Datenschutzbeauftragter: Bestellen Sie den richtigen!

Datenschutzbeauftragter: Bestellen Sie den richtigen!

Das deutsche Datenschutzrecht verpflichtet Unternehmen und öffentliche Stellen zur Bestellung eines Datenschutzbeauftragten. Und das bereits seit seiner ersten Normierung durch das Bundesdatenschutzgesetz (BDSG) von 1977.

Diese Verpflichtung besteht heute noch gemäß § 4f Abs. 1 der aktuellen Fassung des BDSG und wird mit der Datenschutzgrundverordnung (DSGVO) fortbestehen. Die DSGVO kommt ab dem 25. Mai 2018 zur EU-weiten Anwendung.

Höchste Zeit, sich mit dem Datenschutzbeauftragten einmal näher zu beschäftigen.

 

Wer ist eigentlich dieser Datenschutzbeauftragte und was macht er hier?

Wir unterstützen Sie dabei, sich über folgende Fragen endlich Klarheit zu verschaffen:

  1. Wer muss einen Datenschutzbeauftragten bestellen?
  2. Welche Anforderungen muss der Datenschutzbeauftragte erfüllen?
  3. Worin bestehen die Aufgaben des Datenschutzbeauftragten?
  4. Externer oder interner Datenschutzbeauftragter?
  5. Welche Neuerungen ergeben sich durch die DSGVO 2018?

 

Wer muss einen Datenschutzbeauftragten bestellen?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) trifft die meisten Unternehmen. Zu den Verpflichteten zählen insbesondere …

  • juristische Personen,
  • Personengesellschaften und
  • nicht rechtsfähige Vereinigungen,

… die zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Dieses Kriterium ist bereits erfüllt, wenn Beschäftigte bei ihrer Tätigkeit einen PC benutzen.

Aber auch wenn dieses Kriterium nicht erfüllt ist, kann eine Bestellpflicht bestehen, etwa wenn sogenannte vorabkontrollpflichtige Datenverarbeitungen (siehe auch CHECKLISTE: Bestellpflicht: Ja oder Nein?) durchgeführt werden.

Versäumen Sie nicht eine erforderliche Bestellung! Anhand der folgenden Checkliste sehen Sie, welche Kriterien für die Bestellpflicht ausschlaggebend sind.

 

Checkliste: Bestellpflicht Datenschutzbeauftragter

  1. Zu den beteiligten Personen zählen alle Personen mit einem PC-Arbeitsplatz – auch freie Mitarbeiter, Auszubildende, Teilzeitkräfte etc.
  2. Vorabkontrollpflichtig sind Datenverarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen bedeuten, weil besondere personenbezogene Daten betroffen sind (z. B. Gesundheitsdaten, ethnische Herkunft, Religionszugehörigkeit etc.) oder wenn es sich um andere eingriffsintensive Datenverarbeitungen handelt (z. B. Videoüberwachung).
  3. Dies ist etwa der Fall für Auskunfteien (z. B. SCHUFA).

Bei Verstößen

Der Verstoß gegen diese Pflicht stellt eine schwerwiegende Verletzung des Datenschutzrechts dar, die aktuell mit einem Bußgeld von bis zu 50.000 Euro geahndet werden kann.

Mit Inkrafttreten der DSGVO beträgt das Bußgeld bis zu 10.000.000 Euro oder zwei Prozent des Jahresumsatzes, wenn dieser Betrag höher ist.

Mehr zu Bußgeldern bei Verstößen gegen das Datenschutzrecht erfahren Sie im Artikel „Datenschutz Strafen: Wie teuer werden Verstöße wirklich?“.

Die Bestellung

Um einen Datenschutzbeauftragten wirksam zu bestellen, müssen Sie ihm eine schriftliche und unterschriebene Bestellurkunde übergeben, die dieser dann ebenfalls unterschreibt.

Aus der Bestellung sollte klar hervorgehen, dass damit die Bestellung zum Datenschutzbeauftragten beabsichtigt ist.

 

Mit der Feststellung, dass Sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, ist der erste Schritt bereits getan.

Bei der Auswahl des passenden Mitarbeiters können Sie sich aber nicht nur auf Ihr Bauchgefühl verlassen. Das BDSG stellt an die Person des Datenschutzbeauftragten genaue Anforderungen, die Sie unbedingt kennen und beachten sollten.

 

Welche Anforderungen muss der Datenschutzbeauftragte erfüllen?

Im BDSG heißt es, dass der Datenschutzbeauftragte die erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Was ist aber genau unter diesen beiden Begriffen zu verstehen?

Fachkunde

  • Der Datenschutzbeauftragte muss die gesetzlichen Regelungen zur Datenverarbeitung kennen und sicher anwenden können.
  • Er muss vertiefende Kenntnisse der Informationstechnik und gute organisatorische Kenntnisse haben.
  • Er sollte in der Lage sein, die Organisationsstruktur des Unternehmens und die betrieblichen Datenströme und Datenverarbeitungen nachzuvollziehen.
  • Generell gilt, je größer und komplexer das Unternehmen, je mehr personenbezogene Daten verarbeitet werden und je sensibler die personenbezogenen Daten sind, desto höher sind auch die Anforderungen an die Fachkunde des Datenschutzbeauftragten!

Es ist nicht zwingend erforderlich, dass die Fachkunde bereits im Moment der Bestellung vorliegt.

Alternativ kann die Fachkunde auch zeitnah durch entsprechende Weiterbildungen erworben werden. Je größer aber dabei der Bedarf an Weiterbildung ist, desto aufwendiger und kostenintensiver ist natürlich die Ausbildung des Datenschutzbeauftragten.

Alternativ zu dieser ggf. teuren Variante der Bestellung eines internen Datenschutzbeauftragten kann stets auch ein externer Datenschutzbeauftragter bestellt werden (dazu im Folgenden mehr).

Zuverlässigkeit

  • Der Datenschutzbeauftragte muss als Persönlichkeit geeignet sein, die Vertrauensstellung als Datenschutzbeauftragter auszufüllen.
    (Daran können etwa Zweifel bestehen, wenn die Person in der Vergangenheit Verschwiegenheitspflichten verletzt hat oder aus anderen Gründen persönlich ungeeignet ist.)
  • Der Datenschutzbeauftragte muss seine Aufgabe frei von Interessenskonflikten wahrnehmen können.
    (Er darf insbesondere nicht in die Verlegenheit kommen, sich selbst kontrollieren zu müssen.
    Das wäre immer dann der Fall, wenn er neben der Funktion in dem Unternehmen für die Verarbeitung personenbezogener Daten in relevantem Umfang verantwortlich ist oder allgemein eine leitende Funktion übernimmt.
    Nicht möglich ist daher die Bestellung der Geschäftsleitung oder eines Abteilungsleiters. Kritisch zu bewerten wäre zudem die Bestellung von Personen mit übergeordneten Aufgaben in den Bereichen IT oder Personal.)
  • Der Datenschutzbeauftragte muss seine Aufgabe unabhängig wahrnehmen können.
    (Problematisch ist daher die Bestellung von Personen, die sonst intern oder extern die Interessen des Unternehmens vertreten wie Syndikus-Anwälte oder Juristen der Rechtsabteilung.)

Ein guter Datenschutzbeauftragter

  • Ein Datenschutzbeauftragter ist in der Wahrnehmung seiner Aufgaben neutral. Er steht also auf keiner Seite. Er ist die Vertrauensperson der Leitung, der Beschäftigten, des Betriebsrats und der Kunden.
  • Der Datenschutzbeauftragte muss die Betroffenen gleichbehandeln und darf sich vor keinen Karren spannen lassen. Das erfordert charakterliche Stärke.
  • Ziel des Datenschutzbeauftragten muss stets (und nur) die Einhaltung des Datenschutzrechts durch das Unternehmen sein.

 

Sie haben festgestellt, dass Sie einen Datenschutzbeauftragten bestellen müssen. Außerdem wissen Sie nun, welche grundlegenden Qualifikationen und Fähigkeiten der Datenschutzbeauftragte mitbringen bzw. sich aneignen muss.

Eine entscheidende Frage ist bisher aber noch unbeantwortet geblieben: Worin bestehen seine Aufgaben?

 

Worin bestehen die Aufgaben des Datenschutzbeauftragten?

Rein formal heißt es, dass der Beauftragte gemäß § 4g auf die Einhaltung des BDSG und anderer Datenschutzvorschriften hinwirkt. Aber wie sieht diese Definition in der Praxis aus?

Aufgabe 1: Beratung zum Datenschutzrecht

Die Beratung in den Fragen des Datenschutzrechts und bei der Gestaltung von IT-Systemen sowie Unternehmensprozessen ist die Hauptaufgabe des Datenschutzbeauftragten.

Er ist dabei gleichberechtigt Ansprechpartner aller Beteiligten und Betroffenen wie der Geschäftsleitung, der Beschäftigten, Kunden oder des Betriebsrats.

Diese Beratung beginnt bei der einzelfallbezogenen Auskunft gegenüber einzelnen Beschäftigten oder Kunden, umfasst die Beratung von Projekten wie der Einführung von IT-Systemen und geht bis zur Beratung bei unternehmensorganisatorischen und strategischen Geschäftsentscheidungen.

  • In der Praxis stehe ich (Rechtsanwalt Dr. Bernd Schmidt) als externer betrieblicher Datenschutzbeauftragter einzelnen Betroffenen zur Verfügung, die Auskunft über die zu ihrer Person gespeicherten Daten verlangen.
    Ich berate die Geschäftsleitung und ggf. den Betriebsrat bei der Einführung einzelner Systeme, etwa zur Verwaltung von Personaldaten, und wirke darauf hin, dass die Unternehmensorganisation insgesamt sicherstellt, dass datenschutzrechtliche Anforderungen beachtet werden.

Aufgabe 2: Vorabkontrolle eingriffsintensiver Datenverarbeitung

Die Vorabkontrolle ist eine ausdrücklich geregelte Aufgabe des Datenschutzbeauftragten. Dabei wird für eine besonders eingriffsintensive Datenverarbeitung vor deren Einführung geprüft, ob eine datenschutzrechtlich erforderliche Rechtfertigung besteht.

Über das Ergebnis wird die Geschäftsleitung informiert und eine entsprechende Empfehlung ausgesprochen.

  • In der Praxis empfiehlt es sich, den Datenschutzbeauftragten in jedes Projekt einzubeziehen, das mit der Verarbeitung personenbezogener Daten in Verbindung steht.
    Der Datenschutzbeauftragte kann dann prüfen, ob eine Vorabkontrolle erforderlich ist und diese ggf. durchführen.

Aufgabe 3: Schulung der Mitarbeiter

Der Datenschutzbeauftragte muss die an der Datenverarbeitung Beteiligten mit den Anforderungen des Datenschutzrechts vertraut machen. In anderen Worten: Er muss die Mitarbeiter schulen.

  • In der Praxis erfordert dies zunächst die Erstellung eines Schulungskonzepts, das sicherstellt, dass jeder Mitarbeiter entsprechend seiner Rolle in der Unternehmensorganisation eine angemessene Datenschutzschulung erhält.
    Dies kann bedeuten, an einem Online-Training, an einer Live-Schulung oder an speziellen Datenschutztrainings teilzunehmen.

Aufgabe 4: Erstellung eines Jedermann-Verzeichnisses

Die verantwortliche Stelle muss nach dem BDSG eine Verfahrensübersicht zur Verfügung stellen.

Daraus erstellt der Datenschutzbeauftragte das sogenannte Jedermann-Verzeichnis, das jedermann auf Anfrage durch den Datenschutzbeauftragten zur Verfügung gestellt wird.

  • In der Praxis wird bereits die Erstellung der Verarbeitungsübersichten meist dem Datenschutzbeauftragten übertragen, der diese dann erstellt und verwaltet.
    Das entspricht zwar nicht der Vorstellung des Gesetzgebers, stellt aber doch sicher, dass der Datenschutzbeauftragte sich einen Überblick der Verfahren zur Verarbeitung personenbezogener Daten macht und so eine wichtige Grundlage für seine Tätigkeit legt.

Aufgabe 5: Kontrolle der Einhaltung des Datenschutzrechts

Der Datenschutzbeauftragte kontrolliert die Einhaltung der Anforderungen des Datenschutzrechts.

  • In der Praxis bietet sich bei Aufnahme der Tätigkeit als Datenschutzbeauftragter an, ein Datenschutz-Audit durchzuführen – als eine Analyse des aktuellen Datenschutzstandards.
    Ein entsprechender Datenschutz-Audit-Bericht mit Maßnahmenvorschlägen kann dann die Grundlage von Handlungsempfehlungen an die Geschäftsleitung zur gezielten Verbesserung des Datenschutzniveaus im Unternehmen sein.

Sind Sie neugierig geworden? Einen besseren Überblick zu den Anforderungen an ein Datenschutz-Audit erhalten Sie demnächst in unserem Artikel zum Datenschutzaudit.

 

Sie wissen nun, ob und wie Sie einen Datenschutzbeauftragten bestellen müssen. Auch über die Qualifikationen und Aufgabenbereiche konnten Sie sich einen Überblick verschaffen.

Wenn Sie einen DSB benötigen, stellt sich die Frage, ob Sie diesen intern oder extern suchen. Beide Möglichkeiten haben Vor- und Nachteile.

 

Externer oder interner Datenschutzbeauftragter?

Ein Datenschutzbeauftragter kann sowohl intern aus dem Kreis der eigenen Mitarbeiter als auch extern bestellt werden.

Ein interner Datenschutzbeauftragter übernimmt die Aufgabe in der Regel zusätzlich zu seinem eigentlichen Tätigkeitsbereich.

Bei einer externen Bestellung übernimmt ein Dritter, z. B. ein auf das Datenschutzrecht spezialisierter Rechtsanwalt, diese Aufgabe als Dienstleistung.

Vorteile einer internen Berufung

  • Ein interner Datenschutzbeauftragter kennt das Unternehmen, die Mitarbeiter und die Geschäftsleitung.
  • Der interne Datenschutzbeauftragte kennt die Geschäftsabläufe, Hierarchien und Prozesse.
  • Ein interner Datenschutzbeauftragter ist im Unternehmen präsent und leicht persönlich ansprechbar.

