Wann braucht man einen Datenschutzbeauftragten?

Wann braucht wann einen Datenschutzbeauftragten?

Ab wann man, bzw. wer einen Datenschutzbeauftragten braucht, wird in der DSGVO und im BDSG festgehalten.

Es sind drei Konkrete Fälle zu nennen, bei denen eine gesetzliche Verpflichtung vorliegt:

1. In einem Unternehmen werden von mindestens 20 Mitarbeitern personenbezogene Daten automatisiert bearbeitet.

Laut § 4f Abs. 1 Satz 3 BDSG ist es irrelevant, ob es sich dabei um freie, fest angestellte Mitarbeiter oder Aushilfen handelt. Von einer automatisierten Verarbeitung von Daten wird also gesprochen, sobald diese Arbeit am Computer verrichtet wird, egal wer diese ausführt.

2. In einem Unternehmen werden besondere, sensible Daten verarbeitet.

Laut § 4f Abs. 1 Satz 5 BDSG besteht unabhängig von der Anzahl der Mitarbeiter die Pflicht, einen Datenschutzbeauftragten zu engagieren, sobald Daten wie beispielsweise Gesundheits- oder Bonitätsdaten verarbeitet werden.

3. In einem Unternehmen werden personenbezogene Daten geschäftsmäßig verarbeitet.

Laut § 4f Abs. 1 Satz 5 BDSG ist man zur Bestellung eines Datenschutzbeauftragten verpflichtet, sobald man personenbezogene Daten geschäftsmäßig verarbeitet, übermittelt oder erhebt.

Was ist der Unterschied zwischen DSGVO und BDSG?

Die Verordnungen sind beide anerkannt und geltend.

Die Datenschutz-Grundverordnung (DSGVO) ist eine europaweite Verordnung und wird von jedem einzelnem Mitgliedsstaat umgesetzt. Sie besteht zum Schutz von Personen, deren personenbezogenen Daten verwendet werden.

Durch das BDSG-neu werden diese Regelungen ergänzt, konkretisiert und spezifiziert.

Was versteht man unter personenbezogenen Daten?

Laut der DSGVO fallen unter personenbezogenen Daten alle Informationen über eine identifizierbare oder identifizierte, natürliche Person.

Auch Teilinformationen, welche gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen personenbezogene Daten dar. Einzelangaben über juristische Personen, wie Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten.

Besondere Kategorien personenbezogener Daten werden nach Artikel 9 DSGVO zusätzlich geschützt. Darunter fallen zum Beispiel Gesundheitsdaten, Angaben über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.

Beispiele für personenbezogene Daten:

Name, Alter, Familienstand und Geburtsdatum
Adressdaten, Telefonnummer und E-Mail-Adresse
Personalausweisnummer sowie Sozialversicherungsnummer
Konto- und Kreditkartennummer
Kraftfahrzeugnummer, Kfz-Kennzeichen
Werturteile (Zeugnisse)
Vorstrafen
Gesundheitsdaten und genetische Daten

Änderungen für Datenschutzbeauftragte aufgrund der DSGVO

Die wichtigsten Änderungen finden Sie hier auf einen Blick:

Unternehmen haben die Pflicht, die Kontaktdaten (Telefonnummer bzw. E-Mail-Adresse) des DSB für die eigenen Mitarbeiter zu veröffentlichen.
Sobald Kundendaten verarbeitet werden, müssen diese Angaben über den DSB auch auf der Webseite sichtbar sein. Außerdem ist es die Aufgabe der Unternehmen die Kontaktdaten des DSB, gemäß Artikel 37 Absatz 7 DSGVO, der staatlichen Datenschutzbehörde zu übermitteln, da diese sich bei Datenschutzverstößen mit einschalten.

Datenschutzbeauftragte müssen Unternehmen nicht nur beraten, sondern sollen diese bei ihren Aktivitäten überwachen und sicherstellen, dass die Daten tatsächlich geschützt sind. In der Vergangenheit war es ausreichend, wenn der Datenschutzbeauftragte seine Meinung äußerte, wenn beispielsweise eine neue Software zur Verarbeitung von personenbezogenen Daten eingeführt wurde. Jetzt ist er dazu verpflichtet, die neuen Systeme auf Datensicherheit zu überprüfen und diese wahren.

