Durch die Datenschutz-Grundverordnung (DSGVO) wurden Änderungen im nationalen Recht notwendig und im BDSG auch vorgenommen. Zusätzlich hat der Bundestag hat am 27. Juni 2019 Anpassungen in rund 150 Gesetzen beschlossen, denen der Bundesrat am 20.9.2019 zugestimmt hat.

Unter den Änderungen befindet sich auch eine Anpassung von § 38 Abs. 1 Satz 1 BDSG. Die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, wird von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine. Dies wurde von verschiedenen Seiten stark kritisiert, u. a. mit dem Argument, dass die Verpflichtungen auch ohne Datenschutzbeauftragte bestehen blieben und das den Unternehmen deswegen nicht viel nütze.[1]

Ein Datenschutzbeauftragter ist gem. § 38 Abs. 1 BDSG dann vorgeschrieben, wenn sich nach jetziger Fassung 10, nach neuer Fassung 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, auch der anonymisierten, oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

In allen anderen EU-Mitgliedstaaten wurde die Pflicht zur Bestellung eines Datenschutzbeauftragten durch die DSGVO erstmals eingeführt. Diese Pflicht greift dann, wenn folgende Mindestanforderungen erfüllt sind:

  • Behörden und öffentliche Stellen müssen immer einen DSB bestellen.
  • Die Kerntätigkeit einer Stelle besteht in einer umfangreichen regelmäßigen und systematischen Überwachung von Personen (z. B. bei Scoring oder einer Auskunftei).
  • Die Kerntätigkeit einer Stelle besteht in der umfangreichen Verarbeitung von "besonderen Kategorien von Daten" (Art. 9 DSGVO) oder von Angaben über Straftaten.
 
Hinweis

Bestellung in Konzernen

Nach DSGVO darf ein gemeinsamer Datenschutzbeauftragter für eine Unternehmensgruppe bestellt werden, sofern dieser von jeder Niederlassung aus leicht zu erreichen ist (Art. 37 Abs. 2 DSGVO).

Person des Datenschutzbeauftragten

Zum Datenschutzbeauftragten kann nur bestellt werden, wer entsprechend qualifiziert ist:

  • Die DSGVO fordert berufliche Qualifikation, insbesondere Fachwissen in Datenschutzrecht und -praxis, sowie die Fähigkeit, die gesetzlich geforderten Aufgaben (Art. 39 DSGVO) erfüllen zu können.

Die erforderliche Qualifikation bestimmt sich nach den konkreten Erfordernissen des Betriebs/der Behörde und bezieht sich auf die Organisation und Abläufe, das Datenschutzrecht und auf IT-Kenntnisse. Diese Kenntnisse müssen auf einem aktuellen Stand gehalten werden, bspw. durch Seminare, Fachliteratur oder Internetrecherchen. Der Datenschutzbeauftragte besitzt einen gesetzlichen Anspruch auf Kostenübernahme durch den Arbeitgeber.

In Bezug auf die Fähigkeit, die gesetzlich geforderten Aufgaben erfüllen zu können, muss auch geprüft werden, ob eine Interessenkollision vorliegt. Das wäre dann der Fall, wenn der zu Kontrollierende zum Kontrolleur würde. Nicht als Datenschutzbeauftragter geeignet sind daher IT-Leiter, Personalleiter und deren Team sowie andere leitende Mitarbeiter.

Zum Beauftragten kann auch eine Person außerhalb des Unternehmens oder der Behörde bestellt werden, bspw. ein Mitarbeiter eines anderen Konzernunternehmens oder ein spezialisierter Dienstleister (externer Datenschutzbeauftragter).

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?


Meistgelesene beiträge