Wer braucht wann einen Datenschutzbeauftragten?

Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.

Wer braucht wann einen Datenschutzbeauftragten?

Ab wann man, bzw. wer einen Datenschutzbeauftragten braucht, wird in der DSGVO und im BDSG festgehalten. Es sind drei Konkrete Fälle zu nennen, bei denen eine gesetzliche Verpflichtung vorliegt.

  1. In einem Unternehmen werden von mindestens 20 Mitarbeitern personenbezogene Daten automatisiert bearbeitet.

Laut § 4f Abs. 1 Satz 3 BDSG ist es irrelevant, ob es sich dabei um freie, fest angestellte Mitarbeiter oder Aushilfen handelt. Von einer automatisierten Verarbeitung von Daten wird also gesprochen, sobald diese Arbeit am Computer verrichtet wird, egal wer diese ausführt.

  1. In einem Unternehmen werden besondere, sensible Daten verarbeitet.

Laut § 4f Abs. 1 Satz 5 BDSG besteht unabhängig von der Anzahl der Mitarbeiter die Pflicht, einen Datenschutzbeauftragten zu engagieren, sobald Daten wie beispielsweise Gesundheits- oder Bonitätsdaten verarbeitet werden.

  1. In einem Unternehmen werden personenbezogene Daten geschäftsmäßig verarbeitet.

Laut § 4f Abs. 1 Satz 5 BDSG ist man zur Bestellung eines Datenschutzbeauftragten verpflichtet, sobald man personenbezogene Daten geschäftsmäßig verarbeitet, übermittelt oder erhebt.

Der Unterschied zwischen DSGVO und BDSG: Gelten beide?

Die Verordnungen sind beide anerkannt und geltend.

Die Datenschutz-Grundverordnung (DSGVO) ist eine europaweite Verordnung und wird von jedem einzelnem Mitgliedsstaat umgesetzt. Sie besteht zum Schutz von Personen, deren personenbezogenen Daten verwendet werden.

Durch das BDSG-neu werden diese Regelungen ergänzt, konkretisiert und spezifiziert.

Was versteht man unter personenbezogenen Daten?

Laut der DSGVO fallen unter personenbezogenen Daten alle Informationen über eine identifizierbare oder identifizierte, natürliche Person.

Auch Teilinformationen, welche gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen personenbezogene Daten dar. Einzelangaben über juristische Personen, wie Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten.

Besondere Kategorien personenbezogener Daten werden nach Artikel 9 DSGVO zusätzlich geschützt. Darunter fallen zum Beispiel Gesundheitsdaten, Angaben über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.

Beispiele für personenbezogene Daten:

  • Name, Alter, Familienstand und Geburtsdatum
  • Adressdaten, Telefonnummer und E-Mail-Adresse
  • Personalausweisnummer sowie Sozialversicherungsnummer
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Werturteile (Zeugnisse)
  • Vorstrafen
  • Gesundheitsdaten und genetische Daten

Änderungen für Datenschutzbeauftragte aufgrund der DSGVO

Die wichtigsten Änderungen finden Sie hier auf einen Blick:

  • Unternehmen haben die Pflicht, die Kontaktdaten (Telefonnummer bzw. E-Mail-Adresse) des Datenschutzbeauftragten für die eigenen Mitarbeiter zu veröffentlichen.
    Sobald Kundendaten verarbeitet werden, müssen diese Angaben über den Datenschutzbeauftragten auch auf der Webseite sichtbar sein. Außerdem ist es die Aufgabe der Unternehmen die Kontaktdaten des Datenschutzbeauftragten, gemäß Artikel 37 Absatz 7 DSGVO, der staatlichen Datenschutzbehörde zu übermitteln, da diese sich bei Datenschutzverstößen mit einschalten.

 

  • Datenschutzbeauftragte müssen Unternehmen nicht nur beraten, sondern sollen diese bei ihren Aktivitäten überwachen und sicherstellen, dass die Daten tatsächlich geschützt sind.
    In der Vergangenheit war es ausreichend, wenn der Datenschutzbeauftragte seine Meinung äußerte, wenn beispielsweise eine neue Software zur Verarbeitung von personenbezogenen Daten eingeführt wurde. Jetzt ist er dazu verpflichtet, die neuen Systeme auf Datensicherheit zu überprüfen und diese wahren.