Vorteile einer externen Berufung

  • Ein großer Vorteil eines externen Datenschutzbeauftragten ist die Erfahrung, die er aus seiner Tätigkeit für andere Unternehmen mitbringt.
  • Dritte haben eine objektive Sicht auf die Dinge.
  • Interessenkonflikte sind für den externen Datenschutzbeauftragten praktisch ausgeschlossen, da er keine weiteren Tätigkeiten im Unternehmen ausführt.
  • Ein externer Datenschutzbeauftragter hat meist ein besseres „Standing“ bei den Beteiligten. Das Sprichwort, „Der Prophet gilt nichts im eigenen Land“ erweist sich für den internen Datenschutzbeauftragten häufig als wahr.
  • In der Gesamtbetrachtung ist die externe Bestellung häufig wirtschaftlicher als die interne Bestellung, da der externe Datenschutzbeauftragte meist mehr Qualität liefert, seine Tätigkeit nicht zulasten anderer interner Aufgaben ausführt und keine internen Kosten für Fortbildung etc. beansprucht.

Sowohl interne als auch externe Bestellung eines Datenschutzbeauftragten haben ihre Vorteile. Die Geschäftsleitung ist daher aufgerufen, beide Möglichkeiten zu prüfen und eine gute Entscheidung zu treffen.

 

Mit der Bestellung eines Datenschutzbeauftragten machen Sie einen wichtigen Schritt für den Aufbau Ihrer Datenschutz-Organisation, aber nicht den letzten.

Mehr denn je befindet sich das Datenschutzrecht im Wandel. Im Mai 2018 tritt die EU-weite Datenschutzgrundverordnung (DSGVO) in Kraft. Das wird auch Auswirkungen für Ihr Unternehmen haben. Je früher Sie diese aufgreifen, desto besser!

 

Welche Neuerungen ergeben sich durch die DSGVO 2018?

Auch in der DSGVO ist die Bestellung eines Datenschutzbeauftragten in Art. 37 vorgesehen. Damit wird die Bestellung eines Datenschutzbeauftragten anders als bisher in allen EU-Mitgliedsstaaten zur Pflicht.

Die Voraussetzungen zur Bestellung sind in der DSGVO weniger streng formuliert als in der aktuellen Fassung des BDSG. So ist eine Bestellung für Unternehmen nach der DSGVO insbesondere erforderlich, wenn die Kerntätigkeit in der systematischen Überwachung natürlicher Personen oder der Verarbeitung besonderer personenbezogener Daten besteht.

Die Mitgliedsstaaten können diese Bestellkriterien aber strenger ausgestalten. Deutschland hat diesen Weg mit dem Entwurf eines neuen BDSG zur Umsetzung der DSGVO bereits beschritten. Für die Bestellpflicht bleibt daher sehr wahrscheinlich alles beim Alten.

Auch nach der DSGVO wird künftig die Bestellung eines externen Datenschutzbeauftragten möglich sein. Neu ist allerdings die Pflicht zur Meldung der Bestellung an die Datenschutzaufsichtsbehörden und die Mitteilung der Kontaktdaten des Datenschutzbeauftragten.

 

Wie sieht die Datenschutz-Organisation Ihres Unternehmens aus?

Praktisch jedes Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu bestellen, der als neutrale Instanz im Unternehmen auf die Einhaltung des Datenschutzrechts hinwirkt. Der Datenschutzbeauftragte ist damit zentrale Figur in der Datenschutz-Organisation jedes Unternehmen.

Das setzt ein hohes Maß an Fachkunde und Zuverlässigkeit voraus.

Wenn Sie noch keinen Datenschutzbeauftragten bestellt haben, sollten Sie nicht zögern, diese Aufgabe in Angriff zu nehmen.

Das Inkrafttreten der DSGVO steht vor der Tür und damit erhöhte datenschutzrechtliche Anforderungen, erhöhte Bußgelddrohungen und die Pflicht zur Meldung der Bestellung eines Datenschutzbeauftragten an die Aufsichtsbehörden.

Die Relevanz von Datenschutzgesetzen ist spürbarer denn je. Ein Grund dafür ist die Datenschutzgrundverordnung. Auch wenn diese „erst“ 2018 in Kraft tritt, lohnt es sich, schon jetzt mit den Vorbereitungen zu starten.

Erforderliche Anpassungen Ihrer Datenschutz-Organisation oder deren Neuaufbau werden Sie sonst nicht rechtzeitig umsetzen können.

Wenn Sie auf eine rechtzeitige Vorbereitung setzen wollen, könnte Sie auch mein eBook „Neuer Datenschutz: Gut vorbereitet auf die DSGVO 2018“ interessieren.