Wann muss ein Datenschutzbeauftragter benannt werden?

Ab Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO), diese vereinheitlicht den Datenschutz europaweit. So wird es auch eine europaweit geltende Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) geben. Was wird sich für Deutschland ändern?

Anforderungen aus dem aktuellen Bundesdatenschutzgesetz (BDSG)

Nach dem derzeit noch geltenden Bundesdatenschutzgesetz (BDSG) besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn

  • mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten in Berührung kommen. Dabei ist nicht relevant, ob es sich um eigene Angestellte handelt oder nicht. (§4f Abs. 1 BDSG)
  • wenn die verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornimmt, die eine Vorabkontrolle verlangen. (§4f Abs. 1 BDSG, §3 Abs. 9 BDSG)
  • wenn die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt. Dies gilt unabhängig von der Anzahl der Beschäftigten. (§4f Abs. 1 BDSG)
  • wenn die verantwortliche Stelle mindestens zwanzig Personen regelmäßig mit nichtautomatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigt (§4f Abs. 5 BDSG)

Eine „automatisierte Verarbeitung“ liegt beispielsweise vor, wenn personenbezogene Daten unter Einsatz von IT-Systemen erhoben, verarbeitet oder genutzt werden. Dies kann bereits für eine einfache Textverarbeitung vorliegen oder bei der Pflege von Kundendaten in einer Warenwirtschafts- oder Fakturalösung.

Die Bestellung des Datenschutzbeauftragten muss zwingend schriftlich durch die Unternehmensleitung erfolgen. Des Weiteren müssen die Mitarbeiter der Organisation der Datenschutzbeauftragte bekanntgemacht werden. Es besteht jedoch keine Pflicht der Aufsichtsbehörde die Bestellung mitzuteilen. Falls diese jedoch nach dem Datenschutzbeauftragten fragt, besteht eine Meldepflicht.

Sachverhalt mit DSGVO und neuem Bundesdatenschutzgesetz

In der DSGVO reduziert sich die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Es ist bspw. keine Mindestzahl an Beschäftigten vorgegeben. Doch für die DSGVO gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen. Hier kommt das ABDSG (Allgemeine Bundesdatenschutzgesetz) ins Spiel, das Nachfolgegesetz zum heutigen Bundesdatenschutzgesetz (BDSG).

Die Bestellpflicht für einen Datenschutzbeauftragten besteht für nicht öffentliche Unternehmen demnach unverändert fort gem. § 38 BDSGneu:

  • in der Regel sind mindestens 10 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Daten verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen oder
  • personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet

Nach der DSGVO muss die verantwortliche Stelle die Kontaktdaten des Datenschutz-beauftragten veröffentlichen und der zuständigen Aufsichtsbehörde melden. Das ermöglicht eine einfache und schnelle Kommunikation. Geschieht dies nicht, drohen Bußgelder. Diese können gem. § 83 Abs. 4 bis zu einer Höhe von 10 Millionen Euro oder 2% des weltweiten Umsatzes verhängt werden.

Doch wie ist der Datenschutzbeauftragte auszuwählen? Im Grunde hat jedes Unternehmen das Recht zu wählen, ob die Position intern oder extern besetzt werden soll. Im Unternehmen sollte man die Vor- und Nachteile eines internen oder externen abwägen. In Artikel 39 der Datenschutzgrundverordnung sind die Aufgaben des Datenschutzbeauftragten klar aufgelistet. Hierzu zählen:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategie des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 „Datenschutz-Folgeabschätzung“
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 „Vorherige Konsultation“, und ggf. Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Die oben genannten Aufgaben plus eine berufliche Qualifikation sowie das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben müssen bei der Benennung beachtet und umgesetzt werden. Eine stetige Weiterbildung sowohl im IT-Bereich, als auch im juristischen Bereich sind von Nöten. Demnach dürfte dann jedermann, der qualifiziert ist im Datenschutzbereich, aktiv werden.

Unternehmen, die einen internen Datenschutzbeauftragten benennen wollen, müssen drauf achten, dass keine Interessenskonflikte entstehen. Doch was heißt das? Das heißt, dass wenn der Datenschutzbeauftragte einer weiteren Tätigkeit nachgeht (was bei einem internen Datenschutzbeauftragten in der Regel der Fall ist), darf er sich nicht selbst kontrollieren. Demnach darf kein Mitarbeiter aus der IT-Abteilung, der Personalabteilung oder gar aus der Geschäftsführung benannt werden.

Neu ist ferner, dass nach BDSG-Neu öffentliche Stellen nach §5 Abs. 4 einen externen Datenschutzbeauftragten benennen können. Die öffentliche Stelle muss die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlichen und diese auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mitteilen. Nach dem alten BDSG durften externe Datenschutzbeauftragte nicht für eine öffentliche Stelle benannt werden.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.