Allgemeine Erklärung zum Datenschutzbeauftragten
Ab wann für Unternehmen wegen ihrer Unternehmensgröße (Anzahl Mitarbeiter) und weiterer Faktoren die Ernennung eines betrieblichen Datenschutzbeauftragten notwendig ist.
Viele Entscheider haben schon einmal vom „Datenschutzbeauftragten“ gehört. Doch häufig ist ihnen nicht geläufig, welche Funktionen und Aufgaben mit dieser Rolle im betrieblichen Datenschutz einhergehen. Gelegentlich ist sogar unklar, ob die eigene Organisation in der Pflicht steht, einen Datenschutzbeauftragten (DSB) zu bestellen. Auf dieser Seite geben wir Auskunft darüber, welche Verpflichtungen hinsichtlich einer Ernennung bestehen. Ergänzend wird erläutert, worauf bei der Bestellung des Datenschutzbeauftragten zu achten ist.
Funktion und Aufgaben des DSB im
Unternehmen
Der Datenschutzbeauftragte ist eine Person, die
innerhalb einer Organisation für den Datenschutz verantwortlich ist. Er
muss u.a. die Einhaltung relevanter Datenschutzvorschriften gewährleisten,
insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten.
Dies bedeutet jedoch nicht, dass er sich um den
gesamten betrieblichen Datenschutz selbst kümmert. Er ist berechtigt, Aufgaben
zu delegieren und zu überwachen. Entscheidend für seine Tätigkeit ist die
Übernahme der Verantwortung.
Die Person selbst muss übrigens kein Mitarbeiter des
Unternehmens sein. Die Regelungen des BDSG sowie der EU DSGVO räumen Unternehmen
bei der Bestellung des Datenschutzbeauftragten gewisse Freiheiten ein. Im
betrieblichen Datenschutz besteht die Möglichkeit, einen internen oder externen
Datenschutzbeauftragten zu bestellen. Bei der internen Lösung
wird die Rolle des DSB von einem eigenen Mitarbeiter übernommen, während bei
der externen Lösung die Unterstützung von einem fachkundigen Dienstleister
stammt.
Definition: Bestellung des Datenschutzbeauftragten
Viele Personen können den Begriff „Bestellung“
zunächst nicht zuordnen und stellen deshalb Vermutungen an. Dabei ist der
Hintergrund im Datenschutz nach BDSG simpel: Die Bestellung ist ein Begriff
aus dem Rechtswesen und kann mit einer Ernennung verglichen werden. Mit der
Bestellung geht einher, dass der Datenschutzbeauftragte seine Funktion
offiziell ausübt und dadurch zum Träger von Rechten und Pflichten wird.
In Anbetracht dieses Hintergrunds ist es wichtig, die
erforderlichen Formalitäten zu berücksichtigen. Nur wenn der
Datenschutzbeauftragte korrekt bestellt wird, ist die Organisation hinsichtlich
der Bestellung ausreichend abgesichert. Zur Einhaltung der Formalitäten
wird eine von der Geschäftsleitung unterzeichnete Bestellungsurkunde
aufgesetzt. Aus der Bestellurkunde muss genau hervorgehen, welche Person die
Tätigkeit des betrieblichen Datenschutzbeauftragten übernimmt und somit in
Zukunft den betrieblichen Datenschutz verantwortet.
Wann ist ein Datenschutzbeauftragter
erforderlich?
Einige Entscheider meinen, die Bestellung des
Datenschutzbeauftragten würde freiwillig erfolgen. Aber diese Annahme ist
falsch. Der Gesetzgeber hat im BDSG definiert, ab wann das Bestellen eines
DSB als Pflicht gilt. Ebenso gibt die EU DSGVO vor, wann die
Geschäftsleitung der Pflicht unterliegt, einen Datenschutzbeauftragten zu
bestellen. Sollte man sich im Unternehmen mit den Voraussetzungen der
Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine
Überprüfung der Notwendigkeit ratsam.
Es sind folgende drei Bereiche zu überprüfen, um mit
Gewissheit sagen zu können, ob eine Bestellung erforderlich ist.
Unternehmensgröße / Anzahl der Mitarbeiter
Ab
welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt
vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der
Datenverarbeitung. Sollten mehr als neun Mitarbeiter
regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun
haben, besteht die Pflicht. Ebenso besteht eine Verpflichtung, sobald
mindestens 20 Personen
beschäftigt werden, die regelmäßig mit nicht automatisierter Datenverarbeitung
zu tun haben.
