Was macht eigentlich ein Datenschutzbeauftragter?

In der heutigen Zeit ist die Thematik des Datenschutzes und deren Beachtung und Einhaltung ein wesentlicher Bestandteil der rechtlichen Verpflichtung für jedes Unternehmen, und gerade diese rechtliche Verpflichtung kann mittels der Bestellung eines Datenschutzbeauftragten als rechtlicher Garant für die ordnungsgemäße rechtliche Beachtung und Einhaltung des Datenschutzes in den Unternehmen gewährleistet werden.

Trotz der rechtlichen Wichtigkeit von einem Datenschutzbeauftragten haben viele Unternehmen immer wieder grundlegende Fragen zu dieser Thematik. Die nachfolgenden Ausführungen sind eine konzentrierte Darstellung der wesentlichen Informationen zum Datenschutzbeauftragten.

Was ist ein Datenschutzbeauftragter?

Was ist ein Datenschutzbeauftragter

Ein Datenschutzbeauftragter kann eine natürliche Person oder auch eine juristische Person sein, die von einer öffentlichen Stelle oder einem Unternehmen bestellt wird, um die rechtliche Beachtung und Einhaltung des Datenschutzes zu gewährleisten.

Welche Qualifikation muss ein Datenschutzbeauftragter haben?

In der DS-GVO und dem BDSG werden keine gesetzlichen Vorgaben zu genauen Kenntnissen, Fähigkeiten oder Ausbildung / Studium als Voraussetzungen für einen Datenschutzbeauftragten genannt, jedoch muss ein Datenschutzbeauftragter über die erforderlichen Qualifikationen und dem Fachwissen für die Wahrnehmung seines gesetzlich vorgesehenen Aufgabenbereiches verfügen.

Nach einem Urteil aus dem Jahr 1990 vom Landgericht Ulm müssen die Kenntnisse und die Fähigkeiten von einem Datenschutzbeauftragten, insbesondere die Kenntnisse und Fähigkeiten im IT-Bereich sowie der rechtlichen Auslegung und Anwendung der DSGVO und BDSG.

Zudem sollte kein Interessenkonflikt hinsichtlich der Wahrnehmung der Funktion als Datenschutzbeauftragter bestehen. Ein Interessenkonflikt ist immer bei allen Personen zu bejahen, die ein persönliches Interesse am Unternehmen (z.B. Beteiligung am Unternehmen) oder auch eine Leitungsfunktion im Unternehmen (z.B. Geschäftsführer oder Abteilungsleiter) haben.

Des Weiteren ist zu beachten, dass die Kenntnisse und Fähigkeiten eines Datenschutzbeauftragten auch von der Unternehmensgröße abhängig ist. Je größer das Unternehmen oder je umfassender die Datenverarbeitung, umso höher sind auch die Anforderungen. Zur Weiterbildung der erforderlichen Kenntnisse und Fähigkeiten existieren zahlreiche Weiterbildungskurse für Einsteiger und auch Experten, wie z.B. ein Lehrgang zum externen Datenschutzbeauftragten bei datenschutzexperte.de.

Wann muss man einen Datenschutzbeauftragten haben?

Die Voraussetzungen der rechtlichen Benennungspflicht von einem Datenschutzbeauftragten werden in der Datenschutz-Grundverordnung (DS-GVO) und im Bundesdatenschutzgesetz (BDSG) geregelt. Nach der DS-GVO muss ein Datenschutzbeauftragter in folgenden Fällen bestellt werden:

  • im Kontext von personenbezogenen Datenverarbeitungen von Behörden und öffentlichen Einrichtungen (Art.37 I lit.a DS-GVO),
  • einer Kerntätigkeit von Verarbeitungsvorgängen einer umfangreichen,
  • regelmäßigen und systematischen Beobachtung von Personen (Art.37 I lit.b)
  • einer Kerntätigkeit von umfangreichen Verarbeitungen speziellen Kategorien von Daten oder auch von Daten von strafrechtliche Verurteilungen / Straftaten (Art.37 I lit.c DS-GVO)

Nach dem BDSG erfolgt die Bestellung von einem Datenschutzbeauftragten:

  • sofern üblicherweise eine ständige Beschäftigung von mindestens 20 Personen für die automatisierte Verarbeitung von personenbezogenen Daten vorliegt;
  • die Verarbeitung von personenbezogenen Daten erfolgt unter einer Datenschutz-Folgenabschätzung, dem geschäftsmäßigen Zweck der Übermittlung oder dem Zwecke der Markt-/Meinungsforschung.