Gemäß Artikel 37 Absatz 2 könne Unternehmensgruppen nun einen gemeinsamen Datenschutzbeauftragten ernennen. Dieser muss jedoch von jeder Niederlassung leicht erreichbar sein. Ein gemeinsamer Datenschutzbeauftragter wird auch als Konzerndatenschutzbeauftragter bezeichnet.

Verstöße gegen Gesetze der DSGVO werden immer strenger gehandhabt. Ein solches Vergehen kann sehr teuer werden, als Strafe droht ein erhebliches Bußgeld. Die Aufsichtsbehörde darf bis zu vier Prozent des weltweit erzählten Jahresumsatzes des letzten Geschäftsjahres als Strafzahlung verhängen.

Welche Aufgaben hat der Datenschutzbeauftragte?

Der Unternehmensverantwortliche bleibt selbst immer für die Umsetzung der datenschutzrechtlichen Vorgaben zuständig. Die Aufgabe eines DSB ist also nur dem Unternehmen und seinen Verantwortlichen beratend zur Seite zu stehen und über die Einhaltung des Datenschutzes zu überwachen.

So kann ein Datenschutzbeauftragter durch die Beratung und Überwachung einen effektiven Schutz von personenbezogenen Daten sicherstellen.

Unterrichtung und Beratung

Der Datenschutzbeauftragte hat die Pflicht zur Unterrichtung, heißt so viel wie die allgemeine Aufklärung über datenschutzrechtliche Pflichten. Außerdem berät er die Unternehmen und unterstützt diese bei der Lösung konkreter Probleme. Diese Pflicht muss gegenüber dem Verantwortlichen selbst und seinen Mitarbeitern erfüllt werden.

Überwachung

Der Datenschutzbeauftragte hat auch die Aufgabe das Unternehmen zu überwachen. Er muss gewissermaßen als eine Art Außenstelle der Aufsichtsbehörde „ein Auge“ auf die Einhaltung von datenschutzrechtlichen Vorgaben haben.

Die wichtigsten Überwachungsmaßnahmen sind:

Die Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
Die Zuweisung von Zuständigkeiten
Die diesbezügliche Überprüfung

Konkrete Aufgaben eines Datenschutzbeauftragten im Überblick

Im Weiteren werden die Aufgaben des Datenschutzbeauftragten erklärt.

Erstellung von Richtlinien

Ein Datenschutzbeauftragter muss das Unternehmen bei der Konzipierung rechtlicher Dokumente mit datenschutzrechtlichem Bezug beraten. Dazu zählen beispielsweise der Umgang mit personengeschützten Daten, Betriebsvereinbarungen, Richtlinien zur privaten Internet- sowie E-Mail-Nutzung oder zu allgemeinen Datenschutzrichtlinien.

Auch eine essenzielle Aufgabe des DSB ist die Beratungstätigkeit bei der Erstellung von Datenschutzerklärungen zur Erfüllung der Informationspflicht.

Erstellen von Verzeichnissen der Verarbeitungstätigkeiten

Die Erstellung des Verarbeitungsverzeichnisses (VVT) fällt nicht in den Aufgabenbereich eines DSB. Er ist viel mehr zuständig für die Beratung der Verantwortlichen bzw. Auftragsverarbeiter, welche ein solches Verzeichnis anlegen müssen.

Je nach Größe des Unternehmens kann dieses sehr umfassend sein und daher muss der Datenschutzbeauftragte das Verzeichnis auch auf Schlüssigkeit überprüfen.

Durchführen einer Datenschutzfolgenabschätzung

Datenschutzfolgenabschätzungen (DSFA) müssen bei bestimmten Datenverarbeitungen von dem Verantwortlichen durchgeführt werden. Nach dem Gesetzwortlaut muss der Datenschutzbeauftragte frühzeitig und ordnungsgemäß in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen eingebunden werden.

Mitwirken bei der Kontrolle von Mitarbeitern

Sobald ein Missbrauch von Daten angenommen wird, oder beispielsweise ein Verstoß gegen das Verbot einer privaten Internet- oder E-Mail Nutzung vorliegt, sind Kontrollen erforderlich.