Detailgrad der Daten
Sollten personenbezogene Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische
Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder
Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung. Nach
BDSG besteht diese Pflicht unabhängig von der Anzahl der Mitarbeiter.
Geschäftsfeld
Sollten personenbezogene Daten geschäftsmäßig
übermittelt, erhoben, verarbeitet oder genutzt werden, besteht ebenfalls
unabhängig von der Anzahl der Beschäftigten eine Verpflichtung.
Hinweis auf Bußgelder bei Verstößen
Sollte nach geltendem Datenschutzrecht (BDSG oder EU
DSGVO) die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten
bestehen, ist dieser Verpflichtung nachzukommen. Ein Mitarbeiter mit entsprechender
Fachkunde oder ein externer DSB hat die Einhaltung der Datenschutzvorschriften
nach BDSG zu überwachen. Ansonsten ist die zuständige Aufsichtsbehörde dazu
berechtigt, den Verstoß mit einem hohen Bußgeld zu ahnden.
Was ändert sich durch die DSGVO?
Die EU Kommission möchte den Datenschutz ihrer Mitgliedstaaten harmonisieren. Grundlage der europaweiten Datenschutzreform bildet die Datenschutzgrundverordnung (DSGVO). Als Richtlinie gibt sie das künftige Datenschutzrecht vor. Die EU räumt ihren Mitgliedstaaten das Recht ein, ergänzende nationale Regelungen zu treffen. Unternehmen mit Sitz in Deutschland dürften allerdings keine großen Veränderung in Bezug auf die bisherige Bestellpflicht eines Datenschutzbeauftragten zu erwarten haben. Die zukünftigen Regelung werden sich höchstwahrscheinlich stark an den bisherigen Regelung des § 4 f Abs. 1 BDSG orientieren. Die genauen Voraussetzungen der einzelnen EU-Länder, die zur Bestellung eines DSB verpflichten, sind aufgrund der Öffnungsklauseln zukünftig individuell zu betrachten.
Wirksamkeit der DSB Bestellung
Eine oft gestellte Frage aus der Praxis lautet: „Wer
ernennt den Datenschutzbeauftragen?“ Die Ernennung erfolgt durch die
Geschäftsleitung bzw. Führungskräften mit Prokura. Im Rahmen der Bestellung
sind Formalitäten einzuhalten. Es empfiehlt sich, die bereits erwähnte Bestellungsurkunde
anzufertigen. Doch bis zu diesem Moment kann es ein weiter Weg sein, da es
zunächst erforderlich ist, eine geeignete Person auszuwählen. Insgesamt ist das
Anforderungsprofil, das an die Tätigkeit des betrieblichen DSB gestellt wird,
als sehr anspruchsvoll zu bezeichnen.
Die Funktion des Datenschutzbeauftragten kann eine
Person nur ausüben, wenn sie folgende Anforderungen erfüllt.
- Da wäre zunächst die fachliche Eignung: Es gilt
ein ausreichendes Verständnis der Thematik aufzubauen. Umfassende
Fachkunde im betrieblichen Datenschutz ist eine wesentliche Voraussetzung.
- Fachkunde ist nicht alles. Weiterhin muss die
Person innerhalb ihrer jeweiligen Organisation Einblick in alle
entscheidenden Bereiche und Prozesse haben.
- Außerdem sollte sie der Funktion angemessene
Kommunikationsfähigkeiten mitbringen.
Der Markt hat reagiert, es werden diverse Datenschutzbeauftragten
Schulungen angeboten, die Mitarbeiter auf ihre
künftige Aufgaben
als Datenschutzbeauftragte vorbereiten. Doch häufig sind solche
Schulungen als Kompromisslösung zu betrachten, da nur Basiswissen (z.B.
Grundlagen der Datenverarbeitung und dem Datenschutz personenbezogener Daten
nach BDSG) vermittelt wird. Außerdem ist es gerade in vielen kleinen und
mittelständischen Unternehmen üblich, dass Datenschutzbeauftragte weitere
betriebliche Aufgaben übernehmen. Als Folge besteht ein vergleichsweise hohes
Risiko, dass trotz gezielter Fortbildung weiterhin Fehler im Datenschutz
gemacht werden. Die Aufsichtsbehörde kann solche Fehler mit einem hohen Bußgeld
bestrafen.
Kommentare
Kommentar veröffentlichen