Datenschutzbeauftragte
Brauche ich einen Datenschutzbeauftragten ?
Artikel 37 DSGVO regelt:
Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- […]
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
In Deutschland ist diese Regelung durch das BDSG neu in § 38 ergänzt, so dass die Benennung eines Datenschutzbeauftragten schon erforderlich ist, sobald in einem Unternehmen mehr als 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Personenbezogene Daten sind laut Art. 4 Abs. 1 DSGVO
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
also z.B. Name, Adresse, Geburtsdatum, Bankverbindung, aber auch z.B. die Aufzeichnungen einer Videoüberwachung im Betrieb.
Als besonders schützenswert und damit besonderen Einschränkungen unterworfen gelten unter anderem Angaben über rassische und ethnische Herkunft, Religion oder philosophische Überzeugungen, politische Meinungen, Gesundheit und sexuelle Orientierung.
Die DSGVO sichert den Betroffenen (also den Personen, deren Daten gespeichert , verarbeitet und genutzt werden) eine Vielzahl von Rechten zu und erlegt den verantwortlichen Stellen (also Ihrem Unternehmen) eine Reihe von Verpflichtungen auf, die teils durch erhebliche Ordnungsgelder sanktioniert sind. Dabei haftet der jeweilge Inhaber, Geschäftsführer oder Vorstand des Unternehmens bei schuldhafter Pflichtverletzung (wozu ein Gesetztesverstoß regelmäßig zählt) unbeschränkt mit seinem Privatvermögen (siehe §43 GmbHG bzw. §93 AktG).
Der Datenschutzbeauftragte ist verantwortlich, dafür Sorge zu tragen, dass die Datenschutzbestimmungen der DSGVO, des BDSG sowie einer Vielzahl an weiteren Vorschriften eingehalten werden können, und bewahrt somit seinen Arbeit- bzw. Auftraggeber vor finanziellem Schaden und schlechter Reputation.
Wer kann zum Datenschutzbeauftragten bestellt werden ?
Aufgrund der hohen Komplexität der Aufgabe schreibt die DSGVO nach Artikel 37 Abs. 5 für den Datenschutzbeauftragten vor, dass dieser über die erforderliche Fachkunde und Zuverlässigkeit verfügen und diese auch dauerhaft sicherstellen muss.
Nach einem Urteil des LG Ulm muss
„ein betrieblicher Datenschutzbeauftragter die Vorschriften der Datenschutzgesetze des Bundes und der Länder und andere, den Datenschutz betreffende Rechtsvorschriften anwenden können, des weiteren muß er über Kenntnisse der betrieblichen Organisation verfügen und Computerexperte sein“
Zu der geforderten Zuverlässigkeit gehört aber auch die Abwesenheit von Interessenskonflikten. Mitarbeiter in leitender Funktion können daher im Normalfall nicht zum Datenschutzbeauftragten bestellt werden, da deren Interesse im Normalfall in erster Linie den ihnen übertragenen Aufgaben gehört – diese stehen aber häufig in Konflikt mit den Datenschutzinteressen. Auch Mitarbeiter aus der EDV oder Rechtsabteilung eignen sich häufig aufgrund des fehlenden fachübergreifenden Wissens (des Juristen von IT und umgekehrt) nur bedingt. Um seine Aufgaben unabhängig wahrnehmen zu können, genießt der (aufgrund Verpflichtung benannte) Datenschutzbeauftragte gemäß § 6 Abs. 4 BDSG besonderen Kündigungsschutz, auch über die Beendigung der Benennung hinaus.
Für kleinere und mittlere Unternehmen stellt die Summe dieser Anforderungen eine große Belastung dar, müssen Sie doch einen geeigneten Mitarbeiter für die Aufgabe des Datenschutzbeauftragten finden, qualifizieren und diesen zumindest teilweise von seinen regulären Aufgaben freistellen. Dies bedeutet im Allgemeinen einen erheblichen Kostenfaktor.
Für diesen Fall hat der Gesetzgeber in Artikel 37 Abs. 6 die Möglichkeit geschaffen, auch einen externen Datenschutzbeauftragten zu bestellen. Dies bietet eine Reihe von Vorteilen:
- Er ist bereits fachkundig
- Er ist unabhängig und hat daher i. Allg. keine Interessenskonflikte
- Hat Erfahrung in der komplexen Datenschutzthematik
- Seine Benennung begründet kein kündigungsgeschütztes Verhältnis
- Er wird nach tatsächlichem Aufwand bezahlt