Wer braucht einen Datenschutzbeauftragten?
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Gemäß Artikel 37 der DSGVO benötigen alle Unternehmen, in denen personenbezogene Daten verarbeitet werden, automatisch einen Datenschutzbeauftragten. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden.
Für kleine Unternehmen gibt es eine Ausnahme: Ein Unternehmen muss nur dann einen Datenschutzbeauftragten ernennen, wenn mindestens zwanzig Mitarbeiter regelmäßig mit solchen Daten umgehen. Jeder Mitarbeiter zählt jedoch – auch wenn er personenbezogene Daten nur einmal pro Woche verarbeitet oder in Teilzeit arbeitet. Weil die meisten Aufgaben am Computer Mitarbeiter betreffen, die mit personenbezogenen Daten in Kontakt kommen. Es reicht aus, wenn Sie die E-Mail-Adresse eines Kunden speichern. Unabhängig von der Anzahl der Personen benötigt ein Unternehmen auch einen Datenschutzbeauftragten, wenn:
Die wichtigsten Änderungen auf einen Blick:
Er stellt sicher, dass das Unternehmen alle Datenschutzanforderungen erfüllt. Seine Aufgaben sind in Artikel 39 der DSGVO enthalten:
Er braucht Kenntnisse: Er sollte mit der technischen Datenverarbeitung im Unternehmen vertraut sein und mit rechtlichen Fragen zum Datenschutzrecht vertraut sein. Wenn der Geschäftsführer seinen eigenen Mitarbeiter zum Datenschutzbeauftragten ernennen möchte, muss er prüfen: Was kann der Mitarbeiter tun? Mit welchen Themen muss er sich noch vertraut machen? Wenn sich ein Unternehmer beispielsweise für einen IT-Experten entscheidet, weiß er viel über Technologie, benötigt aber noch eine juristische Ausbildung. Die Verordnung regelt nicht eindeutig, wie viel Fachwissen ausreicht. Der Datenschutzbeauftragte einer Arztpraxis muss sich mit anderen Fragen als seinem Kollegen bei einem Adresseinzelhandelsunternehmen befassen.
Wenn die Aufsichtsbehörde im Falle einer Beschwerde feststellt, dass der Datenschutzbeauftragte keine Ahnung von den Daten in seinem eigenen Unternehmen hat, kann dies teuer werden: Verstöße gegen die allgemeine Datenschutzverordnung können zu Geldstrafen von bis zu 20 Millionen Euro führen oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist.
Theoretisch jeder, der genug weiß. Ein Mitarbeiter aus Ihrem eigenen Unternehmen kann auch zum Datenschutzbeauftragten ernannt werden. In der Praxis ist es jedoch nicht so einfach; denn gerade kleine Unternehmen haben oft niemanden, der den Datenschutz durchschauen kann. Darüber hinaus können interne Mitarbeiter Interessenkonflikte haben: Beispielsweise sind Geschäftsführer, IT- oder Personalleiter ungeeignet.
Dem Geschäftsführer steht es frei, einen internen oder externen Datenschutzbeauftragten zu ernennen. Beides hat Vor- und Nachteile: Ein Datenschutzbeauftragter des Unternehmens kennt das Unternehmen und die Prozesse viel besser, kann jedoch schneller in einen Interessenkonflikt geraten. Darüber hinaus muss er zunächst Kenntnisse über den Datenschutz erwerben. Ein externer Datenschutzbeauftragter bringt dies häufig mit. Er hat auch eine objektivere Sicht auf das Unternehmen. Ein weiterer Vorteil: Wenn er nicht ordnungsgemäß arbeitet und eine Beschwerde vorliegt, haftet ein externer Datenschutzbeauftragter – auch bei Fahrlässigkeit. Er muss sich jedoch noch mit dem Unternehmen vertraut machen.