Was ist ein Datenschutzbeauftragter

Der Datenschutzbeauftragte ist eine natürliche Person oder ein Unternehmen, bestellt durch ein Unternehmen oder eine öffentliche Stelle, um die Einhaltung des Datenschutzes zu überwachen und sicher zu stellen.

Aufgaben und Pflichten eines
Datenschutzbeauftragten gemäß DSGVO

01

Aufklärung über bestehende datenschutzrechtliche Pflichten im Unternehmen und Überwachung der Einhaltung.

02

Erster Ansprechpartner bei Anfragen von Behörden und Betroffenen.

03

Erstellung und Führung des Verarbeitungsverzeichnisses (früher Verfahrensverzeichnis).

04

Unterstützung durch Hilfe und Beratung bei der Durchführung der Datenschutz-Folgenabschätzung (DFA) nach Art. 35 DSGVO.

05

Ansprechpartner für Geschäftsführung und Mitarbeiter bei allen Fragen im Umgang mit persönlichen Daten
(Nutzer- und Kundendaten).

Auch kleine Unternehmen sind betroffen.

Achten Sie auf die Notwendigkeit!

Die Betriebsgröße oder Art der Unternehmung (Konzern, GmbH, Freelancer) ist NICHT ausschlaggebend für die Notwendigkeit eines Datenschutzbeauftragten!

Ab wann wird die Bestellung eines Datenschutzbeauftragten zur Pflicht?

Zahlreiche Unternehmen sind bereits jetzt zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Mit Inkrafttreten der DSGVO (25. Mai 2018) erweitert sich der Kreis der Unternehmen, welche einen Datenschutzbeauftragten benötigen, deutlich.

Hier muss jedes Unternehmen selbst abklären, ob die Pflicht zur Bestellung eines DSB (sei es intern oder extern) besteht.

Gemäß DSGVO kommt es dabei aber nicht mehr nur auf die Größe des Unternehmens an. Somit werden auch viele kleine Unternehmen mit weniger als 10 Mitarbeitern häufig zur Bestellung eines DSB (Datenschutzbeauftragten) verpflichtet.

Wichtiger Hinweis
  • Gemäß DSGVO muss der Datenschutzbeauftragte in der Datenschutzerklärung benannt werden. So ist das Vorhandensein eines DSB leichter nachprüfbar und ab Geltung der DSGVO ist mit verschärften Kontrollen der Aufsichtsbehörden, Kundenanfragen und ggf. Abmahnungen zu rechnen.

Wann ist ein Datenschutzbeauftragter
gesetzlich vorgeschrieben?

Grundsätzlich ist das Thema "DSGVO und Datenschutzbeauftragter" für alle Unternehmen relevant, die mit personenbezogenen Nutzer- und/oder Kundendaten arbeiten.

Hier spielt die Verarbeitung der Daten (online oder offline) keine Rolle. Die Datenschutzgrundverordnung gilt nämlich sowohl in der "realen Welt" als auch im Internet.

Bestimmte Unternehmen sind zur Bestellung oder Benennung eines Datenschutzbeauftragten (extern oder betrieblich) verpflichtet. Die DSGVO und das neue BDSG (Bundesdatenschutzgesetz) schreiben die Bestellung oder Benennung eines Datenschutzbeauftragten vor, sobald eine der folgenden Bedingungen erfüllt sind:

a) Mehr als zehn Personen sind in der Regel ständig mit der automatisierten
Verarbeitung personenbezogener Daten im Unternehmen beschäftigt.


Diese Vorschrift entspricht im Grundsatz der bestehenden Rechtslage. Von automatisierter Datenverarbeitung spricht man, wenn die Datenverarbeitung mit Hilfe von Datenverarbeitungsanlagen (z.B. Computer) erfolgt.

Hier bedeutet der Passus "in der Regel", dass die Verarbeitung personenbezogener Daten für die Mitarbeiter zu deren "beruflichen Alltag" gehört. Beispiel: Callcenter-Mitarbeiter, die telefonische Bestellungen aufnehmen. Ein Mitarbeiter der Postabteilung, der normalerweise Rechnungen einkuvertiert und als Krankheitsvertretung Bestellungen aufnehmen muss, zählt hier eher nicht.

Zu den Mitarbeitern zählen hier allerdings auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc., sofern sie mit relevanten Daten arbeiten. Hier spielt es auch keine Rolle, ob die Beschäftigtenzahl kurzzeitig unter oder über 10 Beschäftigte schwankt.

Es ist im Einzelfall zu klären ob eine "ständige Beschäftigung" vorliegt. Hier kann aber zumindest dann davon ausgegangen werden, wenn die Verarbeitung der Daten regelmäßig oder wiederkehrend erfolgt.

b) Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen,
die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige
und systematische Überwachung von betroffenen Personen erforderlich machen.


Diese – tiefjuristische Formulierung – hat zwei wesentliche Voraussetzungen.

- Es handelt sich um eine Tätigkeit, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht. In der DSGVO ist nicht definiert, wann dies der Fall ist. Entsprechende Anhaltspunkte für eine umfangreiche und systematische Tätigkeit können aber z. B. Dauer der Überwachung, Anzahl der betroffenen Personen oder die Menge der betroffenen Daten sein.

- Außerdem muss die Datenverarbeitung eine Kerntätigkeit des Unternehmens sein. Ist also die betreffende Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit / Geschäftsstrategie, trifft dieser Fall zu. Beispiele: Die Verarbeitung von Gesundheitsdaten in einem Krankenhaus oder die Verarbeitung von Adressdaten in einer Auskunftei. Als Nebentätigkeit wird dagegen die Verwaltung von Personaldaten innerhalb eines Unternehmens eingestuft.

c) Die Kerntätigkeit des Unternehmens besteht in der umfangreichen
Verarbeitung besonderer Datenkategorien.


Als "besondere Datenkategorien" gelten vor allem:

- Gesundheitsdaten
- personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
- Daten zum Sexualleben oder zur sexuellen Orientierung
- Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
- genetische und biometrische Daten

Liegt nun noch eine "umfangreiche Verarbeitung" im Sinne der DSGVO vor, müssen Sie einen Datenschutzbeauftragten bestellen.

d) Das Unternehmen ist nach DSGVO verpflichtet eine so genannte
Datenschutz-Folgenabschätzung durchzuführen.


Wenn das Unternehmen verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO), muss unabhängig vom Vorliegen weiterer Voraussetzungen ein Datenschutzbeauftragter bestellt werden.

Ist die freiwillige Bestellung eines Datenschutzbeauftragten notwendig?

Gemäß DSGVO kann und sollte ein Datenschutzbeauftragter auch freiwillig oder in Zweifelsfällen bestellt werden.

Gerade viele kleinere Unternehmer sind mit den zahlreichen Pflichten zur Dokumentation, Auskunft und Nachweis überfordert.
Hier bleibt oftmals nur die Wahl eines Fachanwaltes oder eines Datenschutzbeauftragten, um ein Unternehmen DSGVO-konform abzusichern.

Sofern das Thema Datenschutz im Unternehmen nicht schon in fachlich guten Händen ist und Kundendaten verarbeitet werden, sollten Unternehmer darüber nachdenken - ggf. auch ohne gesetzliche Verpflichtung - freiwillig einen DSB zu bestellen.

Hierdurch befreien Sie sich als Unternehmer von Fragen zu Verarbeitungsverzeichnis, Folgeabschätzung und Dokumentation. Außerdem entlasten Sie sich so auch haftungsrechtlich.

Der Verweis auf einen professionellen Datenschutzbeauftragten, sowohl in der Außendarstellung als auch bei Kundenfragen, ist als positiver Marketingeffekt für Unternehmen nicht zu unterschätzen.

Was ist die "Bestellung" eines Datenschutzbeauftragten?


Zukünftig muss die Bestellung eines Datenschutzbeauftragten nicht mehr schriftlich erfolgen. So wird künftig auch von der "Benennung" statt "Bestellung" des DSB gesprochen. Eine schriftliche Verwendung bestehender Muster ist somit nicht mehr notwendig.


Gleichzeitig müssen allerdings künftig die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der zuständigen Aufsichtsbehörde (Landesdatenschutzbehörde oder Landesdatenschutzbeauftragter) mitgeteilt werden.

Die Qual der Wahl - Externer oder
betrieblicher Datenschutzbeauftragter?

Gemäß DSGVO kann ein Datenschutzbeauftragter sowohl extern als auch betriebsintern bestellt werden.

In beiden Fällen muss darauf geachtet werden, dass
- der bestellte Datenschutzbeauftragte über die erforderliche Qualifikation verfügt und
- keine Interessenkonflikte bestehen.

Hier liegt die Entscheidung beim Unternehmen, zu wählen, welche Variante sinnvoller ist.

In der Regel braucht ein externer Datenschutzbeauftragter mehr Zeit, um sich in die Abläufe eines Unternehmens hineinzudenken. Allerdings bietet sich gerade bei kleineren Unternehmen die Bestellung eines externen DSB dennoch an, um das eigene Personal nicht mit diesen Aufgaben zu binden.
Außerdem kann man durch die Wahl eines externen DSB die - gemäß DSGVO erforderliche - Qualifikation sicherstellen und nachweisen.

Vorteile eines externen Datenschutzbeauftragten

Keine Haftungsbeschränkung wie beim internen Datenschutzbeauftragten

Keine Zusatzversicherung erforderlich

Keine Erst-Ausbildung notwendig

Keine Kosten für stetige Fortbildung

Kündbarkeit im Gegensatz zum internen Datenschutzbeauftragten

Keine Einschränkung der betrieblichen Abläufe. Ein interner Datenschutzbeauftragter hat hingegen auch noch andere Tätigkeiten und Aufgaben zu erfüllen

Weniger Kosten- und Aufwand, ideal für kleine und mittelgroße Unternehmen

Was droht, wenn kein
Datenschutzbeauftragter bestellt wird?

Die Folgen lassen sich erahnen - Geldbußen

- bis zu 20 Mio. Euro oder
- bis zu 4 % des weltweiten Vorjahresumsatzes.

Selbst wenn nicht jedes Unternehmen mit solch hohen Bußgeldern rechnen muss, werden zukünftig datenschutzrechtliche Verstöße mit Inkrafttreten der DSGVO deutlich stärker in den Fokus von Aufsichtsbehörden und Abmahnanwälten rücken.

Hier ist Vorbeugung die eindeutig bessere Wahl.

DSB-Checkliste

Diese Punkte müssen Sie bei der Frage nach
und im Fall der Notwendigkeit beachten:

Sind Sie gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen?

Bestellen Sie einen geeigneten internen oder externen Datenschutzbeauftragten für Ihr Unternehmen.

Möchten Sie zur Umsetzung der Anforderungen der DSGVO, freiwillig einen DSB bestellen?

Veröffentlichen Sie die Kontaktdaten Ihres Datenschutzbeauftragten auf Ihrer Webseite.

  • Teilen Sie der zuständigen Aufsichtsbehörde (Landesdatenschutzbehörde) die Kontaktdaten Ihres Datenschutzbeauftragten zum 25.05.2018 mit.

Fragen oder Unklarheiten?

Sprechen Sie uns an!

Vereinbaren Sie einen Termin mit uns. Gemeinsam prüfen wir die Notwendigkeit eines Datenschutzbeauftragten. Sollten Sie diesen benötigen, erstellen wir gerne ein entsprechendes Angebot.

Anschrift

Elisabethstr. 2
42859 Remscheid