Bestellung eines Datenschutzbeauftragten
Bestellung eines Datenschutzbeauftragten: Für wen ist der DSB Pflicht?

Bestellung eines Datenschutzbeauftragten: Für wen ist der DSB Pflicht?

Mit der EU-Datenschutz-Grundverordnung (DSGVO) kam für viele Unternehmen innerhalb der EU ein neues Thema auf: Die Bestellung eines Datenschutzbeauftragten. Es ist möglich, diese verantwortungsvolle Position durch einen Angestellten zu besetzen. Jedoch muss dieser dafür aus- und fortgebildet und zum Nachkommen der Datenschutz-Aufgaben von seinen eigentlichen Aufgaben freigestellt werden.

Alternativ bietet es sich für die meisten Unternehmen an, einen externen Datenschutzbeauftragten zu bestellen. Dieser ist als technisch und juristisch versierter Experte dafür zuständig, die Geschäftsführung in allen Belangen des Datenschutzes zu beraten, die Mitarbeiter entsprechend zu schulen sowie die technische und organisatorische Umsetzung des Datenschutzes im Unternehmen zu kontrollieren.

Wer muss einen Datenschutzbeauftragten benennen?

Es gibt nach wie vor Unternehmen, die glauben, die Bestellung des Datenschutzbeauftragten würde auf freiwilliger Basis erfolgen. Dem ist jedoch nicht so. In der neuen Fassung des Bundesdatenschutzgesetzes (BDSG neu) ist konkret definiert, wann ein DSB bestellt werden muss. Daneben gibt ebenso die DSGVO vor, wann die Geschäftsführung dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Um Gewissheit zu haben, ob ein DSB bestellt werden muss, sind drei Bereiche zu prüfen:

Unternehmensgröße und Anzahl der Mitarbeiter

Die Gesetzestexte verweisen darauf, dass die Bestellung eines Datenschutzbeauftragten vom Ausmaß der Datenverarbeitung abhängt. Sind mindestens zehn Mitarbeiter mit der regelmäßigen automatisierten Datenverarbeitung (erheben und nutzen von Daten) beschäftigt, so besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen.

Detailgrad der erfassten Daten

Unabhängig von der Anzahl der Mitarbeiter, die mit der Datenverarbeitung beschäftigt ist, besteht auch dann eine Pflicht zur Bestellung des Datenschutzbeauftragten, wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden. Dazu gehören etwa Informationen über die ethnische Herkunft, die Rasse, die religiöse Überzeugung, die politische Meinung, über Gewerkschaftszugehörigkeiten, aber auch über Gesundheit oder Sexualleben einer Person.

Geschäftstätigkeit

Ebenfalls unabhängig von der Anzahl der Mitarbeiter ist die Pflicht zur Bestellung eines Datenschutzbeauftragten in Unternehmen, die personenbezogene Daten geschäftsmäßig erheben, übermitteln, verarbeiten oder nutzen. Heißt: Stehen diese Verarbeitungsvorgänge im Fokus eines Unternehmens, muss ein DSB bestellt werden.

Welche Unterschiede gibt es hinsichtlich DSGVO und BDSG?

Mit der DSGVO möchte die EU-Kommission den Datenschutz innerhalb der EU harmonisieren. Die Basis für die europaweite Datenschutzreform bildet die DSGVO, die seit dem 25.05.2018 für alle europäischen Unternehmen verpflichtend gilt. Die EU hat ihren Mitgliedsstaaten jedoch das Recht eingeräumt, nationale Regelungen zur Ergänzung zu treffen.

Unternehmen, die ihren Sitz in Deutschland haben, mussten mit nicht allzu vielen Änderungen bezüglich der bisherigen Bestellpflicht des DSB rechnen. Die Öffnungsklausel in Artikel 37 Abs. 4 DSGVO ermöglicht Mitgliedstaaten eine weitere Konkretisierung der Benennungspflicht des DSB. Der deutsche Gesetzgeber hat mit § 38 BDSG-neu Gebrauch davon gemacht. In einigen Punkten weicht diese Regelung vom alten BDSG ab:

  • In der DSGVO wird nicht mehr von einer Bestellung, sondern von einer Benennung gesprochen.
  • Es besteht die Möglichkeit, einen Konzerndatenschutzbeauftragten zu ernennen.
  • Besteht die Kerntätigkeit des Unternehmens im systematischen Überwachen oder Verarbeiten besonderer personenbezogener Daten, muss das Unternehmen einen DSB benennen.
  • Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, weiter muss eine Mitteilung an die Aufsichtsbehörde gehen.