 

  • Gemäß Artikel 37 Absatz 2 könne Unternehmensgruppen nun einen gemeinsamen Datenschutzbeauftragten ernennen. Dieser muss jedoch von jeder Niederlassung leicht erreichbar sein. Ein gemeinsamer Datenschutzbeauftragter wird auch als Konzerndatenschutzbeauftragter bezeichnet.

 

  • Verstöße gegen Gesetze der DSGVO werden immer strenger gehandhabt. Ein solches Vergehen kann sehr teuer werden, als Strafe droht ein erhebliches Bußgeld. Die Aufsichtsbehörde darf bis zu vier Prozent des weltweit erzählten Jahresumsatzes des letzten Geschäftsjahres als Strafzahlung verhängen.

Aufgabenbereich eines Datenschutzbeauftragten

Der Unternehmensverantwortliche bleibt selbst immer für die Umsetzung der datenschutzrechtlichen Vorgaben zuständig. Die Aufgabe eines Datenschutzbeauftragten ist also nur dem Unternehmen und seinen Verantwortlichen beratend zur Seite zu stehen und über die Einhaltung des Datenschutzes zu überwachen.

So kann ein Datenschutzbeauftragter durch die Beratung und Überwachung einen effektiven Schutz von personenbezogenen Daten sicherstellen.

– Unterrichtung und Beratung

Der Datenschutzbeauftragte hat die Pflicht zur Unterrichtung, heißt so viel wie die allgemeine Aufklärung über datenschutzrechtliche Pflichten. Außerdem berät er die Unternehmen und unterstützt diese bei der Lösung konkreter Probleme.

Diese Pflicht muss gegenüber dem Verantwortlichen selbst und seinen Mitarbeitern erfüllt werden.

– Überwachung

Der Datenschutzbeauftragte hat auch die Aufgabe das Unternehmen zu überwachen. Er muss gewissermaßen als eine Art Außenstelle der Aufsichtsbehörde „ein Auge“ auf die Einhaltung von datenschutzrechtlichen Vorgaben haben.

Die wichtigsten Überwachungsmaßnahmen sind:

  • Die Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
  • Die Zuweisung von Zuständigkeiten
  • Die diesbezügliche Überprüfung

Konkrete Aufgaben eines Datenschutzbeauftragten

Im Weiteren werden die Aufgaben des Datenschutzbeauftragten erklärt.

– Erstellung von Richtlinien

Ein Datenschutzbeauftragter muss das Unternehmen bei der Konzipierung rechtlicher Dokumente mit datenschutzrechtlichem Bezug beraten.

Dazu zählen beispielsweise der Umgang mit personengeschützten Daten, Betriebsvereinbarungen, Richtlinien zur privaten Internet- sowie E-Mail-Nutzung oder zu allgemeinen Datenschutzrichtlinien.

Auch eine essenzielle Aufgabe des DSB ist die Beratungstätigkeit bei der Erstellung von Datenschutzerklärungen zur Erfüllung der Informationspflicht.

– Erstellen von Verzeichnissen der Verarbeitungstätigkeiten

Die Erstellung des Verarbeitungsverzeichnisses fällt nicht in den Aufgabenbereich eines DSB. Er ist viel mehr zuständig für die Beratung der Verantwortlichen bzw. Auftragsverarbeiter, welche ein solches Verzeichnis anlegen müssen.

Je nach Größe des Unternehmens kann dieses sehr umfassend sein und daher muss das Verzeichnis vom Datenschutzbeauftragten auch auf Schlüssigkeit überprüft werden.

– Durchführen einer Datenschutz-Folgen-Abschätzung

Datenschutz-Folgen-Abschätzungen müssen bei bestimmten Datenverarbeitungen von dem Verantwortlichen durchgeführt werden. Nach dem Gesetzwortlaut muss der Datenschutzbeauftragte frühzeitig und ordnungsgemäß in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen eingebunden werden.

– Mitwirken bei der Kontrolle von Mitarbeitern

Sobald ein Missbrauch von Daten angenommen wird, oder beispielsweise ein Verstoß gegen das Verbot einer privaten Internet- oder E-Mail Nutzung vorliegt, sind Kontrollen erforderlich.

Diese werden von Seiten des Arbeitgebers durchgeführt. Bei Interaktionen dieser Art, sollte immer ein Datenschutzbeauftragter mit einbezogen werden, welcher bei der Kontrolle hilft und diese auch überwacht.