Diese werden von Seiten des Arbeitgebers durchgeführt. Bei Interaktionen dieser Art, sollte immer ein Datenschutzbeauftragter mit einbezogen werden, welcher bei der Kontrolle hilft und diese auch überwacht.

Mitarbeiterschulungen im Bereich Datenschutz

Die Schulung selbst ist normalerweise nicht im Aufgabenbereich eines DSB. Seine Aufgabe ist viel mehr, die ordnungsmäßige Durchführung der Schulung vom Verantwortlichen zu überwachen. Außerdem sollte der Datenschutzbeauftragte immer in die Konzipierung der Schulung mit eingebunden werden.

Es kann jedoch auch öfters dazu kommen, dass der Datenschutzbeauftragte die Schulungen der Mitarbeiter selbst übernimmt. Das hat einige Vorteile, da er sehr gut auf Fragen aus dem Arbeitsalltag eingehen kann. Außerdem bauen die Mitarbeiter eher Vertrauen auf und haben dann eine geringere Hemmschwelle, wenn es darum geht im Tagesgeschäft auf den Datenschutzbeauftragten zuzugehen.

Wer darf Datenschutzbeauftragter werden?

Es kommt sehr oft vor, dass bei der Bestellung eins Datenschutzbeauftragten Fehler gemacht werden. Wenn solche Fehler entstehen, kommt es zu einer unwirksamen Bestellung und sie ist damit ungültig.

Laut § 43 Abs. 1 Nr. 2 BDSG gilt es dann, als hätte man keinen Datenschutzbeauftragten bestellt. Daher können dafür Bußgelder bis zu 50.000 Euro fällig werden.

Die Frage, ob jeder Mitarbeiter als Datenschutzbeauftragter ernannt werden darf, lässt sich also klar mit Nein beantworten. Laut dem Gesetz ist jeder Mitarbeiter ausgeschlossen, welcher in einen Interessenkonflikt geraten könnte oder bei dem eine Gefahr der Selbstkontrolle besteht.

Dieses Gesetz gilt sowohl für Personen im Unternehmen als auch für Personen außerhalb. Besonders gefährdet und typisch sind beispielsweise Geschäftsführer, IT-Leiter, Administratoren und all diejenigen, die sich selbst und das eigene Unternehmen kontrollieren würden.

Interner- oder externer Datenschutzbeauftragter?

Dem Geschäftsführer steht es vollkommen frei, ob er einen internen- oder externen Datenschutzbeauftragten bestellt. Interne- sowie externe Datenschutzbeauftragte haben beide ihre Vor- und Nachteile.

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte hat einige Vorteile, da er selbst schon länger in dem Unternehmen tätig ist.

Er kennt die Ansprechpartner und das Unternehmen schon sehr gut. Außerdem ist er in die tägliche Kommunikation mit eingebunden, da er sowieso vor Ort ist. Dazu kommt noch, dass die Kosten vordergründig unverändert bleiben, da kein zusätzlicher Mitarbeiter eingestellt werden muss.

Jedoch ist es oftmals sehr schwierig, eine geeignete qualifizierte Person innerhalb des Betriebs zu finden. Ein weiteres Problem ist, dass durch Unwissenheit des internen Datenschutzbeauftragten bestehende suboptimale Lösungen beibehalten werden. Außerdem sind der Arbeitsaufwand und die Kosten für interne DSB meist schwer kalkulierbar.

Externer Datenschutzbeauftragter

Der externe DSB hat den Überblick über eine marktübliche Umsetzung und ist meist schneller und qualifizierter als der interne DSB. Darüber hinaus kann er auf bestehende Unterlagen zurückgreifen.

Außerdem bekommt der externe DSB meist schnellere qualifizierte Antworten, da kein Konkurrenzverhältnis besteht und dem „Beauftragten der Geschäftsführung“ schnell weitergeholfen wird. Dazu kommt, dass ein externer DSB meist auf eine bessere Akzeptanz beim Betriebsrat stößt.

Es gibt jedoch auch einige Nachteile, die mit einem externen DSB verbunden sind. Es können beispielsweise unter Umständen nicht geplante Zusatzkosten auftreten. Außerdem muss er in die bestehenden Prozesse eingelernt werden, da er nicht automatisch eingebunden ist und oft fehlt die Branchenkenntnis, weil der DSB noch nie in diesem Bereich tätig war.

