Datenschutz

Aufgrund der Datenschutz-Grundverordnung (DS-GVO) sind Verantwortliche zur Dokumentation verpflichtet. So müssen diejenigen, die personenbezogene Daten verarbeiten, über ihre Datenverarbeitung informieren und auch intern ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten führen.

Der betriebliche Datenschutzbeauftragte (DSB) soll die Geschäftsführung in erster Linie in Fragen des Datenschutzes unterrichten und beraten. Ihm obliegt damit die Überwachung der Einhaltung aller relevanten Datenschutzvorschriften im Betrieb. Außerdem ist er erster Ansprechpartner für die Datenschutzaufsichtsbehörde. Der DSB nimmt dabei seine Aufgaben unabhängig und weisungsfrei wahr.

Die Verpflichtung zur Bestellung eines DSB besteht in der Regel dann, wenn ständig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Die DSGVO und das Bundesdatenschutzgesetz (BDSG) bestimmen im Einzelfall weitere Fälle, in denen ein DSB zu bestellen ist, etwa bei einer umfangreichen oder systematischen Überwachung von Personen oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der Marktforschung verarbeitet werden.

Als DSB kann sowohl ein Mitarbeiter (interner DSB) als auch ein außenstehender Dienstleister (externer DSB) benannt werden. Der DSB darf durch die Ausübung seiner Tätigkeit nicht in einen Interessenkonflikt geraten. Daher dürfen z.B. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT-Administratoren nicht zum Datenschutzbeauftragten bestellt werden.

Ist ein DSB zu bestellen, sollte die Bestellung zur Dokumentation zumindest in Textform erfolgen. Eine Befristung des DSB ist bei der Benennung eines externen DSB unproblematisch möglich. Interne DSB hingegen werden typischerweise unbefristet benannt. In besonderen Fällen, z. B. Benennung als Elternzeitvertretung, kann eine zeitlich befristete Benennung in Frage kommen.

Die Datenschutzkonferenz der Datenschutzbehörden des Bundes und der Länder hat bislang 20 Kurzpapiere zu immer wiederkehrenden Fragen rund um die DSGVO veröffentlicht. Diese Kurzpapiere verstehen sich als einheitlich abgestimmte Auslegungshilfen zur DSGVO. Sie eignen sich um damit in Zweifelsfragen oder bei der Überprüfung des Datenschutzes im eigenen Unternehmen als Nachschlagewerk herangezogen zu werden.

Daneben hat die Datenschutzkonferenz zu zahlreichen Spezialfragen sogenannte Orientierungshilfen veröffentlicht. In diesen befasst sich die Datenschutzkonferenz mit speziellen Fragen wie z. B. zur Direktwerbung.

Unabhängig davon veröffentlicht die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) zur DSGVO verschiedene Praxishilfen. Zum Konzept der Reihe gehören prägnante und unmittelbar verwertbare Handreichungen für den betrieblichen Datenschutzalltag.

Auch die Stiftung Datenschutz hält zahlreiche Informationen zum Datenschutz bereit und hat speziell für Kleinunternehmen eine eigene Informationsseite erstellt.

Das Bayerische Landesamt für Datenschutzaufsicht hat ebenfalls eine Informationsseite für kleine Unternehmen. Dort werden die Anforderungen für einzelne Branchen aufgezeigt.

Stand: 16. Februar 2024