FAQs zur Bestellung eines Datenschutzbeauftragten
- Benötigt mein Unternehmen eine/-n Datenschutzbeauftragte/-n?
- Was muss ich bei der Berechnung der Personenanzahl von 10 beachten?
- Wer kann betriebliche/-r Datenschutzbeauftragte/-r werden?
- Was sind die Aufgaben einer/eines Datenschutzbeauftragten?
- Kann die IHK eine/-n Datenschutzbeauftragte/-n oder externen Dienstleister empfehlen? Worauf ist bei der Beauftragung zu achten?
Benötigt mein Unternehmen eine/-n Datenschutzbeauftragte/-n?
Ja (Siehe Artikel 37 DSGVO und § 38 BDSG),
- bei Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht wie zum Beispiel bei Callcentern oder Inkassobüros,
- wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail) oder,
- wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen, einen Datenschutzbeauftragten zu benennen.
Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist.
Was muss ich bei der Berechnung der Personenanzahl von 10 beachten?
- grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende, Praktikanten etc.
- eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person z. B. nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt
- unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft)
Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.
Der Begriff "ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z. B. monatlich) anfällt.
Wer kann betriebliche/-r Datenschutzbeauftragte/-r werden?
Datenschutzbeauftragter darf nur sein, wer sowohl in rechtlicher als auch in technischer Hinsicht über die erforderlichen Kenntnisse verfügt und nicht Gefahr läuft, kraft seiner Position in dem Unternehmen einer Interessenkollision ausgesetzt zu sein. Damit kommen also weder Führungskräfte mit Personalverantwortung noch solche aus dem IT-Bereich (intern/extern) infrage. Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter des Unternehmens als auch eine externe Person sein. Soweit ein Mitarbeiter zum Datenschutzbeauftragten ernannt wird, genießt dieser einen besonderen Kündigungsschutz und kann auch nur aus einem wichtigen Grund seines Amtes enthoben werden. Der besondere Kündigungsschutz reicht sogar bis zu einem Jahr nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter fort.
Was sind die Aufgaben einer/eines Datenschutzbeauftragten?
Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen.
- Interne Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)
- Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser
- Anlaufstelle für betroffene Personen
Kann die IHK eine/-n Datenschutzbeauftragte/-n oder externen Dienstleister empfehlen? Worauf ist bei der Beauftragung zu achten?
Es gibt Vereine und Berufsverbände, die konkrete Kontakte vermitteln können, wie etwa die Gesellschaft für Datenschutz und Datensicherheit e.V. oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V..
Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen Sie z. B. pauschal abgedeckt sehen wollen (z. B. Beratung im Standort-Alltag), oder die für die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (z. B. Schulungen der Mitarbeiter, Auftragsverarbeitungen) usw. anfallen. Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüber hinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.
Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer. Hier können Sie den für Sie passenden Anwalt finden.
Hinweis: Dieser Artikel soll - als Service Ihrer IHK - nur erste Hinweise geben und erhebt keinen Anspruch auf Vollständigkeit. Obwohl er mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.
Stand: August 2018