– Mitarbeiterschulungen im Bereich Datenschutz

Die Schulung selbst ist normalerweise nicht im Aufgabenbereich eines Datenschutzbeauftragten. Seine Aufgabe ist viel mehr, die ordnungsmäßige Durchführung der Schulung vom Verantwortlichen zu überwachen. Außerdem sollte der Datenschutzbeauftragte immer in die Konzipierung der Schulung mit eingebunden werden.

Es kann jedoch auch öfters dazu kommen, dass der Datenschutzbeauftragte die Schulungen der Mitarbeiter selbst übernimmt. Das hat einige Vorteile, da er sehr gut auf Fragen aus dem Arbeitsalltag eingehen kann. Außerdem bauen die Mitarbeiter eher Vertrauen auf und haben dann eine geringere Hemmschwelle, wenn es darum geht im Tagesgeschäft auf den Datenschutzbeauftragten zuzugehen.

Wer darf Datenschutzbeauftragter werden?

Es kommt sehr oft vor, dass bei der Bestellung eins Datenschutzbeauftragten Fehler gemacht werden. Wenn solche Fehler entstehen, kommt es zu einer unwirksamen Bestellung und sie ist damit ungültig.

Laut § 43 Abs. 1 Nr. 2 BDSG gilt es dann, als hätte man keinen Datenschutzbeauftragten bestellt. Daher können dafür Bußgelder bis zu 50.000 Euro fällig werden.

Die Frage, ob jeder Mitarbeiter als Datenschutzbeauftragter ernannt werden darf, lässt sich also klar mit Nein beantworten. Laut dem Gesetz ist jeder Mitarbeiter ausgeschlossen, welcher in einen Interessenkonflikt geraten könnte oder bei dem eine Gefahr der Selbstkontrolle besteht.

Dieses Gesetz gilt sowohl für Personen im Unternehmen als auch für Personen außerhalb. Besonders gefährdet und typisch sind beispielsweise Geschäftsführer, IT-Leiter, Administratoren und all diejenigen, die sich selbst und das eigene Unternehmen kontrollieren würden.

Interner- oder externer Datenschutzbeauftragter?

Dem Geschäftsführer steht es vollkommen frei, ob er einen internen- oder externen Datenschutzbeauftragten bestellt. Interne- sowie externe Datenschutzbeauftragte haben beide ihre Vor- und Nachteile.

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte hat einige Vorteile, da er selbst schon länger in dem Unternehmen tätig ist.

Er kennt die Ansprechpartner und das Unternehmen schon sehr gut. Außerdem ist er in die tägliche Kommunikation mit eingebunden, da er sowieso vor Ort ist. Dazu kommt noch, dass die Kosten vordergründig unverändert bleiben, da kein zusätzlicher Mitarbeiter eingestellt werden muss.

Jedoch ist es oftmals sehr schwierig, eine geeignete qualifizierte Person innerhalb des Betriebs zu finden. Ein weiteres Problem ist, dass durch Unwissenheit des internen Datenschutzbeauftragten bestehende suboptimale Lösungen beibehalten werden. Außerdem sind der Arbeitsaufwand und die Kosten für interne DSB meist schwer kalkulierbar.

Externer Datenschutzbeauftragter

Der externe DSB hat den Überblick über eine marktübliche Umsetzung und ist meist schneller und qualifizierter als der interne DSB. Darüber hinaus kann er auf bestehende Unterlagen zurückgreifen.

Außerdem bekommt der externe DSB meist schnellere qualifizierte Antworten, da kein Konkurrenzverhältnis besteht und dem „Beauftragten der Geschäftsführung“ schnell weitergeholfen wird. Dazu kommt, dass ein externer DSB meist auf eine bessere Akzeptanz beim Betriebsrat stößt.

Es gibt jedoch auch einige Nachteile, die mit einem externen DSB verbunden sind. Es können beispielsweise unter Umständen nicht geplante Zusatzkosten auftreten. Außerdem muss er in die bestehenden Prozesse eingelernt werden, da er nicht automatisch eingebunden ist und oft fehlt die Branchenkenntnis, weil der DSB noch nie in diesem Bereich tätig war.

Vorheriger Beitrag
Ein Jahr DGSVO: Updates und Neuigkeiten
Nächster Beitrag
Die Luca App und der Datenschutz
Du musst angemeldet sein, um einen Kommentar abzugeben.
Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr