Ab wann braucht man einen Datenschutzbeauftragten?
Wann braucht man einen Datenschutzbeauftragten?
Ab wann man, bzw. wer einen Datenschutzbeauftragten braucht, wird in der DSGVO und im BDSG festgehalten.
Es sind drei Konkrete Fälle zu nennen, bei denen eine gesetzliche Verpflichtung vorliegt:
1. In einem Unternehmen werden von mindestens 20 Mitarbeitern personenbezogene Daten automatisiert bearbeitet.
Laut § 4f Abs. 1 Satz 3 BDSG ist es irrelevant, ob es sich dabei um freie, fest angestellte Mitarbeiter oder Aushilfen handelt. Von einer automatisierten Verarbeitung von Daten wird also gesprochen, sobald diese Arbeit am Computer verrichtet wird, egal wer diese ausführt.
2. In einem Unternehmen werden besondere, sensible Daten verarbeitet.
Laut § 4f Abs. 1 Satz 5 BDSG besteht unabhängig von der Anzahl der Mitarbeiter die Pflicht, einen Datenschutzbeauftragten zu engagieren, sobald Daten wie beispielsweise Gesundheits- oder Bonitätsdaten verarbeitet werden.
3. In einem Unternehmen werden personenbezogene Daten geschäftsmäßig verarbeitet.
Laut § 4f Abs. 1 Satz 5 BDSG ist man zur Bestellung eines Datenschutzbeauftragten verpflichtet, sobald man personenbezogene Daten geschäftsmäßig verarbeitet, übermittelt oder erhebt.
Was ist der Unterschied zwischen DSGVO und BDSG?
Die Verordnungen sind beide anerkannt und geltend.
Die Datenschutz-Grundverordnung (DSGVO) ist eine europaweite Verordnung und wird von jedem einzelnem Mitgliedsstaat umgesetzt. Sie besteht zum Schutz von Personen, deren personenbezogenen Daten verwendet werden.
Durch das BDSG-neu werden diese Regelungen ergänzt, konkretisiert und spezifiziert.
Was versteht man unter personenbezogenen Daten?
Laut der DSGVO fallen unter personenbezogenen Daten alle Informationen über eine identifizierbare oder identifizierte, natürliche Person.
Auch Teilinformationen, welche gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen personenbezogene Daten dar. Einzelangaben über juristische Personen, wie Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten.
Besondere Kategorien personenbezogener Daten werden nach Artikel 9 DSGVO zusätzlich geschützt. Darunter fallen zum Beispiel Gesundheitsdaten, Angaben über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.
Beispiele für personenbezogene Daten:
- Name, Alter, Familienstand und Geburtsdatum
- Adressdaten, Telefonnummer und E-Mail-Adresse
- Personalausweisnummer sowie Sozialversicherungsnummer
- Konto- und Kreditkartennummer
- Kraftfahrzeugnummer, Kfz-Kennzeichen
- Werturteile (Zeugnisse)
- Vorstrafen
- Gesundheitsdaten und genetische Daten
Änderungen für Datenschutzbeauftragte aufgrund der DSGVO
Die wichtigsten Änderungen finden Sie hier auf einen Blick:
- Unternehmen haben die Pflicht, die Kontaktdaten (Telefonnummer bzw. E-Mail-Adresse) des DSB für die eigenen Mitarbeiter zu veröffentlichen.
Sobald Kundendaten verarbeitet werden, müssen diese Angaben über den DSB auch auf der Webseite sichtbar sein. Außerdem ist es die Aufgabe der Unternehmen die Kontaktdaten des DSB, gemäß Artikel 37 Absatz 7 DSGVO, der staatlichen Datenschutzbehörde zu übermitteln, da diese sich bei Datenschutzverstößen mit einschalten.
- Datenschutzbeauftragte müssen Unternehmen nicht nur beraten, sondern sollen diese bei ihren Aktivitäten überwachen und sicherstellen, dass die Daten tatsächlich geschützt sind. In der Vergangenheit war es ausreichend, wenn der Datenschutzbeauftragte seine Meinung äußerte, wenn beispielsweise eine neue Software zur Verarbeitung von personenbezogenen Daten eingeführt wurde. Jetzt ist er dazu verpflichtet, die neuen Systeme auf Datensicherheit zu überprüfen und diese wahren.
- Gemäß Artikel 37 Absatz 2 könne Unternehmensgruppen nun einen gemeinsamen Datenschutzbeauftragten ernennen. Dieser muss jedoch von jeder Niederlassung leicht erreichbar sein. Ein gemeinsamer Datenschutzbeauftragter wird auch als Konzerndatenschutzbeauftragter bezeichnet.
- Verstöße gegen Gesetze der DSGVO werden immer strenger gehandhabt. Ein solches Vergehen kann sehr teuer werden, als Strafe droht ein erhebliches Bußgeld. Die Aufsichtsbehörde darf bis zu vier Prozent des weltweit erzählten Jahresumsatzes des letzten Geschäftsjahres als Strafzahlung verhängen.
Welche Aufgaben hat der Datenschutzbeauftragte?
Der Unternehmensverantwortliche bleibt selbst immer für die Umsetzung der datenschutzrechtlichen Vorgaben zuständig. Die Aufgabe eines DSB ist also nur dem Unternehmen und seinen Verantwortlichen beratend zur Seite zu stehen und über die Einhaltung des Datenschutzes zu überwachen.
So kann ein Datenschutzbeauftragter durch die Beratung und Überwachung einen effektiven Schutz von personenbezogenen Daten sicherstellen.
Unterrichtung und Beratung
Der Datenschutzbeauftragte hat die Pflicht zur Unterrichtung, heißt so viel wie die allgemeine Aufklärung über datenschutzrechtliche Pflichten. Außerdem berät er die Unternehmen und unterstützt diese bei der Lösung konkreter Probleme. Diese Pflicht muss gegenüber dem Verantwortlichen selbst und seinen Mitarbeitern erfüllt werden.
Überwachung
Der Datenschutzbeauftragte hat auch die Aufgabe das Unternehmen zu überwachen. Er muss gewissermaßen als eine Art Außenstelle der Aufsichtsbehörde „ein Auge“ auf die Einhaltung von datenschutzrechtlichen Vorgaben haben.
Die wichtigsten Überwachungsmaßnahmen sind:
- Die Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
- Die Zuweisung von Zuständigkeiten
- Die diesbezügliche Überprüfung
Konkrete Aufgaben eines Datenschutzbeauftragten im Überblick
Im Weiteren werden die Aufgaben des Datenschutzbeauftragten erklärt.
Erstellung von Richtlinien
Ein Datenschutzbeauftragter muss das Unternehmen bei der Konzipierung rechtlicher Dokumente mit datenschutzrechtlichem Bezug beraten. Dazu zählen beispielsweise der Umgang mit personengeschützten Daten, Betriebsvereinbarungen, Richtlinien zur privaten Internet- sowie E-Mail-Nutzung oder zu allgemeinen Datenschutzrichtlinien.
Auch eine essenzielle Aufgabe des DSB ist die Beratungstätigkeit bei der Erstellung von Datenschutzerklärungen zur Erfüllung der Informationspflicht.
Erstellen von Verzeichnissen der Verarbeitungstätigkeiten
Die Erstellung des Verarbeitungsverzeichnisses (VVT) fällt nicht in den Aufgabenbereich eines DSB. Er ist viel mehr zuständig für die Beratung der Verantwortlichen bzw. Auftragsverarbeiter, welche ein solches Verzeichnis anlegen müssen.
Je nach Größe des Unternehmens kann dieses sehr umfassend sein und daher muss der Datenschutzbeauftragte das Verzeichnis auch auf Schlüssigkeit überprüfen.
Durchführen einer Datenschutzfolgenabschätzung
Datenschutzfolgenabschätzungen (DSFA) müssen bei bestimmten Datenverarbeitungen von dem Verantwortlichen durchgeführt werden. Nach dem Gesetzwortlaut muss der Datenschutzbeauftragte frühzeitig und ordnungsgemäß in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen eingebunden werden.
Mitwirken bei der Kontrolle von Mitarbeitern
Sobald ein Missbrauch von Daten angenommen wird, oder beispielsweise ein Verstoß gegen das Verbot einer privaten Internet- oder E-Mail Nutzung vorliegt, sind Kontrollen erforderlich.
Diese werden von Seiten des Arbeitgebers durchgeführt. Bei Interaktionen dieser Art, sollte immer ein Datenschutzbeauftragter mit einbezogen werden, welcher bei der Kontrolle hilft und diese auch überwacht.
Mitarbeiterschulungen im Bereich Datenschutz
Die Schulung selbst ist normalerweise nicht im Aufgabenbereich eines DSB. Seine Aufgabe ist viel mehr, die ordnungsmäßige Durchführung der Schulung vom Verantwortlichen zu überwachen. Außerdem sollte der Datenschutzbeauftragte immer in die Konzipierung der Schulung mit eingebunden werden.
Es kann jedoch auch öfters dazu kommen, dass der Datenschutzbeauftragte die Schulungen der Mitarbeiter selbst übernimmt. Das hat einige Vorteile, da er sehr gut auf Fragen aus dem Arbeitsalltag eingehen kann. Außerdem bauen die Mitarbeiter eher Vertrauen auf und haben dann eine geringere Hemmschwelle, wenn es darum geht im Tagesgeschäft auf den Datenschutzbeauftragten zuzugehen.
Wer darf Datenschutzbeauftragter werden?
Es kommt sehr oft vor, dass bei der Bestellung eins Datenschutzbeauftragten Fehler gemacht werden. Wenn solche Fehler entstehen, kommt es zu einer unwirksamen Bestellung und sie ist damit ungültig.
Laut § 43 Abs. 1 Nr. 2 BDSG gilt es dann, als hätte man keinen Datenschutzbeauftragten bestellt. Daher können dafür Bußgelder bis zu 50.000 Euro fällig werden.
Die Frage, ob jeder Mitarbeiter als Datenschutzbeauftragter ernannt werden darf, lässt sich also klar mit Nein beantworten. Laut dem Gesetz ist jeder Mitarbeiter ausgeschlossen, welcher in einen Interessenkonflikt geraten könnte oder bei dem eine Gefahr der Selbstkontrolle besteht.
Dieses Gesetz gilt sowohl für Personen im Unternehmen als auch für Personen außerhalb. Besonders gefährdet und typisch sind beispielsweise Geschäftsführer, IT-Leiter, Administratoren und all diejenigen, die sich selbst und das eigene Unternehmen kontrollieren würden.
Interner- oder externer Datenschutzbeauftragter?
Dem Geschäftsführer steht es vollkommen frei, ob er einen internen- oder externen Datenschutzbeauftragten bestellt. Interne- sowie externe Datenschutzbeauftragte haben beide ihre Vor- und Nachteile.
Interner Datenschutzbeauftragter
Der interne Datenschutzbeauftragte hat einige Vorteile, da er selbst schon länger in dem Unternehmen tätig ist.
Er kennt die Ansprechpartner und das Unternehmen schon sehr gut. Außerdem ist er in die tägliche Kommunikation mit eingebunden, da er sowieso vor Ort ist. Dazu kommt noch, dass die Kosten vordergründig unverändert bleiben, da kein zusätzlicher Mitarbeiter eingestellt werden muss.
Jedoch ist es oftmals sehr schwierig, eine geeignete qualifizierte Person innerhalb des Betriebs zu finden. Ein weiteres Problem ist, dass durch Unwissenheit des internen Datenschutzbeauftragten bestehende suboptimale Lösungen beibehalten werden. Außerdem sind der Arbeitsaufwand und die Kosten für interne DSB meist schwer kalkulierbar.
Externer Datenschutzbeauftragter
Der externe DSB hat den Überblick über eine marktübliche Umsetzung und ist meist schneller und qualifizierter als der interne DSB. Darüber hinaus kann er auf bestehende Unterlagen zurückgreifen.
Außerdem bekommt der externe DSB meist schnellere qualifizierte Antworten, da kein Konkurrenzverhältnis besteht und dem „Beauftragten der Geschäftsführung“ schnell weitergeholfen wird. Dazu kommt, dass ein externer DSB meist auf eine bessere Akzeptanz beim Betriebsrat stößt.
Es gibt jedoch auch einige Nachteile, die mit einem externen DSB verbunden sind. Es können beispielsweise unter Umständen nicht geplante Zusatzkosten auftreten. Außerdem muss er in die bestehenden Prozesse eingelernt werden, da er nicht automatisch eingebunden ist und oft fehlt die Branchenkenntnis, weil der DSB noch nie in diesem Bereich tätig war.