Recht und Steuern

Bestellung einer/s betrieblichen Datenschutzbeauftragten

Sollten Sie Interesse an einem regelmäßig stattfindenden Netzwerktreffen mit anderen betrieblichen Datenschutzbeauftragen haben, können Sie sich gerne über unser Netzwerktreffen Betrieblicher Datenschutzbeauftragter informieren. Das Netzwerk soll dazu beitragen, aktuelle datenschutzrechtliche Themen zu erörtern und die Unternehmen für den Datenschutz zu sensibilisieren.

I. Bestellung eines Datenschutzbeauftragten

Die Anwendbarkeit der DSGVO seit 25. Mai 2018 bringt eine europaweite Verpflichtung zur Bestellung eines Datenschutzbeauftragten mit sich.
In folgenden Fällen muss ein Datenschutzbeauftragter nach der DSGVO benannt werden:
  • Die Kerntätigkeit des Unternehmens besteht in Verarbeitungsvorgängen, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Eine regelmäßige (also nicht nur einmalige, sondern wiederholte) und systematische Überwachung (methodischer Technikeinsatz) kann beispielsweise sein: datengesteuerte Marketingaktivitäten wie verhaltensbasierte Werbung, Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, künstliche Intelligenz, die Daten in Alltagsgegenständen (z.B. Haushaltsgeräte, Autos) verarbeitet.
  • Es werden besonders sensible Daten (vergleiche hierzu Artikel 9 DSGVO) verarbeitet. Zum Beispiel das Erfassen und Auswerten von Gesundheitsdaten über integrierte Geräte (sog. Wearables).
Die DSGVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Hiervon hat der deutsche Gesetzgeber im Rahmen der Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht.
Bisher musste ab der Anzahl von 10 Personen, die im Betrieb in der Regel ständig automatisiert Daten verarbeiten, verpflichtend ein Datenschutzbeauftragter benannt werden. Ab jetzt gilt hierfür die Grenze von 20 Personen (das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU hat unter anderem auch den § 38 Absatz 1 Satz 1 Bundesdatenschutzgesetz geändert. Die notwendige Anzahl der Beschäftigten, ab der eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht, lag bisher bei zehn. Ab sofort gilt hierfür eine Grenze von 20 Personen).
Die freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich.
Wichtig: Alle anderen Pflichten, die sich durch die DSGVO ergeben, fallen durch die Anhebung der Grenze von zehn auf zwanzig Personen nicht weg.
Keinen Datenschutzbeauftragten zu bestellen muss nicht weniger Arbeit bedeuten. Prüfen Sie deshalb genau, ob ein freiwillig bestellter Datenschutzbeauftragter für Entlastung im Unternehmen sorgen kann, indem er sich um die Pflichten, die sich aus der DSGVO ergeben, kümmert.
Die Position des Datenschutzbeauftragten kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.

II. Personenanzahl richtig bestimmen

Die Merkmale, wann die Personengrenze erreicht ist, müssen richtig interpretiert werden.
  • Beim Begriff  „Personen” kommt es nicht auf deren arbeitsrechtlichen Status als Arbeitnehmer an. Es sind also Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Tele-Arbeit hinzuzuzählen.
  •  „In der Regel“ heißt, dass Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, nicht berücksichtigt werden. Sinken die Personen im Unternehmen kurzzeitig auf eine Anzahl unterhalb der Grenze ab, führt dies nicht zum Wegfall der Bestellpflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.
  • „Ständig“ heißt, dass Personen mitzurechnen sind, die regelmäßig mit entsprechenden Aufgaben betraut sind. Nicht mitzurechnen sind Personen, die nur gelegentlich (z. B. Urlaubsvertretung) beschäftigt sind.
  • Es zählen nur die Personen, die „automatisiert Daten verarbeiten“, also wenn für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Datenverarbeitungsanlagen wie PCs, Tablets oder Smartphones verwendet werden. Nicht hinzuzuzählen sind Personen, die keine oder personenbezogenen Daten verarbeiten oder nur nicht-automatisiert Daten verarbeiten (z. B. Handwerker, Reinigungskräfte, LKW-Fahrer, oder Lager-Mitarbeiter, die ihre Aufträge nur auf Papier bekommen). Eine genaue Abgrenzung kann im Einzelfall schwierig sein und sollte konkret betrachtet werden.
Im Folgenden werden die Pflicht zur Bestellung eines Datenschutzbeauftragten, die persönlichen und sachlichen Anforderungen sowie seine Rechte und Pflichten beschrieben.

