Wiki

Datenschutz-Akademie

Datenschutzbeauftragter

Wer muss einen Datenschutzbeauftragten bestellen? 

Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft nach DSGVO vorrangig Behörden und öffentliche Stellen. Aber auch Unternehmen deren Kerntätigkeit in der besonders umfangreichen Verarbeitung personenbezogener Daten oder der Verarbeitung von besonderen Kategorien von Daten (gemäß Artikel 9 und 10, DSGVO) liegt, müssen laut DSGVO einen Datenschutzbeauftragten bestellen. (siehe Artikel 37 DSGVO) 

Eine Öffnungsklausel in der DSGVO bietet jedem Mitgliedsstaat die Möglichkeit für sich engere Voraussetzungen für die Bestellung eines betrieblichen Datenschutzbeauftragten zu schaffen. So hat Deutschland im neuen Bundesdatenschutzgesetz u.a. die Bestellpflicht für betriebliche Datenschutzbeauftragte strenger als in der DSGVO geregelt.  

So ist die Benennung eines Datenschutzbeauftragten nach Art 38 BDSG für alle Unternehmen in Deutschland Pflicht, soweit sich in der Regel mindestens 20 Mitarbeiter (Entscheidung des Bundesrates am 20. September 2019)ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 

Zusammenfassend kann man als privates Unternehmen anhand von drei Kriterien gut zu prüfen, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Insofern mindestens eine der drei Kriterien zutrifft, ergibt sich eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten. Die Kriterien sind: 

  1. Die Anzahl der Mitarbeiter, die regelmäßig und wiederkehrend mit personenbezogenen Daten arbeitet, beträgt mindestens 20. (Mitarbeiter sind auch Hilfskräfte, Praktikanten, Leiharbeiter oder freie Mitarbeiter) 
  2. Es findet eine Verarbeitung einer besonderen Kategorie personenbezogener Daten statt. (Dazu zählen Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, GesundheitSexualleben oder Strafverhalten – siehe Artikel 9 und 10 DSGVO) 
  3. Personenbezogene Daten werden geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt (d.h. die Kerntätigkeit des Unternehmens besteht in diesen Verarbeitungsvorgängen). 

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar. 

Auch wenn das Unternehmen nach gesetzlichen Vorgaben nicht der Pflicht zur Benennung eines Datenschutzbeauftragten unterliegt, so müssen die Verordnungen des Datenschutzrechtes dennoch in vollem Umfang eingehalten werden. Dies stellt vor allem kleinere Unternehmen vor Herausforderungen, da schlicht das Datenschutz-Fachwissen fehlt. In solchen Fällen macht es durchaus Sinn, freiwillig einen Datenschutzbeauftragten zu bestellen. 

Was sind die Aufgaben eines Datenschutzbeauftragten? 

Die Pflichtaufgaben eines Datenschutzbeauftragten sind in Artikel 39 der DSGVO beschrieben und lassen sich in vier Blöcke unterteilen: 

1. Interne Aufgaben eines Datenschutzbeauftragten im Unternehmen 

Hierbei werden durch die DSGVO drei Hauptaufgaben festgelegt. Darunter fällt die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften. Weiterhin sollte der Datenschutzbeauftragte die Mitarbeiter entsprechend sensibilisieren und schulen und damit eine Datenschutzorganisation aufbauen. Er informiert über Datenschutzrichtlinien und Bekanntmachungen. Zudem ist er verpflichtet, beratend bei der Durchführung der Datenschutz-Folgeabschätzung tätig zu werden.  

Der DSB ist weiterhin zur Vorabkontrolle bei der Erhebung besonderer personenbezogener Daten berechtigt und erhält einen Gesamtüberblick über die Verfahrensverzeichnisse.

2. Funktion des Datenschutzbeauftragten im Verhältnis zur Aufsichtsbehörde

Der Datenschutzbeauftragte im Unternehmen ist Anlaufstelle für die Aufsichtsbehörde und zur Zusammenarbeit mit dieser verpflichtet. 

3. Der Datenschutzbeauftragte als Anlaufstelle für Betroffene

Der Datenschutzbeauftragte kann durch betroffene Personen in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten zu Rate gezogen werden.  

4. Der Datenschutzbeauftragte als Ansprechpartner für den Betrieb

Weiterhin ist er Ansprechpartner für die Geschäftsführung und die Mitarbeiter in allen Belangen im Umgang mit Nutzer- und Kundendaten. 

 

 

 

Sie wollen Ihr Risiko minimieren und den Datenschutz automatisiert und angeleitet umsetzen? Informieren Sie sich über die Features der Robin Data Software oder über die Bestellung unserer qualifizierten Datenschutzbeauftragten.

 

 

 

Interne versus externe Datenschutzbeauftragte 

Der Datenschutzbeauftragte kann intern oder extern benannt werden.  

Interne Datenschutzbeauftragte sind Angestellte des Unternehmens, die sich meist neben Ihrer Datenschutztätigkeit noch anderen Aufgaben widmen. Der Vorteil eines internen Datenschutzbeauftragten ist, dass er die Unternehmensprozesse gut kennt und sich wahrscheinlich nicht in die Strukturen einarbeiten mussEr wird sich aber andererseits auch ein umfangreiches Datenschutz-Fachwissen aneignen müssen, um seiner Aufgabe gerecht zu werden. Das geht meist mit kostspieligen Schulungen einher. Zudem ist darauf zu achten, dass ein interner Datenschutzbeauftragter keinem Interessenskonflikt unterliegt, d.h. er sich nicht selbst kontrollieren muss. 

