+49 (0) 8323 – 209 99 40
info@immerce.de

Wer braucht einen Datenschutzbeauftragten?

Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.

Wer braucht einen Datenschutzbeauftragten?

Gemäß Artikel 37 der DSGVO benötigen alle Unternehmen, in denen personenbezogene Daten verarbeitet werden, automatisch einen Datenschutzbeauftragten. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden.

 

Für kleine Unternehmen gibt es eine Ausnahme: Ein Unternehmen muss nur dann einen Datenschutzbeauftragten ernennen, wenn mindestens zwanzig Mitarbeiter regelmäßig mit solchen Daten umgehen. Jeder Mitarbeiter zählt jedoch – auch wenn er personenbezogene Daten nur einmal pro Woche verarbeitet oder in Teilzeit arbeitet. Weil die meisten Aufgaben am Computer Mitarbeiter betreffen, die mit personenbezogenen Daten in Kontakt kommen. Es reicht aus, wenn Sie die E-Mail-Adresse eines Kunden speichern. Unabhängig von der Anzahl der Personen benötigt ein Unternehmen auch einen Datenschutzbeauftragten, wenn:

 

  •  Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig ist. Dies gilt für besonders sensible Daten oder wenn für die Betroffenen ein hohes Risiko besteht, wenn die Informationen missbraucht werden: z. B. Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder Gesundheit. Selbst wenn ein Unternehmen eine Videokamera auf dem Werksgelände aufstellt, gelten diese Bilder als besonders empfindlich.

 

  •  Das Unternehmen personenbezogene Daten an Dritte übermittelt – wie beim klassischen Adresshandel – oder sie zu Markt- und Meinungsforschungszwecken verarbeitet.

 

 

Was hat die DSGVO für Datenschutzbeauftragte von Unternehmen geändert?

Die wichtigsten Änderungen auf einen Blick:

  • Unternehmen müssen die Kontaktdaten (Telefonnummer oder E-Mail-Adresse) des Datenschutzbeauftragten veröffentlichen: für ihre eigenen Mitarbeiter, beispielsweise im Intranet und, sobald Kundendaten verarbeitet werden, auf der Unternehmenswebsite. Darüber hinaus muss das Unternehmen der staatlichen Datenschutzbehörde die Kontaktdaten des Datenschutzbeauftragten gemäß Artikel 37 Absatz 7 DSGVO mitteilen. Diese schaltet sich bei Datenschutzverstößen ein.
  • Die neue Verordnung will, dass der Datenschutzbeauftragte noch aktiver wird: Er sollte das Unternehmen nicht nur zum Datenschutz beraten, sondern auch überwachen. In der Vergangenheit konnte er seine Meinung äußern, wenn der Chef beispielsweise neue Software zur Verarbeitung personenbezogener Daten einführen wollte. Jetzt muss er sicherstellen, dass die Daten im neuen System tatsächlich geschützt sind.
  • Unternehmensgruppen können jetzt einen gemeinsamen Datenschutzbeauftragten ernennen. Aber nur, wenn dies „leicht erreicht werden kann“ wie in Artikel 37 Absatz 2 definiert – auch persönlich. Dazu müssen Unternehmen zuvor gemeinsam Daten verarbeitet haben.
  •  In vielen Unternehmen ist das Thema Datenschutzbeauftragte eher nebensächlich. Dies wird jetzt riskanter: Gesetzesverstöße können zu deutlich höheren Strafen führen. Darüber hinaus können Personen, deren Daten falsch sind, die Unternehmen direkt verklagen.

 

Was sind die Aufgaben eines Datenschutzbeauftragten?

