0
Bild: mauritius images / Westend61 / Rainer Berg

Der Datenschutzbeauftragte ist für die Sicherheit des Unternehmens und das Vertrauen der Kunden und Mitarbeiter verantwortlich. 




Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter hat die Datenverarbeitung in einem Unternehmen oder in einer Behörde zu überwachen und dafür zu sorgen, dass alles korrekt erledigt wird und die Mitarbeitenden entsprechend informiert und geschult werden. Er muss die notwendige  berufliche Qualifikation und insbesondere entsprechendes, auch technisches, Fachwissen besitzen (Art. 37 Abs. 5 DSGVO).

Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben indem sie ihm den notwendigen Fachmittel zur Verfügung stellen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ermöglichen.

Seine Berichte liefert der Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden (Art. 38 Art. 5 DSGVO).

Wer benötigt einen Datenschutzbeauftragten?

Für Unternehmen gilt folgendes (Art. 37 Abs. 1 DSGVO): Der Verantwortliche und der Auftragsverarbeiter benennen Datenschutzbeauftragte, wenn

  • ihre Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht und/oder sensible Daten verarbeitet werden.
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern man diesen von jeder Niederlassung aus leicht erreichen kann (Art. 37 Abs. 2 DSGVO).

Öffentliche Stellen haben grundsätzlich einen Datenschutzbeauftragten (Art. 37 Abs. 1 DSGVO).

Der Datenschutzbeauftragte in Deutschland

§ 38 BDSG enthält von der DSGVO abweichende Regelungen. Wichtig ist: Die Pflicht zum Datenschutzbeauftragten gilt nur für Unternehmen, die mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Dabei spielt es nach Meinung der Fachleute keine Rolle, ob die zehn Beschäftigten Festangestellte oder freie Mitarbeiter sind.

Für alle Unternehmen ist auch nach BDSG ein Datenschutzbeauftragter vorgeschrieben, wenn für die Datenverarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist oder wenn der Betrieb personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§ 38 Abs. 1 BDSG).

Datenschutzbeauftragter: Aufgaben

Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DSGVO sowie Art. 38 Abs. 4 DSGVO festgelegt. Er muss mindestens folgende Befugnisse haben, man kann ihm aber auch weitere Kompetenzen übertragen (Art. 38 Abs. 6 DSGVO).

  • Unterrichtung und Beratung des Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten über ihre Verpflichtungen
  • Kontrolle, ob die DSGVO und andere Datenschutzvorschriften eingehalten werden
  • Zuweisung von Zuständigkeiten und Schulung der Mitarbeitenden
  • Beratung über Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO
  • Beratung für betroffene Personen; der Datenschutzbeauftragte muss für diese eine Anlaufstelle sein
  • Zusammenarbeit mit der Aufsichtsbehörde

Interner Datenschutzbeauftragter vs. externer Datenschutzbeauftragter

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DSGVO).

Interner Datenschutzbeauftragter sind als Angestellte während der Geschäftszeiten anwesend und kennen den Betrieb und die Mitarbeiter genauer, als es einem Externen möglich ist. Der Datenschutzbeauftragte muss zwar unabhängig arbeiten (Art. 38 Art. 3 DSGVO); er darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten und darf auch nicht abberufen oder benachteiligt werden, wenn er Missstände aufdeckt. Trotzdem kann gerade das zu Interessenkonflikten führen, wenn sich der Datenschutzbeauftragte mit dem Aufdecken von Missständen bei Kollegen und Vorgesetzten unbeliebt macht.

Externe Datenschutzbeauftragte sind unabhängiger und geraten deswegen nicht so leicht in Interessenskonflikte. Dazu können externe Datenschutzbeauftragte gezielt engagiert werden, wenn man sie braucht, z.B. wenn in einem kleinen Betrieb nur gelegentlich Datenschutz-Folgeabschätzungen nötig sind.

Wichtig: Mit einem externen Datenschutzbeauftragen sollte man immer einen schriftlichen Vertrag abschließen.

Meistgelesen