Datenschutzbeauftragter

1. Bestellung eines Datenschutzbeauftragten


Die Bestellung zum betrieblichen Datenschutzbeauftragten (DSB) und dessen Aufgaben sind künftig vor allem in Art. 37 Abs. 1 lit. a – c DS-GVO (bisher: §§ 4f, 4g Bundesdatenschutzgesetz (BDSG)) geregelt.
Danach ist ein Datenschutzbeauftragter in Unternehmen zu bestellen, wenn
- die Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen verbunden ist oder
- die Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten (Artikel 9, 10 DS-GVO) einhergeht.
Unter personenbezogenen Daten sind zunächst Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Das sind insbesondere Namen, Adressen, Geburtsdaten, Kontodaten, und Telekommunikationsdaten. Die o. g. besonders sensiblen Daten sind, solche aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Unter „Kerntätigkeit" ist die Haupttätigkeit eines Unternehmens zu verstehen, die es untrennbar prägt, und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit (ErwGr. 97 der DS-GVO). Allerdings kann es sich auch um Verarbeitungen handeln die fester Bestandteil der Haupttätigkeit darstellen. Die Verarbeitung von Mittarbeiterdaten gehört dagegen nicht zu dieser "Kerntätigkeit", da diese hierdurch nur unterstützt wird. Die Abgrenzung kann im Einzelfall etwas schwierig sein und wird sich - wie sehr viele Begriffe und Tatbestandsmerkmale der DS-GVO - durch die Rechtsprechung des EuGH erst nach und nach klären. Diese Rechtsunsicherheit darf aber nicht zur Untätigkeit führen. Im Zweifel sollte das Prinzip Vorsicht vorherrschen, gerade weil ein (externer) Datenschutzbeauftragter gut die Geschäftsführung bei der Herrstellung von Datenschutzkonformität der Verarbeitungsprozesse unterstützen kann.
Zur Wertung, ob eine Verarbeitung "umfangreich" ist, können aus ErwGr 91 der DS-GVO folgende Faktoren herangezogen werden:
  • Menge der verarbeiteten personenbezogenen Daten (Volumen),
  • Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),
  • Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und
  • Dauer der Verarbeitung (zeitlicher Aspekt).
Wenn mehrere Faktoren hoch sind , so kann dies für die Einordnung als "umfangreiche" Überwachung bzw. Verarbeitung sprechen.

Dem deutschen Gesetzgeber war es zudem erlaubt, eigene Bestimmung zur Bestellungspflicht zu treffen. Dies hat er im neuen BDSG auch wahrgenommen, um die bisherigen Regelungen zu erhalten.
So ist eine Benennung eines DSB auch in den Fällen erforderlich, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Nach bisheriger Rechtslage war es so, dass zu der Zahl der Personen, die an der Datenverarbeitung mitwirken, auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer zählen.
In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit Verarbeitung von Daten beschäftigten Personen zu bestellen. Nämlich dann, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Die Bestellung des Datenschutzbeauftragten sollte schriftlich erfolgen, schon aus Nachweizwecken. Es sollten dabei die wesentlichen Rechte und Pflichten beider Parteien niedergelegt werden. Vorallem betrifft das die Aufgaben und die organisatorische Stellung. Neu ist, dass der betriebliche Datenschutzbeauftragte der Datenschutzaufsichtsbehörde (Hessischer Datenschutzbeauftragter) benannt werden muss.
Damit der Datenschutzbeauftragte seine Aufgaben unabhängig ausfüllen kann, müssen verschiedene Rahmenbedingungen seitens des Unternehmens geschaffen werden:
  • Es müssen dem Datenschutzbeauftragten die notwendigen Zutritts-und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden.
  • Durch organisatorische Maßnahmen ist sicher zu stellen, dass der Datenschutzbeauftragte in wichtige Planungs-und Entscheidungsabläufe eingebunden wird.
  • Einsicht in alle erforderlichen Unterlagen und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ist zu gewähren.
  • Dem Datenschutzbeauftragten ist die erforderliche Arbeitszeit zur Erfüllung seiner Aufgaben zur Verfügung zu stellen, einschließlich der Arbeitszeit, die er zur Erhaltung seiner Fachkunde benötigt.
Der betriebliche Datenschutzbeauftragte ist generell weisungsfrei und genießt zur Sicherung seiner Unabhängigkeit zudem einen besonderen Kündigungsschutz.

2. Aufgaben des Datenschutzbeauftragten

Nach Art. 39 DS-GVO hat der Datenschutzbeauftragte folgende Aufgaben:
  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Datenschutz-Pflichten (lit. a);
  • Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (lit. b);
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und Überwachung ihrer Durchführung (lit. c);
  • Zusammenarbeit mit der Aufsichtsbehörde (lit. d) und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde (lit. e).
Aber auch die Beratung der Betroffenen, also neben den eigenen Mitarbeitern vor allem die Kunden gehört zu seinen Aufgaben.

3. Persönliche Anforderungen/Qualifikation

Zur Qualifizierung eines Datenschutzbeauftragten gibt es keinen allgemein anerkannten (Berufs-)Abschluss. Der Gesetzgeber setzt nur eine "zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit" voraus.
Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen. Grundsätzlich setzt die Fachkunde aber ein allgemeines Grundwissen im Bereich des Datenschutzrechts und das Verständnis für betriebswirtschaftliche Zusammenhänge voraus. Außerdem gehören zur erforderlichen Fachkunde EDV-technische Kenntnisse. Zu erwarten sind auch organisatorische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.
Neben der Fachkunde muss der Datenschutzbeauftragte auch die erforderliche Zuverlässigkeit besitzen. Hier werden Kriterien, wie Verschwiegenheit, Verantwortungsbewusstsein etc. bei der Beurteilung eine Rolle spielen.
Möglich ist aber auch die Beauftragung eines externen Datenschutzvbeauftragten. Hierfür eigenen sich entsprechend spezialisierte Anwälte oder spezielle Unternehmen. Letztere können meist auch hinsichtlich der EDV-Infrastruktur beraten.

4. Rechtsfolgen bei Verstoß

Verletzungen der Vorschriften (z. B. Nicht-Benennung oder unzureichende Unterstützung des DSB) sind mit Geldbuße bedroht. Wird trotz der Pflicht dazu kein Datenschutzbeauftragter benannt bzw. gegen die sonstigen Vorschriften zum DSB aus Art. 37 bis 39 DS-GVO verstoßen, droht nach Art. 83 Abs. 4 lit. a DS-GVO ein Bußgeld von bis zu 10.000.000 Euro bzw. 2% des weltweiten Jahresumsatzes.

Stand: Februar 2020
Dieses Merkblatt soll - als Service Ihrer IHK Limburg - nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.