Wann sollte man einen externen Datenschutzbeauftragten bestellen?

Treffen die oben erwähnten Kriterien auf Ihre Organisation zu, so sind Sie verpflichtet, einen Datenschutzbeauftragten zu bestellen bzw. zu benennen. Dies kann durch die Geschäftsleitung erfolgen oder durch Führungskräfte mit Prokura. Allem voran muss jedoch zunächst eine geeignete Person als Datenschutzbeauftragter gefunden werden. Und das ist gar nicht so einfach, denn die Tätigkeiten eines betrieblichen Datenschutzbeauftragten sind anspruchsvoll. Deshalb muss eine Person für diese Tätigkeit die folgenden Anforderungen erfüllen:

  • Fachliche Eignung: Für die umfassende und verantwortungsvolle Tätigkeit eines Datenschutzbeauftragten ist ein Verständnis dieser Thematik unabdingbar. Deshalb ist eine umfassende Fachkunde im Datenschutz eine der wesentlichen Voraussetzungen.
  • Ein- und Durchblick: Neben der Fachkunde muss der DSB innerhalb der Organisation Einblicke in sämtliche entscheidenden Prozesse und Bereiche haben.
  • Kommunikationsgeschick: Der DSB kommuniziert mit vielen Ebenen, weshalb eine angemessene Kommunikationsfähigkeit unbedingt zu den Voraussetzungen gehört.

Gerade in KMU kommt es vor, dass interne Datenschutzbeauftragte mit weiteren betrieblichen Aufgaben betreut werden. In der Folge erhöht sich das Risiko, Fehler im Datenschutz zu machen. Darauf antworten die Aufsichtsbehörden mit horrenden Bußgeldern.

In sehr vielen Unternehmen lohnt sich die Überlegung, einen externen Datenschutzbeauftragten zu benennen. Die Vorteile liegen auf der Hand:

  • Ein externer Datenschutzbeauftragter bringt einen Überblick zur marktüblichen Umsetzung mit.
  • Oft sind externe Datenschutzbeauftragte qualifizierter und in ihrer Arbeit effizienter. Sie können auf bestehende Unterlagen und Konzepte zurückgreifen.
  • Da der externe DSB von der Geschäftsführung beauftragt wird, wird ihm in aller Regel großes Vertrauen im Unternehmen entgegengebracht. Zudem besteht kein Konkurrenzverhältnis, sodass externe Datenschutzbeauftragte oft schnellere und qualifiziertere Antworten erhalten.
  • Vielfach stößt ein externer DSB auch auf eine bessere Akzeptanz bei den Betriebsräten.
  • Externe Datenschutzbeauftragte bringen ein enormes Know-How ins Unternehmen. Sie verfügen über juristische Erfahrung, über technische Kenntnisse und sie bringen alle erforderlichen Arbeitsmittel mit.

Gilt es formelle Richtlinien einzuhalten, wenn man einen externen Datenschutzbeauftragten bestellt?

Nicht nur eine fehlende, sondern sogar eine fehlerhafte Bestellung bzw. Benennung eines Datenschutzbeauftragten kann zu einem Bußgeld führen. Deshalb sollte der DSB unbedingt formell wirksam bestellt werden. Dabei ist zu beachten, dass die Bestellung zwingend schriftlich erfolgen muss. Die sogenannte Bestellungsurkunde muss von beiden Seiten – dem Unternehmen und dem Datenschutzbeauftragten– unterzeichnet werden.

Die Benennung des Datenschutzbeauftragten muss separat erfolgen, darf also nicht Teil einer anderen Vereinbarung oder eines bestehenden Vertrags sein. Enthalten muss die Benennung des DSB eine Aufgabenbeschreibung, die organisatorische Stellung muss präzisiert werden und es muss die Verpflichtung des Unternehmens enthalten sein, die Arbeit des Datenschutzbeauftragten durch personelle sowie materielle Unterstützung zu ermöglichen.

Dieser Formzwang besteht, damit sämtliche Beteiligten die Bedeutung des Amts eines Datenschutzbeauftragten verinnerlichen. Denn der DSB trägt innerhalb eines Unternehmens immense Verantwortung. Seine Aufgaben wachsen mit den gesetzlichen Anforderungen.

Bestellung Datenschutzbeauftragter – Muster

Um Ihnen die Bestellung eines Datenschutzbeauftragten zu erleichtern, haben wir ein Musteranschreiben gemäß DSGVO für Sie hinterlegt. Sie können sich das Muster hier im PDF herunterladen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*