Die Datenschutzgrundverordnung regelt in Art. 37, welche Unternehmen einen Datenschutzbeauftragten benennen mĂŒssen. Danach mĂŒssen private Unternehmen einen Datenschutzbeauftragten benennen, wenn
- die KerntĂ€tigkeit in der Datenverarbeitung besteht, die „aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmĂ€Ăige und systematische Ăberwachung“ der betroffenen Personen erforderlich macht, oder wenn
- die KerntĂ€tigkeit in der umfangreichen Verarbeitung besonderes sensibler personenbezogener Daten gemÀà Art. 9, 10 DSGVO besteht (z.B. Angaben ĂŒber die rassische oder ethnische Herkunft, politische Meinungen, religiöse Ăberzeugungen und Daten ĂŒber Straftaten und strafrechtliche Verurteilungen).
Auf den ersten Blick könnte diese Regelung bedeuten, dass viele Unternehmen keinen Datenschutzbeauftragten benötigen. Allerdings enthĂ€lt die Datenschutzgrundverordnung eine nationale Ăffnungsklausel, die Deutschland in Sachen Datenschutzbeauftragter umfassend ausschöpft. § 38 des neuen Bundesdatenschutzgesetzes sieht nĂ€mlich vor, dass Unternehmen ergĂ€nzend zu Art. 37 DSGVO einen Datenschutzbeauftragten benennen mĂŒssen, wenn sie in der Regel mindestens zehn Personen stĂ€ndig mit der automatisierten Verarbeitung personenbezogener Daten beschĂ€ftigen.
Wenn ein Unternehmen Datenverarbeitungen vornimmt, die einer Datenschutz-FolgenabschĂ€tzung nach Artikel 35 DSGVO unterliegen, oder wenn es personenbezogene Daten geschĂ€ftsmĂ€Ăig zum Zweck der Ăbermittlung, der anonymisierten Ăbermittlung oder fĂŒr Zwecke der Markt- oder Meinungsforschung verarbeitet, so muss unabhĂ€ngig von der Mitarbeiterzahl des Unternehmens ein Datenschutzbeauftragter benannt werden.
Was heiĂt „Benennung“ eines Datenschutzbeauftragten?
Die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz sprechen von „Benennung“ eines Datenschutzbeauftragten in den gesetzlich vorgeschriebenen FĂ€llen. Die Benennung erfolgt durch die GeschĂ€ftsfĂŒhrung bzw. den Unternehmensprokuristen. Die Benennung sollte nachweisbar, also schriftlich, erfolgen.
Datenschutzbeauftragter hat Sonderstellung im Unternehmen - auch in arbeitsrechtlicher Hinsicht
Der Datenschutzbeauftragte ist in der AusĂŒbung seiner Aufgaben als Datenschutzbeauftragter nicht weisungsgebunden und berichtet unmittelbar der GeschĂ€ftsfĂŒhrung. Der Datenschutzbeauftragte darf in keinem Interessenkonflikt zu seinen anderen Aufgaben als Arbeitnehmer im Unternehmen befinden.
In arbeitsrechtlicher Hinsicht ist wichtig zu wissen, dass der Datenschutzbeauftragte wĂ€hrend seiner „Amtszeit“ sowie bis zu einem Jahr nach deren Ende nicht ordentlich gekĂŒndigt werden darf.
Welche Aufgaben hat der Datenschutzbeauftragte?
Der Datenschutzbeauftragte ist fĂŒr die Einhaltung der datenschutzrechtlichen Bestimmungen im Unternehmen verantwortlich. Er hat die Mitarbeiter hinsichtlich des datenschutzrechtlich konformen Umgangs mit personenbezogenen Daten zu schulen und ist Ansprechpartner fĂŒr diese. Ferner ist er der Ansprechpartner fĂŒr die zustĂ€ndige Aufsichtsbehörde, die sich im Rahmen von Kontrollen oder bei Beschwerden an den Datenschutzbeauftragten des jeweiligen Unternehmens wendet. Gesetzlich definiert werden die Aufgaben des Datenschutzbeauftragten in Art. 40 DSGVO. Danach obliegen dem Beauftragten mindestens folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Mitarbeiter, die Daten verarbeiten, hinsichtlich ihrer datenschutzrechtlichen Pflichten (insbesondere nach der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz);
- Ăberwachung der Einhaltung der datenschutzrechtlichen Bestimmungen sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters fĂŒr den Schutz personenbezogener Daten einschlieĂlich der Zuweisung von ZustĂ€ndigkeiten, der Sensibilisierung und Schulung der an den VerarbeitungsvorgĂ€ngen beteiligten Mitarbeiter und der diesbezĂŒglichen ĂberprĂŒfungen;
- Beratung im Zusammenhang mit der Datenschutz-FolgenabschĂ€tzung und Ăberwachung ihrer DurchfĂŒhrung gemÀà Artikel 35 DSGVO;
- Zusammenarbeit mit der Aufsichtsbehörde;
- TĂ€tigkeit als Anlaufstelle fĂŒr die Aufsichtsbehörde in mit der Verarbeitung zusammenhĂ€ngenden Fragen, einschlieĂlich der vorherigen Konsultation gemÀà Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Der Datenschutzbeauftragte ist fĂŒr die ErfĂŒllung der Aufgaben verantwortlich und hat die Einhaltung des Datenschutzrechts zu ĂŒberwachen. Einzelne Aufgaben kann er dabei jedoch delegieren.
Wer kann zum Datenschutzbeauftragten benannt werden?
Unternehmen mit mehreren Niederlassungen dĂŒrfen einen gemeinsamen Datenschutzbeauftragten fĂŒr den gesamten Konzern benennen, sofern der Beauftragte von jeder Niederlassung aus leicht erreicht werden kann.
Der Datenschutzbeauftragte muss kein Mitarbeiter des Unternehmens sein, dessen Datenschutz er ĂŒbernimmt. Vielmehr kann das Amt des Datenschutzbeauftragten an einen Dienstleister auĂerhalb des Unternehmens ausgelagert werden und ein externer Datenschutzbeauftragter benannt werden. Dies bietet sich insbesondere fĂŒr kleinere Unternehmen an, die gar nicht ĂŒber einen eigenen Mitarbeiter verfĂŒgen, der fĂŒr die AusĂŒbung der Funktion des Datenschutzbeauftragten qualifiziert ist.
Denn das Amt des Datenschutzbeauftragten kann nicht jeder ĂŒbernehmen, sondern es mĂŒssen bestimmte Qualifikationen erfĂŒllt sein. GemÀà Art. 37 DSGVO wird der Datenschutzbeauftragte auf Grundlage seiner „beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner FĂ€higkeit zur ErfĂŒllung der in Artikel 39 [DSGVO] genannten Aufgaben“.
VerstöĂe gegen Datenschutzgrundverordnung können mit GeldbuĂen geahndet werden
Die Auslagerung an einen externen Dienstleister kann sich auch zwecks Vermeidung von Interessenkonflikten im Unternehmen anbieten, da die BeschĂ€ftigung eines ausschlieĂlich mit dem Datenschutz beschĂ€ftigten Mitarbeiters fĂŒr die meisten Unternehmen zu kostspielig sein dĂŒrfte.
Auch an dieser Stelle ist nochmals darauf hinzuweisen, dass die Aufsichtsbehörden bei VerstoĂ gegen die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz hohe GeldbuĂen verhĂ€ngen können. Das gilt auch bei VerstoĂ gegen die Ernennungspflicht eines gesetzlich vorgeschriebenen Datenschutzbeauftragten.
Die Kontaktdaten des Datenschutzbeauftragten mĂŒssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.