Ab wann für Unternehmen wegen ihrer Unternehmensgröße (Anzahl Mitarbeiter) und weiterer Faktoren die Ernennung eines betrieblichen Datenschutzbeauftragten notwendig ist.
Viele Entscheider haben schon einmal vom „Datenschutzbeauftragten“ (DSB) gehört. Doch häufig ist ihnen nicht geläufig, welche Funktionen und Aufgaben mit dieser Rolle im betrieblichen Datenschutz einhergehen. Gelegentlich ist sogar unklar, ob die eigene Organisation in der Pflicht steht, einen Datenschutzbeauftragten zu benennen (früher: bestellen). Auf dieser Seite geben wir Auskunft darüber, welche Verpflichtungen hinsichtlich einer Ernennung (früher: Bestellung) des Datenschutzbeauftragten bestehen und worauf ergänzend zu achten ist.
Inhaltsverzeichnis
- Funktion und Aufgaben im Unternehmen
- Definition: Bestellung des Datenschutzbeauftragten
- Wann ist ein Datenschutzbeauftragter erforderlich?
- Benennungspflicht nach DSGVO
- Welche Strafen / Bußgelder drohen bei Verstößen?
- Wirksamkeit der DSB Bestellung: Auf welche Punkte ist zu achten?
Funktion und Aufgaben des DSB im Unternehmen
Der Datenschutzbeauftragte ist eine Person, die innerhalb einer Organisation für den Datenschutz verantwortlich ist. Sie muss u.a. die Einhaltung relevanter Datenschutzvorschriften gewährleisten, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten.
Dies bedeutet jedoch nicht, dass sich der DSB um den gesamten betrieblichen Datenschutz selbst kümmert. Er ist berechtigt, Aufgaben zu delegieren und zu überwachen. Entscheidend für seine Tätigkeit ist die Übernahme der Verantwortung. Hier erfahren Sie mehr über die Rechte des Datenschutzbeauftragten.
Die Person selbst muss übrigens kein Mitarbeiter des Unternehmens sein. Die Regelungen der EU DSGVO räumen Unternehmen bei der Bestellung des Datenschutzbeauftragten gewisse Freiheiten ein. Im betrieblichen Datenschutz besteht die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu benennen. Bei der internen Lösung wird die Rolle des DSB von einem eigenen Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung von einem fachkundigen Dienstleister stammt.
Definition: Bestellung des Datenschutzbeauftragten
Viele Personen können den Begriff „Bestellung“ zunächst nicht zuordnen und stellen deshalb Vermutungen an. Dabei ist der Hintergrund im Datenschutz simpel: Die Bestellung ist ein Begriff aus dem Rechtswesen und kann mit einer Ernennung verglichen werden. Mit der Bestellung geht einher, dass der Datenschutzbeauftragte seine Funktion offiziell ausübt und dadurch zum Träger von Rechten und Pflichten wird.
Benennung eines Datenschutzbeauftragten
In Anbetracht dieses Hintergrunds ist es wichtig, die erforderlichen Formalitäten zu berücksichtigen. Nur wenn der Datenschutzbeauftragte korrekt bestellt wird, ist die Organisation hinsichtlich der Bestellung ausreichend abgesichert. Zur Einhaltung der Formalitäten wird eine von der Geschäftsleitung unterzeichnete Bestellungsurkunde aufgesetzt. Aus der Bestellurkunde muss genau hervorgehen, welche Person die Tätigkeit des betrieblichen Datenschutzbeauftragten übernimmt und somit in Zukunft den betrieblichen Datenschutz verantwortet.
Wann ist ein Datenschutzbeauftragter erforderlich?
Benennungspflicht nach DSGVO
Die Pflicht zur Benennung eines Datenschutzbeauftragten regelt die DSGVO in Art. 37 Abs. 1:
a) Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: justizielle Tätigkeit)
b) Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.
Beispiele: Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile
c) Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).
Beispiele: Gesundheitseinrichtungen, wie z.B. Kliniken; Labore für genetische Untersuchungen; Beratungsstellen zu Themen, wie z.B. Familienplanung; Dienstleister im biometrischen ID-Management.
Für Unternehmen sind somit die Fallgruppen b) und c) zu prüfen. Hierbei gelten jeweils zwei Voraussetzungen:
1. Die, die Benennungspflicht auslösende personenbezogene Datenverarbeitung, muss zur „Kerntätigkeit“ des Verantwortlichen bzw. Auftragsverarbeiters gehören.
