ITK-Experts.de

Datenschutz * Security * Continuity

Datenschutzbeauftragte

Brauche ich einen Datenschutzbeauftragten ?

Artikel 37 DSGVO regelt:

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. […]
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

In Deutschland ist diese Regelung durch das BDSG neu in § 38 ergänzt, so dass wie bisher die Benennung eines Datenschutzbeauftragten erforderlich ist, sobald in einem Unternehmen mehr als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Personenbezogene Daten sind laut Art. 4 Abs. 1 DSGVO

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

also z.B. Name, Adresse, Geburtsdatum, Bankverbindung,  aber auch z.B. die Aufzeichnungen einer Videoüberwachung im Betrieb.
Als besonders schützenswert gelten unter anderem Angaben über rassische und ethnische Herkunft, Religion oder philosophische Überzeugungen, politische Meinungen, Gesundheit und sexuelle Orientierung.

Die DSGVO sichert den Betroffenen  (also den Personen, deren Daten gespeichert , verarbeitet und genutzt werden) eine Vielzahl von Rechten zu und erlegt den verantwortlichen Stellen (also Ihrem Unternehmen) eine Reihe von Verpflichtungen auf, die teils durch erhebliche Ordnungsgelder sanktioniert sind. Dabei haftet der jeweilge Inhaber, Geschäftsführer oder Vorstand des Unternehmens bei schuldhafter Pflichtverletzung (wozu ein Gesetztesverstoß regelmäßig zählt) unbeschränkt mit seinem Privatvermögen (siehe §43 GmbHG bzw. §93 AktG).

Der Datenschutzbeauftragte ist verantwortlich, dafür Sorge zu tragen, dass die Datenschutzbestimmungen der DSGVO, des BDSG sowie einer  Vielzahl an weiteren Vorschriften eingehalten werden können, und bewahrt somit seinen Arbeit- bzw. Auftraggeber  vor finanziellem Schaden und schlechter Reputation.

Wer kann  zum Datenschutzbeauftragten bestellt werden ?

Aufgrund der hohen Komplexität der Aufgabe schreibt die DSGVO nach Artikel 37 Abs. 5 für den Datenschutzbeauftragten vor, dass dieser über die erforderliche Fachkunde und Zuverlässigkeit verfügen und diese auch dauerhaft sicherstellen muss.

Nach einem Urteil  des LG Ulm muss

„ein betrieblicher Datenschutzbeauftragter  die Vorschriften der Datenschutzgesetze des Bundes und der Länder und andere, den Datenschutz betreffende Rechtsvorschriften anwenden können, des weiteren muß er über Kenntnisse der betrieblichen Organisation verfügen und Computerexperte sein“

Zu der geforderten Zuverlässigkeit gehört aber auch die Abwesenheit von Interessenskonflikten. Mitarbeiter in leitender Funktion können daher im Normalfall nicht zum Datenschutzbeauftragten bestellt werden, da deren Interesse im Normalfall in erster Linie den ihnen übertragenen Aufgaben gehört – diese stehen aber häufig in Konflikt mit den Datenschutzinteressen. Auch Mitarbeiter aus der EDV oder Rechtsabteilung eignen sich häufig aufgrund des fehlenden fachübergreifenden Wissens (des Juristen von IT und  umgekehrt) nur bedingt.

Für kleinere und mittlere Unternehmen stellt die Summe dieser Anforderungen  eine große Belastung  dar, müssen Sie doch einen geeigneten Mitarbeiter für die Aufgabe des Datenschutzbeauftragten finden, qualifizieren und diesen zumindest teilweise von seinen regulären Aufgaben freistellen. Dies bedeutet im Allgemeinen einen erheblichen Kostenfaktor.

Für diesen Fall hat der Gesetzgeber in Artikel 37 Abs. 6 die Möglichkeit geschaffen, auch einen externen Datenschutzbeauftragten zu bestellen. Dies bietet eine Reihe von Vorteilen:

  • Er ist bereits fachkundig
  • Er ist unabhängig und hat daher i. Allg. keine Interessenskonflikte
  • Hat Erfahrung in der komplexen Datenschutzthematik
  • Er wird nach tatsächlichem Aufwand bezahlt