Thema Datenschutz nicht weniger Beachtung finden. Bei fehlender bzw. unzureichender Expertise, die mit einem DSB gewährleistet wäre, kann es bei Fehlern ebenfalls zu hohen Strafzahlungsforderungen kommen. Prinzipiell steht es Unternehmen offen, auch freiwillig einen internen oder externen Datenschutzbeauftragten zu bestimmen.
Wenn Sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind oder diesen freiwillig etablieren wollen und auf der Suche nach einem externen Datenschutzbeauftragten sind, dann kontaktieren Sie uns gerne über unser Kontaktformular und vereinbaren Sie einen Termin für ein Beratungsgespräch. Auch wenn Sie sich nicht ganz sicher sind, ob Sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind, helfen unsere Juristen Ihnen, dies herauszufinden. Als DSB Ihres Unternehmens beraten wir Sie und stehen Ihnen bei allen Belangen rund um den Datenschutz mit Rat und Tat zur Seite. Gemeinsam mit Ihnen treffen wir alle notwendigen Maßnahmen, damit Sie in Sachen Datenschutz allzeit auf der rechtlich sicheren Seite sind. Werfen Sie gerne bereits einen ersten Blick auf unser Dienstleistungsportfolio oder melden Sie sich direkt persönlich bei uns.
Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.
An die benötigten Kompetenzen eines Datenschutzbeauftragten knüpft das Bundesdatenschutzgesetz diverse Voraussetzungen. Obwohl es keine „Ausbildung zum DSB“ gibt, werden technische Kenntnisse zur Datenverarbeitung oder auch juristische Kenntnisse für Datenschutzrecht vorausgesetzt.
Durch einen externen DSB umgehen Sie Interessenkonflikte in Ihrem Unternehmen und erhöhen oftmals die Akzeptanz des DSB durch den Betriebsrat. Ein externer Datenschutzbeauftragter bringt sich regelmäßig auf den aktuellen Wissensstand und sorgt für einen Überblick über eine marktübliche Umsetzung der datenschutzrechtlichen Anforderungen.
Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de
Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de