english

Betrieblicher Datenschutzbeauftragter

Betrieblicher Datenschutzbeauftragter
© Brian Jackson - Fotolia.com

Ansprechpartner

Sebastian Greif
Sebastian Greif

Telefon: +49 2151 635-410
Telefax: +49 2151 635-44410
E-Mail:
V-Card: Kontaktdaten speichern

Nordwall 39
47798 Krefeld

Immer mehr personenbezogene Daten werden verarbeitet. Damit ist die Gefahr von Datenschutzverstößen gestiegen. Um die Risiken zu begrenzen, misst der Gesetzgeber dem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB) eine große Bedeutung zu. Dieses Prinzip findet in der seit dem 25. Mai 2018 gültigen EU-Datenschutzgrundverordnung (DSGVO) und in dem ebenfalls seit diesem Zeitpunkt wirksamen neu gefassten Bundesdatenschutzgesetz (BDSG neu) seinen Niederschlag. Die wesentlichen Rechtsgrundlagen für den betrieblichen Datenschutzbeauftragten finden sich in Artikel 37 DSGVO und § 38 BDSG neu.

Wann und wie muss ein Datenschutzbeauftragter bestellt werden?

Ein Datenschutzbeauftragter ist zu bestellen, wenn in einem Betrieb in der Regel mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.

Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen.

In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der automatisierten Verarbeitung von Daten beschäftigten Personen zu bestellen. Nämlich dann, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Das gleiche gilt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (z. B. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.

Die Bestellung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, eine unternehmensinterne Bekanntmachung genügt nicht. Die Darstellung der Kontaktdaten auf einer uneingeschränkt zugänglichen Internetseite dürfte hingegen genügen. Der DSB ist der Aufsichtsbehörde zu melden.

 

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Artikel 39 DSGVO genannt.

  • Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechte und Pflichten
  • die Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen
  • Beratung bei der Datenschutz-Folgeabschätzung
  • Schaffung von Transparenz in der betrieblichen Datenverarbeitung
  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
  • Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
  • Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen bei der Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes sowie Benachrichtigung des Betroffenen über die Datenerhebung
  • Vertretung des Unternehmens in datenschutzrechtlichen Fragen
  • Zusammenarbeit mit den und Ansprechpartner für die Aufsichtsbehörden
  • Risikobewertung bezüglich der Erfüllung seiner Aufgaben, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen hat.

Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmen?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

  • Die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben (Freistellungspflicht).
  • Dem DSB sind die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä., insbesondere auch eigene Räumlichkeiten, zur Verfügung zu stellen (Nutzungsrechte).
  • Dem DSB ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen (Zugangs- und Einsichtsrechte).
  • Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann (Informationsrechte).
  • Bei der Ausführung seiner Aufgaben unterliegt der DSB keinen Weisungen (Weisungsfreiheit).
  • Der DSB ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar (Sonderkündigungsschutz).
  • Nach Abberufung ist der DSB für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar (nachwirkender Sonderkündigungsschutz).
  • Der Arbeitgeber ist verpflichtet, auf eigene Kosten dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt (Kostenerstattungspflicht).
  • Der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen, und es sind ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen (Informations- und Berichtspflicht).
  • Der DSB ist im Rahmen seiner Aufgaben zur Geheimhaltung verpflichtet (Geheimhaltungspflicht).

Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische Fähigkeiten sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.

Der DSB ist nicht gehindert, im Unternehmen weitere Aufgaben und Pflichten wahrzunehmen. Es ist jedoch sicherzustellen, dass diese nicht zu einem Interessenkonflikt führen. Zur Vermeidung von Interessenkonflikten ist von einer Bestellung von folgenden Gruppen abzuraten:

  • Geschäftsführern,
  • Leitern von Personal-, Marketing- oder IT-Abteilungen
  • oder Betriebsratsmitgliedern.

Nicht zwangsläufig ist ein Mitarbeiter des Unternehmens zum DSB zu bestellen. Es besteht die Möglichkeit, einen externen Berater zum DSB zu berufen.

Was droht bei Verstößen?

Bei Verstößen gegen Vorschriften des Datenschutzrechts können Bußgelder verhängt werden. Dies gilt auch für die Vorschriften über den Datenschutzbeauftragten, z.B. die Benennungspflicht oder Einhaltung der Rechte des Datenschutzbeauftragten. Bei Verstößen können Geldbußen bis zu 10.000.000 Euro oder von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.