III. Anforderungen an Bestellung, Stellung und Aufgaben

1.    Bestellpflicht
  • Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT- Administratoren).  
  • Der Datenschutzbeauftragte muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung vorliegen.
  • Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen (siehe Muster unten).
  • Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (z.B. auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden (hierfür soll es ein elektronisches Formular bei den Aufsichtsbehörden geben).
2.    Stellung
  • Der Datenschutzbeauftragte ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung und er berichtet unmittelbar der höchsten Managementebene des Verantwortlichen.
  • Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.
  • Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtlichen Fragen. Zur Aufgabenerfüllung ist das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren.
  • Dem Datenschutzbeauftragten ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben.
  • Der Datenschutzbeauftragte ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den Datenschutzbeauftragten gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des Datenschutzbeauftragten unterliegen insoweit einem Beschlagnahmeverbot.
Nach dem neuen BDSG besteht – wie bereits nach der bisherigen Fassung des BDSG – ein besonderer Kündigungsschutz. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund.
3. Aufgaben
Der Datenschutzbeauftragte hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Betrieb zu überwachen.
In diesem Zusammenhang hat er gem. Art. 39 DSGVO die folgenden Aufgaben zu erfüllen:
  • Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen.
  • Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen inkl. Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern.
  • Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung (Art. 35 Abs. DSGVO) und Überwachung ihrer Durchführung.
  • Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
  • Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.
Über diese Mindestaufgaben hinaus nimmt er eine beratende und unterstützende Funktion ein.
Insbesondere sind hier zu nennen:
  • Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht, Unterstützung bei der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie die Erfüllung der Betroffenenrechte (Recht aus Auskunft, Berichtigung, Einschränkung oder Löschen von Daten).
  • Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber – unter der Verantwortung des Verantwortlichen – auf den Datenschutzbeauftragten übertragen werden.
  • Bei der Erfüllung seiner Aufgaben entscheidet der Datenschutzbeauftragte selbst, welche Verarbeitungsvorgänge er aufgrund des damit jeweilige verbundenen Risikos vorrangig prüft.

IV. Haftung

Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom April 2017 trägt der Datenschutzbeauftragte im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Aus der DSGVO gehe klar hervor, dass es Sache des Verantwortlichen sei, sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolgen.  

V. Folgen bei Nichtbestellung

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten nicht oder nicht rechtezeitig zu bestellen, kann nach bisherigem BDSG mit einem Bußgeld in Höhe von bis zu 50.000 Euro belegt werden. Die DSGVO sieht hier höhere Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

VI. Veröffentlichungs-/Mitteilungspflichten

Die Kontaktdaten des Datenschutzbeauftragten (sowohl wenn dieser betrieblich oder extern bestellt ist) sind beispielsweise in der Datenschutzerklärung auf der Webseite des Unternehmen zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen.
Zuständige Aufsichtsbehörde in Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit. Die Meldung ist online möglich.
Muster: Interne Bestellung zum/zur betrieblichen Datenschutzbeauftragten
Bestellung zum/zur Datenschutzbeauftragten
Herrn/Frau
Name
Anschrift
Hiermit bestellen wir Sie im gegenseitigen Einvernehmen und mit sofortiger Wirkung/zum … zum/zur betrieblichen Datenschutzbeauftragten gem. Art. 37 ff. EU-Datenschutz-Grundverordnung, § 38 BDSG.
In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar unterstellt (Achtung Hinweis: Diese Regelung ist nicht verpflichtend in den gesetzlichen Vorschriften vorgesehen, kann aber von dem Unternehmen so getroffen werden).
Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau ... . Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz, die wir in der Anlage konkretisiert haben.
In Ihrer Aufgabe als betriebliche/r Datenschutzbeauftragte/r sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der zuständigen Geschäftsleitung (Zeitraum angeben: z. B.: 1x jährlich) Bericht erstatten.
Ort, Datum
Unterschrift: ... (Unternehmensleitung)
Mit der Bestellung bin ich einverstanden: ... (Unterschrift des Datenschutzbeauftragten)