2. Die Tätigkeit muss bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung von betroffenen Personen oder die umfangreiche Verarbeitung von Daten im Sinne des Art. 37 Abs. 1 Buchst. c) DS-GVO.
Aufgepasst, der Begriff „Kerntätigkeit“, ist nicht mit „Kerngeschäft“ zu verwechseln. „Kerntätigkeiten“ sind alle Geschäftsbereiche, die zur Umsetzung der Unternehmensstrategie relevant sind, wie Kundenservice, Marketing oder Vertrieb. Keine Aktivitäten dieser Art sind hingegen routinemäßige Verwaltungs- und Erhaltungsaufgaben. Folglich genügt es, wenn die die Benennungspflicht auslösende Tätigkeit einen (!) Hauptzweck der betreffenden Stelle verkörpert. Der Begriff „Beobachtung“ meint umfangreiche und zugleich regelmäßige sowie systematische Auswertungen personenbezogener Daten, ganz besonders die Erstellung von Profilen.
Benennungspflicht nach BDSG
In Deutschland hat der Gesetzgeber weitergehende Pflichten zur Benennung eines Datenschutzbeauftragten im BDSG n.F. verankert. Wieviele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, kann über die Benennungspflicht entscheiden.
Gemäß § 38 Abs. 1 Satz 1 BDSG n.F. ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Gemäß § 38 Abs. 1 Satz 2 BDSG n.F. ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Eine Person gilt als „ständig“ beschäftigt, wenn sie die Aufgabe (die nicht ihre Hauptaufgabe zu sein braucht) regelmäßig wahrnimmt.
Welche Strafen / Bußgelder drohen bei Verstößen?
Ab wie vielen Mitarbeitern ist ein Datenschutzbeauftragter notwendig?
Wirksamkeit der DSB Bestellung: Auf welche Punkte ist zu achten?
Die Funktion des Datenschutzbeauftragten kann eine Person nur ausüben, wenn sie folgende Anforderungen erfüllt.
- Da wäre zunächst die fachliche Eignung: Es gilt ein ausreichendes Verständnis der Thematik aufzubauen. Umfassende Fachkunde im betrieblichen Datenschutz ist eine wesentliche Voraussetzung.
- Fachkunde ist nicht alles. Weiterhin muss die Person innerhalb ihrer jeweiligen Organisation Einblick in alle entscheidenden Bereiche und Prozesse haben.
- Außerdem sollte sie der Funktion angemessene Kommunikationsfähigkeiten mitbringen.
Der Markt hat reagiert, es werden diverse Datenschutzbeauftragten Schulungen angeboten, die Mitarbeiter auf ihre künftigen Aufgaben als Datenschutzbeauftragte vorbereiten. Doch häufig sind solche Schulungen als Kompromisslösung zu betrachten, da nur Basiswissen (z.B. Grundlagen der Datenverarbeitung und dem Datenschutz personenbezogener Daten) vermittelt wird. Außerdem ist es gerade in vielen kleinen und mittelständischen Unternehmen üblich, dass Datenschutzbeauftragte weitere betriebliche Aufgaben übernehmen. Als Folge besteht ein vergleichsweise hohes Risiko, dass trotz gezielter Fortbildung weiterhin Fehler im Datenschutz gemacht werden. Die Aufsichtsbehörde kann solche Fehler mit einem hohen Bußgeld bestrafen.
Externer Datenschutzbeauftragter – mehr über diese Lösung erfahren
Angesichts der genannten Risiken halten wir es für sinnvoll, sich bei der Einführung des betrieblichen Datenschutzes und der Ernennung eines DSB von Experten begleiten zu lassen. Alternativ bietet es sich an, einen externen Datenschutzbeauftragten zu bestellen. Letzteres ist meist nicht nur günstiger, sondern bringt zudem eine bessere Absicherung der Haftung mit sich. Auch Ihrem Unternehmen stehen wir als externer Datenschutzbeauftragter gerne zur Seite und kümmern uns um Entwicklung sowie Implementierung eines maßgeschneiderten Datenschutzkonzepts. Wir freuen uns auf Ihre Anfrage.
Gern beraten wir Sie
Bei Fragen, Anregungen oder Interesse an einer Beratung stehen wir Ihnen gern zur Verfügung. Sie erreichen uns unter 0800-5600831 (gebührenfrei) und über unser Kontaktformular.