FAQ

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Gemäß der DSGVO sind klare Richtlinien festgelegt, die angeben, ab wann Verantwortliche oder Auftragsverarbeiter dazu verpflichtet sind, einen DSB zu benennen.

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn sie 20 oder mehr Mitarbeiter beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies gilt auch für öffentliche Stellen oder Behörden, mit Ausnahme von Gerichten während ihrer justiziellen Tätigkeiten.

Die Pflicht zur Benennung eines DSB besteht auch, wenn die Haupttätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche regelmäßige und systematische Überwachung erfordert, sei es aufgrund der Art, des Umfangs oder der Menge der betroffenen Personen. Darüber hinaus ist die Benennung eines Datenschutzbeauftragten erforderlich, wenn personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten verarbeitet werden.

Ab welcher Mitarbeiterzahl besteht die Pflicht zum Datenschutzbeauftragten?

Nach deutschem Recht (§ 38 des Bundesdatenschutzgesetzes - BDSG-neu) muss ein betrieblicher Datenschutzbeauftragter (DSB) bestellt werden, wenn in einem Unternehmen regelmäßig mindestens 20 Personenintensiv mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Diese Vorgabe konkretisiert die Anforderungen der DSGVO und hebt die frühere Schwelle von 10 Mitarbeitern auf, die im vorherigen BDSG galt.

Hinweis: Auch Teilzeitkräfte, Aushilfen und Praktikanten werden bei der Berechnung der erforderlichen Mitarbeiteranzahl vollständig berücksichtigt.

Was passiert, wenn man keinen Datenschutzbeauftragten bestellt?

Wenn eine Organisation gemäß der Datenschutz-Grundverordnung (DSGVO) oder anderen anwendbaren Datenschutzgesetzen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, und diese Bestellung unterbleibt, kann das rechtliche Konsequenzen haben.

Zu den möglichen Folgen gehören Bußgelder, die von den Aufsichtsbehörden verhängt werden können, wenn Verstöße gegen die Bestimmungen zur Bestellung eines Datenschutzbeauftragten festgestellt werden. Die Aufsichtsbehörden können auch rechtliche Schritte gegen das Unternehmen einleiten.

Das Fehlen eines Datenschutzbeauftragten kann auch zu einem Reputationsverlust führen, da deutlich wird, dass die Datenschutzanforderungen nicht ausreichend beachtet werden. In einigen Fällen können Aufsichtsbehörden anordnen, dass die Verarbeitung personenbezogener Daten eingeschränkt wird, wenn kein Datenschutzbeauftragter bestellt wurde.

Darüber hinaus könnten betroffene Personen unter bestimmten Umständen zivilrechtliche Ansprüche geltend machen, wenn ihre Datenschutzrechte aufgrund des Fehlens eines Datenschutzbeauftragten verletzt wurden.

Welche Formvorschriften gelten für die Benennung eines Datenschutzbeauftragten?

Die Benennung eines Datenschutzbeauftragten sollte grundsätzlich schriftlich erfolgen, sei es durch eine E-Mail oder einen offiziellen Brief. Dabei ist wichtig, dass die Identifikation des Datenschutzbeauftragten klar mit seinem Namen und seinen Kontaktdaten erfolgt. Die Kontaktdaten des Datenschutzbeauftragten sollten sowohl intern als auch extern, insbesondere für die Aufsichtsbehörde, transparent veröffentlicht werden.

In manchen Fällen ist es erforderlich, die Benennung der Datenschutzaufsichtsbehörde zu melden. Damit der Datenschutzbeauftragte effektiv agieren kann, sollte er die Möglichkeit haben, unabhängig zu handeln undangemessene Ressourcen für seine Aufgaben zu erhalten. Eine sorgfältige Dokumentation der Benennung und der zugehörigen Prozesse ist entscheidend, um die Einhaltung der Datenschutzvorschriften nachweisen zu können.

VORHERIGER BEITRAG Umgang mit Hinweisen nach dem HinSchG

NÄCHSTER BEITRAG Google Fonts DSGVO - konform verwenden

Ab wann braucht man einen Datenschutzbeauftragten?