Er stellt sicher, dass das Unternehmen alle Datenschutzanforderungen erfüllt. Seine Aufgaben sind in Artikel 39 der DSGVO enthalten:

 

  • Der Datenschutzbeauftragte berät die Verantwortlichen im Unternehmen zum Datenschutz – kann aber ohne sie keine Entscheidungen treffen.
  • Er sensibilisiert und schult andere Mitarbeiter. Dazu muss er sie regelmäßig schulen und ihnen zeigen: Wie sieht ein sicheres Passwort aus? Wie vermeide ich, dass andere auf den Bildschirm schauen, wenn ich unterwegs an meinem Laptop arbeite? Die DSGVO gibt nicht an, wie oft er diese interne Schulung geben muss. Es kommt auch darauf an, wie groß das Unternehmen ist.
  • Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen. Er ist nicht verpflichtet, sich dort freiwillig zu melden, wenn er etwas im Unternehmen bemerkt. Wenn die Behörde ihn jedoch wegen einer Beschwerde kontaktiert, muss er ihr bei der Untersuchung des Falls helfen.
  • Er ist Ansprechpartner für betroffene Personen. Wenn beispielsweise ein E-Mail-Anhang mit personenbezogenen Daten an den falschen Adressaten gesendet wird und die betroffene Person davon Kenntnis hat, kann sie sich beim Datenschutzbeauftragten beschweren und nachfragen. Die allgemeine Datenschutzverordnung erweitert die Rechte der betroffenen Personen.

 

Was muss, der Datenschutzbeauftragte (können)?

Er braucht Kenntnisse: Er sollte mit der technischen Datenverarbeitung im Unternehmen vertraut sein und mit rechtlichen Fragen zum Datenschutzrecht vertraut sein. Wenn der Geschäftsführer seinen eigenen Mitarbeiter zum Datenschutzbeauftragten ernennen möchte, muss er prüfen: Was kann der Mitarbeiter tun? Mit welchen Themen muss er sich noch vertraut machen? Wenn sich ein Unternehmer beispielsweise für einen IT-Experten entscheidet, weiß er viel über Technologie, benötigt aber noch eine juristische Ausbildung. Die Verordnung regelt nicht eindeutig, wie viel Fachwissen ausreicht.  Der Datenschutzbeauftragte einer Arztpraxis muss sich mit anderen Fragen als seinem Kollegen bei einem Adresseinzelhandelsunternehmen befassen.

 

Wenn die Aufsichtsbehörde im Falle einer Beschwerde feststellt, dass der Datenschutzbeauftragte keine Ahnung von den Daten in seinem eigenen Unternehmen hat, kann dies teuer werden: Verstöße gegen die allgemeine Datenschutzverordnung können zu Geldstrafen von bis zu 20 Millionen Euro führen oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist.

 

 

Wer kann Datenschutzbeauftragter werden?

Theoretisch jeder, der genug weiß. Ein Mitarbeiter aus Ihrem eigenen Unternehmen kann auch zum Datenschutzbeauftragten ernannt werden. In der Praxis ist es jedoch nicht so einfach; denn gerade kleine Unternehmen haben oft niemanden, der den Datenschutz durchschauen kann. Darüber hinaus können interne Mitarbeiter Interessenkonflikte haben: Beispielsweise sind Geschäftsführer, IT- oder Personalleiter ungeeignet.

 

 

Interner oder externer Datenschutzbeauftragter – was ist besser?

Dem Geschäftsführer steht es frei, einen internen oder externen Datenschutzbeauftragten zu ernennen. Beides hat Vor- und Nachteile: Ein Datenschutzbeauftragter des Unternehmens kennt das Unternehmen und die Prozesse viel besser, kann jedoch schneller in einen Interessenkonflikt geraten. Darüber hinaus muss er zunächst Kenntnisse über den Datenschutz erwerben. Ein externer Datenschutzbeauftragter bringt dies häufig mit. Er hat auch eine objektivere Sicht auf das Unternehmen. Ein weiterer Vorteil: Wenn er nicht ordnungsgemäß arbeitet und eine Beschwerde vorliegt, haftet ein externer Datenschutzbeauftragter – auch bei Fahrlässigkeit. Er muss sich jedoch noch mit dem Unternehmen vertraut machen.

Vorheriger Beitrag Was versteht man unter Personenbezogenen Daten? Nächster Beitrag Welche Rechte haben betroffene Personen unter der DSGVO?
Menü
Beratung
Telefon





    Bitte beachten Sie unsere Datenschutzerklärung.

    Telefon:

    +49 (0)8323 – 209 99 40

    Öffnungszeiten:
    Mo. – Fr.: 08:00 – 17:30 Uhr