Häufige Fragen zum Datenschutzbeauftragten

Wann Ihr Unternehmen einen Datenschutzbeauftragten benötigt, wer diese Aufgabe übernehmen kann und welche Aufgaben er nach dem Gesetzt hat, möchten wir Ihnen nachfolgend erläutern.

1. Wann muss ein Datenschutzbeauftragter bestellt werden?

Die Bestellung eines Datenschutzbeauftragten ist verpflichtend, wenn in dem Unternehmen

„mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten"

beschäftigt sind, § 38 Bundesdatenschutzgesetz (BDSG).

Als Beschäftigte zählen alle Vollzeit- und Teilzeitbeschäftigte und ebenso Auszubildende.

Unabhängig von der Mitarbeiterzahl fordert die DSGVO die Benennung eines Datenschutzbeauftragten, wenn

•    die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder

•    die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Daten, wie gesundheitsbezogene Daten (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) besteht.

Das heißt: Besteht die Haupttätigkeit eines Unternehmens in der Verarbeitung personenbezogener Daten, muss zwingend ein Beauftragter für den Datenschutz bestellt werden und zwar unabhängig davon, wie viele Mitarbeiter beschäftigt sind. Erfasst werden damit unter anderem Betreiber von sozialen Netzwerken oder Adresshändler.

Die meisten Unternehmen dürften jedoch nicht unter diese Norm fallen. Denn bei einem Online-Shop besteht die Haupttätigkeit im Verkauf von Waren. Die Verarbeitung seiner Kundendaten zur Erfüllung des Vertrages stellt - datenschutzrechtlich - nur eine Nebentätigkeit dar.

2. Welche Qualifikation oder Erfahrung ist erforderlich?

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der genannten Aufgaben (Art. 37 Abs. 5 DSGVO). Genaue Anforderungen nennt die Vorschrift jedoch nicht.

3. Welche Aufgaben hat der Beauftragte für den Datenschutz?

Dem Datenschutzbeauftragten obliegen unter anderem folgende Aufgaben (Art. 39 DSGVO):

(1)    Unterrichtung und Beratung hinsichtlich ihrer datenschutzrechtlichen Pflichten

(2)    Überwachung der Einhaltung der Datenschutzvorschriften

(3)    die Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen

(4)    gegebenenfalls die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung (Artikel 35 DSGVO)

(5)    er ist Ansprechpartner der Aufsichtsbehörde sowie

(6)    Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und

(7)    gegebenenfalls Beratung zu allen sonstigen Fragen, die sich aus der Verarbeitung personenbezogener Daten im Unternehmen ergeben.

Bei der Erfüllung dieser Aufgaben hat der Verantwortliche, also das Unternehmen, den Beauftragten zu unterstützen, indem er ihm die zeitlich und finanziellen Ressourcen bereitstellt, für die Erfüllung seiner Aufgaben, für die Teilnahme an Qualifikationsveranstaltungen, Zertifizierung oder die Beschaffung von Fachliteratur erforderlich sind.

Wichtig für Unternehmer zu wissen:

Er ist unabhängig und weisungsfrei in Bezug auf die Erfüllung seiner Aufgaben. Ein betrieblicher Datenschutzbeauftragter darf daher – ähnlich wie ein Mitglied des Betriebsrates - nicht gekündigt werden. Das ist häufig auch der Grund, weshalb sich Unternehmer gegen einen betrieblichen und für eines externen Berater entscheiden.

4. Was passiert bei Nichtbenennung?

Kommt ein Unternehmen dieser gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten nicht nach, drohen erhebliche Bußgelder (Art. 83 DSGVO).

Wer kann Beauftragter für den Datenschutz sein?

Übertragen bzw. übernommen werden kann die Aufgabe des Datenschutzbeauftragten sowohl

•    von einem Beschäftigten Ihres Unternehmens selbst, sog. interner Datenschutzbeauftragter als auch

•    von einem externer Datenschutzbeauftragten, der seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllt (Art. 37 Abs. 6 DSGVO)

übernehmen.

5. Checklist: Was ist zu tun?

1.    Prüfen Sie, ob Ihr Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. Haben Sie mehr als 10 Beschäftigte (Voll- und Teilzeit)?

2.    Entscheiden Sie, ob ein Mitarbeiter für diese Aufgabe fachlich geeignet ist und die nötigen zeitlichen Ressourcen zur Verfügung stehen oder, ob ein externer Datenschutzbeauftragter gewählt wird.

3.    Nehmen Sie die Bestellung des neuen Datenschutzverantwortlichen schriftlich vor.

4.    Melden Sie den DSB anschließend bei der für Sie zuständigen Datenschutzaufsichtsbehörde.

5.    Erstellen Sie zusammen mit dem Beauftragten einen Projektplan, in dem Sie die nächsten Schritte zur Umsetzung und Einhaltung vereinbaren.

Gern beraten wir Sie im Datenschutz

Gern unterstützen wir Sie und Ihr Unternehmen bei der Umsetzung der DSGVO. Wir bieten unter anderem folgende Leistungen an

•    Tätigkeit als externer Datenschutzbeauftragter

•    begleitende Beratung Ihres betrieblichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben

•    Schulung Ihrer Mitarbeiter

•    Unterstützung bei der Erstellung von Verfahrensverzeichnissen

•    rechtliche Klärung und Beratung zu datenschutzrechtlichen Einzelfragen, wie bspw. die Zulässigkeit von Marketingmaßnahmen

•    Prüfung und Erstellung von Datenschutzerklärung für Ihre Webseite.