Bild von Gerd Altmann auf Pixabay

 

Die aktuelle Rechtslage

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wurde die Pflicht, einen Datenschutzbeauftragten zu bestellen, vielen Unternehmen erst bewusst. Entgegen landläufiger Meinung wurde diese nämlich nicht erst durch die DSGVO eingeführt, sondern bestand schon jahrelang unter dem BDSG. Aufgrund einer aktuellen bundesweiten Gesetzesreform sollen kleinere Betriebe von dieser Pflicht nun befreit und auf diesem Wege entlastet werden. In der Praxis kann es jedoch vorkommen, dass auch kleinere Unternehmen jemanden brauchen, der sich mit den rechtlichen Anforderungen des Datenschutzes auskennt. Was genau unter einen Datenschutzbeauftragten zu verstehen ist und für wen die Pflicht besteht, einen solchen zu benennen wird im folgenden Artikel erläutert.

Der Datenschutzbeauftragte

Ein Datenschutzbeauftragter ist jede natürliche oder juristische Person, die von einem Unternehmen oder einer öffentlichen Stelle bestellt wird, um die Einhaltung des Datenschutzes sicherzustellen sowie diesen zu überwachen.

Verpflichtende Aufgaben des Datenschutzbeauftragten

• Aufklärung der Unternehmen über bestehende datenschutzrechtliche Pflichten sowie die Überwachung von deren Einhaltung
• erster Ansprechpartner für die Anfragen von Behörden und Betroffenen
• Beratung und Unterstützung der Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
• hat zudem die Funktion eines Ansprechpartners für Geschäftsführung, Mitarbeiter, Vertrieb und Marketing in allen Fragen zum Umgang mit Nutzer-, Mitarbeiter- und Kundendaten.

 

Die Qualifikation des Datenschutzbeauftragten

Grundsätzlich kann ein Mitarbeiter zum internen Datenschutzbeauftragten bestimmt werden. Hierzu muss dieser dann die entsprechenden Qualifikationen durch Schulungen und Fortbildungen erwerben. Kommt es jedoch zu einer rechtlichen Auseinandersetzung muss die Wahl des Datenschutzbeauftragten im Zweifel vor der zuständigen Behörde gerechtfertigt werden. Wird ein Mitarbeiter mit erweiterten Befugnissen ausgestattet, führt dies zudem unweigerlich zu einem innerbetrieblichen Interessenkonflikt. Der Datenschutzbeauftragte muss sich unter Umständen gegen die Geschäftsführung positionieren. Daher ist die Benennung eines externen Datenschutzbeauftragten mit rechtlicher Expertise durchaus sinnvoll. 

Das Erfordernis eines Datenschutzbeauftragten in Verbindung mit der aktuellen Gesetzesreform

Grundsätzlich ist ein Datenschutzbeauftragter für jedes Unternehmen, das mit personenbezogenen Nutzer- und Kundendaten arbeitet relevant. Jedoch besteht eine gesetzliche Verpflichtung zur Bestellung nur dann, wenn zusätzliche Voraussetzungen vorliegen:

• es findet aufgrund der Überwachungsdauer sowie der Anzahl betroffener Personen oder der Menge betroffener Daten eine systematische Überwachung statt und die Datenverarbeitung ist ein zentraler Bestandteil der unternehmerischen Tätigkeit.
• die überwachten Daten müssen zudem im besonderen Maße zu personenbezogenen Daten gehören. Darunter fallen Gesundheitsdaten, etwaige strafrechtliche Verurteilungen, die sexuelle Orientierung, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, genetische oder biometrische Daten sowie die rassische und ethnische Herkunft.
• entstehen durch Anwendung neuer Technologien oder der Art, des Umfangs oder aufgrund bestimmter Umstände und Zwecke der Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen, muss das Unternehmen laut Art. 35 DSGVO unabhängig von ihrer Belegschaftsgröße ebenfalls einen Datenschutzbeauftragten benennen. Dieser ist laut Gesetz in solch einem Fall dazu verpflichtet, eine Datenschutz-Folgeabschätzung durchzuführen.

Unternehmen, die personenbezogene Daten zum Zweck der (ggf. anonymisierten) Übermittlung sowie für Markt- oder Meinungsforschung erheben, sind ebenfalls dazu verpflichtet, einen Datenschutzbeauftragten zu benennen.

Unternehmen, deren Mitarbeiterzahl einen bestimmten Schwellenwert überschreiten, sind ebenfalls verpflichtet einen Datenschutzbeauftragten zu benennen. Bisher waren Betriebe, in denen sich mindestens 10 Mitarbeiter wiederkehrend oder regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten, gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Vor einem Monat billigte der Bundesrat jedoch die endgültige Fassung des im Bundestag beschlossenen "Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wodurch ihr Inkrafttreten unmittelbar bevorsteht. Dieses sieht vor, dass kleinere sowie mittlere Betriebe, in denen weniger als 20 Mitarbeiter für die automatisierte Verarbeitung personenbezogener Daten zuständig sind von der Verpflichtung befreit werden, einen Datenschutzbeauftragten zu benennen. Jedoch müssen sich diese Unternehmen auch ohne eine entsprechende Verpflichtung an die DSGVO halten. Somit ist ein Datenschutzbeauftragter vor allem in kleineren Unternehmen durchaus sinnvoll, da zahlreiche gesetzliche Dokumentations- Auskunfts- und Nachweispflichten diese oft überfordern. Bestehen Zweifel darüber, ob die Unternehmungsführung DSGVO-konform ist sollte in jedem Fall ein spezialisierter Jurist zur Rate gezogen bzw. als Datenschutzbeauftragter benannt werden. Dies hat zweierlei positive Effekte: Zum einen wird das Unternehmen beim etwaigen Verstoß gegen die DSGVO haftungsrechtlich entlastet, zum anderen verbessert der Verweis an einen professionellen Datenschutzbeauftragten zusätzlich das eigene Unternehmensprofil gegenüber den Kunden.

Ausdrückliche Erwähnung in der Datenschutzerklärung

Ist ein Datenschutzbeauftragter benannt worden bzw. muss einer benannt werden, ist das Unternehmen laut DSGVO verpflichtet, die Angaben zu seiner Person in die eigene Datenschutzerklärung aufzunehmen. Der Gesetzgeber wollte es den Behörden auf diesem Wege erleichtern, etwaige Bestellpflichten eines Unternehmens zu überprüfen.