Ein externer Datenschutzbeauftragter muss sich zwar zunächst in die Unternehmensprozesse einarbeiten, bringt aber profundes Datenschutz-Fachwissen und Erfahrung mit, wodurch er wahrscheinlich mit pragmatischen Lösungen beraten kann.  

Welche der beiden Optionen für ein Unternehmen vorteilhafter ist, hängt stark von den Anforderungen eines Unternehmens ab. 

Stellung des Datenschutzbeauftragten 

Um seinen Aufgaben gerecht werden zu können, ist in der DSGVO geregelt, dass ein Datenschutzbeauftragter ordnungsgemäß und frühzeitig in alle Fragen eingebunden werden muss, die sich mit dem Schutz personenbezogener Daten stellen (Artikel 38 DSGVO). Dazu erhält der Datenschutzbeauftragte Zugang zu allen Informationen, Verarbeitungstätigkeiten oder anderen Ressourcen, die dafür erforderlich sind. 

Der Datenschutzbeauftragte darf keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhalten und darf auch wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Interne Datenschutzbeauftragte genießen sogar einen besonderen Kündigungsschutz. 

Datenschutzbeauftragte sollten also unabhängig davon, ob es sich bei ihnen um Beschäftigte (also interne Datenschutzbeauftragte) handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können 

Zudem unterliegt der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben einer Geheimhaltungs- oder Vertraulichkeitsverpflichtung. 

Was macht den Datenschutzbeauftragten zu einem solchen? 

Ein Datenschutzbeauftragter muss eine gewisse Fachkunde im Bereich des Datenschutzrechts, der Datenschutzpraxis und der IT-Sicherheit mitbringen, die sich an den Anforderungen der Datenverarbeitung und Größe des Unternehmens orientiert. Zudem muss er die Fähigkeit zur Erfüllung der oben beschriebenen Aufgaben nach Artikel 39 DSGVO mitbringen. 

Konkrete Vorgaben hinsichtlich der Kenntnisse oder Ausbildung sind jedoch weder in der DSGVO noch im Bundesdatenschutzgesetz vorgesehen. Von daher kann grundsätzlich jeder Datenschutzbeauftragter werden. 

Um das Datenschutz-Fachwissen zu belegen, sollte der Datenschutzbeauftrage entweder eine Ausbildung zum Datenschutzbeauftragten absolviert haben oder nachweislich über Fachkenntnisse verfügen (z.B. Fachanwälte für Datenschutz)Verschiedene staatlich anerkannte Institutionen, wie der TÜV, DEKRA oder die Industrie- und Handelskammer bieten eine seriöse Zertifizierungen als Datenschutzbeauftragter an.

Persönliche Haftung eines Datenschutzbeauftragten 

Datenschutzrechtlich ist die verantwortliche Stelle stets das Unternehmen selbst. Der Datenschutzbeauftrage hat nach Artikel 39 DSGVO jedoch klar definierte Aufgaben, so u.a. auch eine umfassende Kontrollpflicht. Tritt der Ernstfall einer Datenschutzverletzung ein, so drohen hohe BußgelderKann dem Datenschutzbeauftragte eine Vernachlässigung seiner Aufgaben nachgewiesen werden, so resultieren daraus Schadensersatzansprüche an diesen. 

Interne Datenschutzbeauftrage sind Angestellte und unterliegen mit ihrer Haftung deshalb dem Arbeitsrecht. Aber auch hier gilt: wer vorsätzlich oder grob fahrlässig handelt, haftet regelmäßig allein und in vollem Umfang. Bei normaler Fahrlässigkeit wird die Last in der Regel zwischen Arbeitgeber und Arbeitnehmer verteilt und nur bei leichter Fahrlässigkeit ist der interne Datenschutzbeauftragte von der Haftung freigestellt. 

Bei externen Datenschutzbeauftragten verhält es sich ähnlich, nur dass diese natürlich nicht den Regularien des Arbeitsrechts unterliegenIn der Regel haften externe Datenschutzbeauftrage daher gegenüber dem Geschädigten schon bei leichter Fahrlässigkeit in voller Höhe. 

Die Haftung eines Datenschutzbeauftragten ist ein Thema, welchem noch nicht allzu große Aufmerksamkeit geschenkt wurde. Das liegt daran, dass in der Praxis die Bußgelder und damit auch die Schadenersatzansprüche noch keine große Rolle eingenommen haben. Mit steigenden Bußgeld-Verordnungen wird es künftig aber in jedem Fall an Bedeutung gewinnen.

Ist der Datenschutzbeauftragte bestellt, hat der Verantwortliche die Kontaktdaten öffentlich zu machen und die Bestellung der Aufsichtsbehörde mitzuteilen. Bei Unternehmensgruppen kann auch ein gemeinsamer betrieblicher Datenschutzbeauftragter bestellt werden. 

 

Weiterführende Links:

Robin Data Software

Robin Data macht die Datenschutz-Umsetzung einfach. Die Software konfiguriert einen Großteil der Dokumentation automatisch, nur indem Sie Ihre Branche angeben. Klingt einfach? Ist es auch!

 

JETZT KOSTENFREI BERATEN LASSEN