Datenschutzrecht / DSGVO
Bestellung einer/s betrieblichen Datenschutzbeauftragten
I. Wann muss ein Datenschutzbeauftragter bestellt werden?
Ab der Anzahl von zwanzig Mitarbeitern, die im Betrieb ständig und automatisiert personenbezogene Daten verarbeiten, ist verpflichtend ein Datenschutzbeauftragter zu benennen. Zu den Mitarbeitern zählen hierbei Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Tele-Arbeit.
Wichtig dabei ist, dass die Mitarbeiter regelmäßig und „automatisiert“ Daten verarbeiten, also zum Beispiel Kundenbetreuer, Callcenter-Mitarbeiter oder Personalabteilung, und zwar per PC, Tablet, Smartphone. Nicht gemeint sind Personen, die keinen oder nur selten mit personenbezogenen Daten umgehen, wie Lager-Arbeiter, Reinigungskräfte oder LKW-Fahrer.
Sinken die Mitarbeiter kurzzeitig auf eine Anzahl unterhalb der Grenze von zwanzig Mitarbeitern führt dies nicht zum Wegfall der Bestellpflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.
Auch bei weniger Mitarbeitern ist ein Datenschutzbeauftragter zu benennen, wenn die Haupttätigkeit des Unternehmens darin besteht, regelmäßig und systematisch personenbezogene Daten zu beobachten, zum Beispiel: datengesteuerte Marketingaktivitäten wie verhaltensbasierte Werbung, Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, künstliche Intelligenz, Daten in Alltagsgegenständen (z.B. smarte Haushaltsgeräte und Autos). Wenn besonders sensible Daten verarbeitet werden, wie Gesundheitsdaten, ist stets ein Datenschutzbeauftragter zu bestellen.
Wichtig: Im Übrigen kann das Unternehmen jederzeit freiwillig einen Datenschutzbeauftragten bestellen. Keinen Datenschutzbeauftragten zu bestellen, muss nicht weniger Arbeit bedeuten. Der Datenschutz muss trotzdem eingehalten werden. Prüfen Sie deshalb genau, ob ein freiwillig bestellter Datenschutzbeauftragter für Entlastung im Unternehmen sorgen kann, indem er sich um die Aufgaben aus der Datenschutzgrundverordnung (DSGVO) kümmert.
Die Position des Datenschutzbeauftragten kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragte benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.
II. Wer kann Datenschutzbeauftragter sein?
Die Position des Datenschutzbeauftragten kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn dieser persönlich und fachlich geeignet ist. Es kann auch eine externe Person, zum Beispiel ein Rechtsanwalt, als Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.
Eine Person, die in einen Interessenkonflikt geraten könnte oder sich am Ende selbst kontrolliert, darf nicht zum Datenschutzbeauftragten bestellt werden (dies sind insbesondere Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT- Administratoren).
III. Anforderungen an Bestellung, Stellung und Aufgaben
1. Fachliche Voraussetzungen
- Der Datenschutzbeauftragte muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden. Zu den Fachkundevoraussetzungen gehört ein Verständnis der datenschutzrechtlichen Vorschriften, sowie grundsätzliche Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung vorliegen.
- Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen. Hierfür gibt es ein Muster:
Muster: Interne Bestellung zum/zur betrieblichen Datenschutzbeauftragten
Herrn/Frau
Name
Anschrift
Herrn/Frau
Name
Anschrift
Hiermit bestellen wir Sie im gegenseitigen Einvernehmen und mit sofortiger Wirkung/zum … zum/zur betrieblichen Datenschutzbeauftragten gem. Art. 37 ff. EU-Datenschutz-Grundverordnung, § 38 BDSG.
In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar unterstellt (Achtung Hinweis: Diese Regelung ist nicht verpflichtend in den gesetzlichen Vorschriften vorgesehen, kann aber von dem Unternehmen so getroffen werden).
Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau ... . Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz, die wir in der Anlage konkretisiert haben.
In Ihrer Aufgabe als betriebliche/r Datenschutzbeauftragte/r sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der zuständigen Geschäftsleitung (Zeitraum angeben: z. B.: 1x jährlich) Bericht erstatten.
Ort, Datum
Unterschrift: ... (Unternehmensleitung)
Unterschrift: ... (Unternehmensleitung)
Mit der Bestellung bin ich einverstanden: ... (Unterschrift der/des Datenschutzbeauftragten)
Hinweis: Dieses Muster – als Service Ihrer IHK Region Stuttgart –gibt nur erste und unverbindliche Hinweise und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl dieses Muster mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit und Vollständigkeit nicht übernommen werden.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (z.B. in der Datenschutzerklärung auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden. Hierfür gibt es ein elektronisches Formular bei den Aufsichtsbehörden.
2. Stellung
- Der Datenschutzbeauftragte ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung. Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.
- Es ist frühzeitg in alle datenschutzrechtlichen Fragen einzubinden. Zur Aufgabenerfüllung ist ihm das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren.
- Dem Datenschutzbeauftragten ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben.
- Der Datenschutzbeauftragte ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den Datenschutzbeauftragten gewandt haben.
- Dem Datenschutzbeauftragten steht ein besonderer Kündigungsschutz zu. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund.
3. Aufgaben
Der Datenschutzbeauftragte hat folgende Aufgaben zu erfüllen:
- Beratung bei datenschutzrechtlichen Fragen.
- Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen und Schulung von Mitarbeitern.
- Kommunikation mit der Datenschutzaufsichtsbehörde.
- Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.
Über diese Aufgaben hinaus nimmt er eine beratende und unterstützende Funktion ein.
Insbesondere sind hier zu nennen:
- Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung datenschutzrechtlicher Pflichten, Unterstützung bei der Meldepflicht- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie Erfüllung der Betroffenenrechte (Recht aus Auskunft, Berichtigung, Einschränkung der Datenverarbeitung, und Löschen von Daten).
- Unterstützung bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten.
Bei der Erfüllung seiner Aufgaben entscheidet der Datenschutzbeauftragte selbst, welche Verarbeitungsvorgänge er aufgrund des damit jeweilig verbundenen Risikos vorrangig prüft.
IV. Haftung
Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom April 2017 trägt der Datenschutzbeauftragte im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Es ist Sache des Verantwortlichen sicherzustellen und nachzuweisen, dass die datenschutzrechtlichen Anforderungen eingehalten werden. Wird es versäumt den Datenschutzbeauftragten zu bestellen, kann dies mit einem Bußgeld belegt werden (entsprechend der DSGVO mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes).