Der Datenschutzbeauftragte

Spätestens seit der Einführung der DS-GVO ist klar, ein Unternehmen braucht ab einem gewissen Umfang der Verarbeitung personenbezogener Daten einen Datenschutz-beauftragten (DSB).  

Der Datenschutzbeauftragte ist zuständig für alle anfallenden Aufgaben im Bereich des Datenschutzes. Welche Aufgaben das sind, wann er benannt werden muss und wie sein Auftrag umgesetzt werden soll, erfahren Sie in diesem Artikel.  

Das Wichtigste auf einen Blick

1. Wer braucht einen Datenschutzbeauftragten? 

In Art. 37 DS-GVO und § 38 BDSG sind die Fälle aufgeführt, in denen ein Datenschutz-beauftragter benannt werden muss:  

Ein Datenschutzbeauftragter wird benötigt,  

• wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeitenden in der Durchführung von Verarbeitungsvorgängen liegt, welche nach Art, Umfang und/oder Zweck eine umfangreiche regelmäßige, systematische Überwachung von Betroffenen erforderlich macht. 

• wenn das Unternehmen mehr als 20 Mitarbeiter beschäftigt, die sich unter anderem mit der Verarbeitung personenbezogener Daten befassen. 

• wenn besondere Kategorien von Daten (Art. 9 DS-GVO) oder personenbezogene Daten über strafrechtliche Verurteilungen (Art. 10 DS-GVO) umfassend im Rahmen einer Kerntätigkeit verarbeitet werden. 

• wenn die Bestimmung des Datenschutzbeauftragten nach dem Recht der Union oder der Mitgliedsstaaten vorgeschrieben ist. 

Eine ausbleibende Benennung trotz gesetzlicher Verpflichtung kann mit hohen Bußgeldern bestraft werden. 

Natürlich sind die Datenschutzgesetze auch dann zu beachten, wenn kein Datenschutz-beauftragter benannt werden muss. Es kann daher sinnvoll sein, einen Datenschutzbeauf-tragten zu benennen, auch, wenn dies gesetzlich nicht vorgeschrieben ist. 

Weitere Informationen, die Sie zum Thema Datenschutzbeauftragter wissen sollten, sind außerdem:  

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten bestimmen, wenn dieser aus allen Niederlassungen gut erreichbar ist.  

Auch dürfen Behörden oder öffentliche Stellen für mehrere Behörden unter Berücksichtigung ihrer Organisationsstruktur und Größe einen gemeinsamen Datenschutzbeauftragten stellen. 

Die Bestimmung erfolgt auf Grundlage der beruflichen Qualifikation und des Fachwissens, welches die ausgewählte Person im Bereich des Datenschutzrechtes besitzen sollte. Auch sollten die Fähigkeiten in Bezug auf die Aufgabenwahrnehmung bei der Auswahl des Datenschutzbeauftragten Beachtung finden. 

Das benötigte Fachwissen und die angeforderten Fähigkeiten stehen im engen Zusammenhang mit dem vom Unternehmen vorgenommenen Verarbeitungsumfang.  

Es kann ein Mitarbeiter oder eine externe Person als Datenschutzbeauftragter festgelegt werden. Wir helfen Ihnen gerne, für diese Frage eine für Sie und Ihr Unternehmen passende Lösung zu finden.  

Beachten Sie, dass ein gewählter Mitarbeiter besonderen Kündigungsschutz genießt und Mitarbeiter in Leitfunktionen nicht als Datenschutzbeauftragter benannt werden dürfen.  

Nach der Benennung des Datenschutzbeauftragten werden seine Kontaktdaten an die Aufsichtsbehörde weitergeleitet.  

2. Was sind seine Aufgaben?  

Die Aufgaben des Datenschutzbeauftragten sind unter anderem in Art. 39 DS-GVO und § 7 BDSG aufgeführt. In seiner Funktion unterrichtet, berät und überwacht er den Verantwort-lichen und die Mitarbeiter eines Unternehmens. 

Gewissermaßen kontrolliert er den Verantwortlichen und Auftraggeber bei der Einhaltung der gesetzlichen und von ihm vorgegebenen Regelungen. Er begleitet die umsetzenden Personen und sorgt für eine datenschutzkonforme Vorgehensweise. Der Datenschutz-beauftragte handelt hierbei weisungsfrei, ist aber nicht weisungsbefugt.  

Wie sein Name schon sagt, bleibt weiterhin der Verantwortliche für die Erfüllung der gesetzlichen Vorgaben zuständig. 

2.1 Aufklärung und Beratung  

Zum einen klärt der Datenschutzbeauftragte über datenschutzrechtliche Pflichten auf. Daneben berät er den Arbeitgeber und die Arbeitnehmer bei konkreten Problemen in diesem Bereich. Die Aufklärung sollte darüber hinaus auch sensibilisierende Wirkung entfalten. 

2.2 Kontrolle

Als Außenstelle der Aufsichtsbehörde sorgt der Datenschutzbeauftragte für die Einhaltung datenschutzrechtlicher Vorgaben in Organisationen oder im Unternehmen.  

Außerdem überprüft der Datenschutzbeauftragte die Verarbeitungstätigkeiten gegenüber Kunden, Lieferanten und anderen Geschäftspartner sowie die Mittel der Verarbeitung. Hierunter fallen unter anderem die Datenbanken, die mögliche Videoüberwachung, das Webseitentracking oder genutzte Apps. 

Bei den Verarbeitungstätigkeiten muss die rechtmäßige Erhebung, die sichere Verarbeitung und die fristgerechte Löschung überwacht und kontrolliert werden. Es empfiehlt sich, regelmäßige Kontrollen vor Ort vorzunehmen. 

2.3. Definition und Implementierung von Regelungen  

Der Datenschutzbeauftragte berät das Unternehmen bei der Erstellung von Dokumenten und bei der Ausübung des Ermessensspielraums bei Regelungen im Bereich des Datenschutzrechts. Wichtig wird das vor allem bei Betriebsvereinbarungen, Richtlinien und anderen internen Regelungen, wie beispielsweise der privaten Internet- und E-Mail-Nutzung. 

Darüber hinaus erfolgt eine Beratungstätigkeit bei der Erstellung von Datenschutz-erklärungen, um den gesetzlichen Informationspflichten gerecht zu werden.  

Eine Dokumentation hiervon ist notwendig, um nachzuweisen, dass der Datenschutzbeauftragte seine Aufgaben datenschutzkonform erfüllt.  

2.4. Durchführung einer Datenschutz-Folgeabschätzung  

Bei einigen Verarbeitungsvorgängen ist eine Datenschutz-Folgeabschätzung erforderlich. Hierbei wird der Datenschutzbeauftragte beratend tätig und überwacht deren Durchführung.  

Nach Art. 35 DS-GVO ist eine solche Folgeabschätzung u. a.. nötig wenn, 

• die Vornahme einer Verarbeitung insbesondere unter Verwendung neuer Technologien, aufgrund von Art, Umfang oder Zweck ein hohes Risiko für die Rechte und Freiheiten natürliche Personen mit sich bringt. 

• eine Verarbeitung von Daten aufgrund von Profiling vorgenommen wird und als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten. 

• eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten nach Art. 10 DS-GVO erfolgt 

2.5. Erstellung eines Verarbeitungsverzeichnisses  

In dem Verarbeitungsverzeichnis werden alle Vorgänge angegeben, in denen Daten verarbeitet werden. Hierbei wird u. a.. auch der Zweck der Verarbeitung dargelegt sowie ausgeführt, welche Kategorien personenbezogener Daten verarbeitet sowie welche Personenkategorien betroffen sind. Außerdem werden die Technisch-organisatorischen Maßnahmen (TOM) benannt und aufgeführt.  

2.6. Meldung von Datenschutzvorfällen und Vornahme von Betroffenenanfragen  

Bei einem Datenschutzvorfall ist die Vertraulichkeit personenbezogener Daten verletzt worden. Kommt es zu einem solchen Vorfall müssen einige Maßnahmen getroffen und die betroffenen Personen benachrichtig werden. Außerdem ist vorgeschrieben, dass der Vorfall in 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden muss. 

2.7. Einbezug in die vom Verantwortlichen durchzuführende Mitarbeiterschulung  

Der Verantwortliche muss eine Mitarbeiterschulung durchführen. Hierbei kann der Datenschutzbeauftragte entweder teilnehmen, eingebunden werden oder nach Absprache selbst die Durchführung vornehmen.  

2.8. Kontrolle von Mitarbeitern  

Regelmäßige Kontrollen sind erforderlich, um die Mitarbeiter kontinuierlich für datenschutz-rechtliche Vorgaben zu sensibilisieren und die Einhaltung der Vorschriften zu überwachen.  

2.9. Beratung des Betriebsrates 

Der Datenschutzbeauftragte berät auch den Betriebsrat in Fragen rund um das Thema Datenschutz.  

3. Umsetzung der Aufgaben des Datenschutzbeauftragten 

Es ist wichtig, dass der Datenschutzbeauftragte in seiner Stellung hinreichende Unterstützung erfährt.  

3.1. Hilfestellung bei der Einarbeitung   

Da nicht vorausgesetzt werden kann, dass der Datenschutzbeauftragte vor seiner Benennung voll und ganz über das Thema Datenschutz informiert ist, sollte er während seiner Ein-arbeitungszeit bestmöglich unterstützt und belehrt werden.  

Hierfür muss er nicht nur die Möglichkeit haben, an Fortbildungen teilzunehmen, sondern benötigt auch ausreichend Zeit für die Tätigkeit und Einarbeitung. Darüber hinaus sollte die nötige Infrastruktur gegeben sein und geprüft werden, ob abhängig von der Unternehmensgröße weiteres Personal erforderlich ist. Auch über ein eigenes Budget sollte nachgedacht werden.  

3.2. Feste Termine und Maßnahmen   

Es sollten Termine zum regelmäßigen Austausch zwischen dem Verantwortlichen, den Mitarbeitern und dem Datenschutzbeauftragten kommen. Hierfür können feste Termine vereinbart werden. Benötigte Informationen sind dem Datenschutzbeauftragten schnell zur Verfügung zu stellen.  

4. Der Datenschutzbeauftragte als Ansprechpartner 

Wie bereits festgestellt, agiert der Datenschutzbeauftragte als Ansprechpartner auf vielen Ebenen. 

Zum einen gibt er sowohl im Unternehmen, aber auch externen Parteien Hilfestellungen in datenschutzrechtlichen Fragen. Aus diesem Grund sollten seine Kontaktdaten für berechtigte Parteien gut zugänglich sein.  

Darüber hinaus tritt der Datenschutzbeauftragte als Ansprechpartner der Aufsichtsbehörde auf. Es werden nicht nur Fragen beantwortet, sondern auch Anfragen und Kontrolltermine bearbeitet.  

5. Fazit  

Der Datenschutzbeauftrage hat in einem Unternehmen oder in einer Behörde viele Aufgaben, die alle im Bereich des Datenschutzes münden. Er steht internen und externen Parteien Rede und Antwort, sensibilisiert und kontrolliert. 

Wichtig ist, dass die für den Datenschutz zuständige Person weiterhin der Verantwortliche bleibt.  

Der Datenschutzbeauftragte sollte seine Empfehlungen und Maßnahmen dokumentieren, um nachweisen zu können, dass er im Einklang mit der DS-GVO gehandelt hat.  

Auch wenn keine gesetzliche Benennungspflicht besteht, kann es sehr hilfreich sein, sich einen Datenschutzbeauftragten an seine Seite zu stellen. Hierdurch wird die Umsetzung der datenschutzrechtlichen Vorgaben entscheidend vereinfacht.