Sofern die gesetzliche Verpflichtung zur Bestellung von einem Datenschutzbeauftragten verletzt wird, kann die zuständige staatliche Aufsichtsbehörde dem Unternehmen ein Bußgeld bis zu 2 % von dem gesamten weltweit erzielten Jahresumsatz oder auch bis zu 10 Millionen Euro auf der rechtlichen Grundlage von Art.83 IV lit.a DSGVO als Sanktion für die gesetzliche Rechtsverletzung auferlegen.

Was ist die Aufgabe eines Datenschutzbeauftragten?

Der Aufgabenbereich eines Datenschutzbeauftragten wird in Deutschland in den §§ 4f, 4g BDSG und in den entsprechenden landesrechtlichen Rechtsnormen geregelt. Die wesentliche Aufgabe eines Datenschutzbeauftragten ist die rechtliche Verpflichtung der Überwachung und Kontrolle der datenschutzrechtlichen Pflichten im Unternehmen.

Zudem gehören zum Aufgabenspektrum auch noch die folgenden Aufgaben:

  • die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen,
  • Schulung von Mitarbeitern im Unternehmen,
  • Beratung der Geschäftsführung und der Mitarbeiter sowie auch der Abteilungen von technischen und organisatorischen Maßnahmen,
  • Erarbeitung von unternehmerischen datenschutzrechtliche Richtlinien,
  • Überwachung der Führung von Verfahrensverzeichnissen, Unterstützung von Risikobewertungen, Unterstützung von Datenschutz-Folgenabschätzungen, Unterstützung von Datenpannenmeldung an die Aufsichtsbehörden und Erstellung von einem Tätigkeitsbericht im Kontext des Datenschutzes.

Welche unternehmerische Stellung hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte ist stets weisungsunabhängig hinsichtlich seiner Aufgabenerfüllung und berichtet direkt der höchsten Managementebene im Unternehmen. Er kann wegen seiner Stellung weder benachteiligt noch abberufen werden. Zudem muss zur Aufgabenerfüllung ein erforderliches Zeit-Budget sowie jegliche mögliche Unterstützung in Form von personeller, materieller und auch finanzieller Ausstattung gewährleistet werden.

Er hat einen Anspruch auf eine frühzeitige und ordnungsgemäße Einbindung in sämtliche datenschutzrechtlichen Fragen und den Zugang zu sämtlichen personenbezogenen Daten. Der Datenschutzbeauftragte ist auch zur Wahrung der Geheimhaltung und der Vertraulichkeit im Kontext seiner Aufgabenerfüllung verpflichtet.

Datenschutzbeauftragter laut DS-GVO und dem BDSG

Fazit: Datenschutzbeauftragter intern oder extern?

Nach der DS-GVO kann das Unternehmen einen internen oder auch externen Datenschutzbeauftragten bestellen. Ein externer Datenschutzbeauftragter benötigt normalerweise mehr Zeit für die Einarbeitung in die unternehmerischen Strukturen. Jedoch bietet die Bestellung eines externen Datenschutzbeauftragten mehr Vorteile, insbesondere der Wegfall von gesetzlich erweiterten Kündigungsschutz, Verbesserung der Haftung/Absicherung durch eine spezialisierte Betriebs-/Vermögensschadenshaftplicht, überschaubarer Kostenfaktor, Vermeidung von Interessenskonflikten und oftmals mehr praktische und theoretische Erfahrungen sowie auch bessere Fähigkeiten und Kenntnisse aus dem Bereich des Datenschutzes.