Datenschutzbeauftragter bestellen

Wichtiges in Kürze: Die Bestellung eines Datenschutzbeauftragten
Die Bestellung eines Datenschutzbeauftragten ist wie eine Ernennung zu verstehen. Ein Datenschutzbeauftragter muss nach den Vorgaben der Datenschutz-Grundverordnung und den Vorgaben des Bundesdatenschutzgesetzes bestellt werden. Die formalen und inhaltlichen Aspekte bei der Bestellung eines Datenschutzbeauftragter müssen eingehalten werden.
Ob die Pflicht zur Bestellung eines Datenschutzbeauftragten vorliegt, wird durch die Anzahl der Mitarbeiter, der Art der Daten einer Verarbeitung sowie der Tätigkeit des Unternehmens bestimmt. Der bestellte Datenschutzbeauftragte muss zwingend die notwendige Qualifikation, sowie den Nachweis der fortlaufenden Schulung erbringen. Nach der Bestellung eines Datenschutzbeauftragten sollte dieser bei der zuständigen Aufsichtsbehörde gemeldet werden.

 

Was bedeutet die Bestellung eines Datenschutzbeauftragten?

Eine Bestellung des Datenschutzbeauftragten erfolgt nicht telefonisch oder per Online-Formular, wie viele andere Bestellungen in unserer Gesellschaft. Viele Unternehmen können den Begriff Bestellung eines Datenschutzbeauftragten zunächst nicht zuordnen und stellen deshalb Vermutungen an. Dabei ist die Bestellung im Datenschutz ganz einfach: Die Bestellung kann mit einer Ernennung verglichen werden. Mit der Bestellung geht einher, dass der Datenschutzbeauftragte seine Funktion öffentlich ausübt und dadurch zum Träger von Rechten und Pflichten im Unternehmen wird.
Nur wenn der Datenschutzbeauftragte nach den Vorgaben der Datenschutz-Grundverordnung bestellt wird, ist das Unternehmen hinsichtlich der Bestellung ausreichend abgesichert. Zur Einhaltung der Formalitäten wird eine von der Geschäftsleitung unterzeichnete Bestellungsurkunde aufgesetzt. Aus der Bestellurkunde muss genau hervorgehen, welche Person die Tätigkeit des betrieblichen Datenschutzbeauftragten übernimmt und somit in Zukunft den betrieblichen Datenschutz verantwortet.

 

Welche Aufgaben hat ein Datenschutzbeauftragter nach seiner Bestellung?

Der Datenschutzbeauftragte hat eine interne oder externe Funktion, um die Einhaltung der datenschutzrechtlichen Vorgaben eines oder mehrerer Unternehmen sicherzustellen. Im Unternehmen gilt der Datenschutzbeauftragte als Dreh- und Angelpunkt für das Thema Datenschutz. Ein wichtiges Merkmal des Datenschutzbeauftragten ist, dass dieser weisungsfrei im Sinne des Datenschutzes agiert und andere Interessen nicht überwiegen dürfen. Oftmals kann ein Interessenskonflikt nicht vermieden werden, daher bestellen Unternehmen den Datenschutzbeauftragten extern in Form eines Dienstleistungsvertrags.
Die Aufgaben eines Datenschutzbeauftragten sind gesetzlich normiert. Oftmals wird jedoch beim externen Datenschutzbeauftragten ein größeres Aufgaben-Spektrum übernommen, um das Unternehmen bestmöglich zu entlasten. In jedem Fall muss der Datenschutzbeauftragte seine Aufgaben weisungsfrei erfüllen können. Die Aufgaben eines Datenschutzbeauftragten ergehen aus dem Artikel 39 DSGVO, welche zunächst die Einhaltung relevanter Datenschutz-Vorschriften gewährleisten sollen, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten. Vor dem Hintergrund der Einhaltung der Datenschutz-Grundverordnung sind folgende Aufgaben wesentlicher Bestandsteil der Arbeit eines Datenschutzbeauftragten:

In Summe bedeutet es allerdings nicht, dass der Datenschutzbeauftragte für die Einhaltung des Datenschutzes haftet oder verantwortlich ist. Der Datenschutzbeauftragte ist berechtigt Aufgaben zu delegieren und zu überwachen. Das ist auch zwingend notwendig für ein reibungsloses Datenschutz-Management.

 

Ab wann braucht man einen Datenschutzbeauftragten?

Einige Unternehmen sind sich seit Inkrafttreten der Datenschutz-Grundverordnung unsicher, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Grundsätzlich empfiehlt es sich immer einen Datenschutzbeauftragten die Datenschutzorganisation prüfen zu lassen, um einen qualitativen Überblick über die potenziellen Risiken zu erhalten. Denn auch Unternehmen, welche nicht unter die Pflicht zur Bestellung eines Datenschutzbeauftragten fallen, müssen den Datenschutz im gleichen Maße, wie andere Unternehmen erfüllen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht in jedem Fall kurz gesagt gemäß Art. 37 Abs. 1 DSGVO wenn:

  • Eine öffentliche Stelle die Verarbeitung durchführt
  • Die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erfordern
  • Die Kerntätigkeit in der Verarbeitung besonderer Daten nach Art. 9 (besondere personenbezogene Daten) oder Art. 10 (personenbezogene Daten über Straftaten) DSGVO besteht
  • § 38 Abs. 1 BDSG gibt ergänzend vor, dass auch ein Datenschutzbeauftragter zu bestellen ist, wenn mindestens 20 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Anzahl der Mitarbeiter

Sollten mehr als mindestens 20 Mitarbeiter (BDSG neu) regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) beschäftigt sein, besteht die Pflicht zur Bestellung. Die automatisierte Datenverarbeitung ist zum Beispiel schon der Fall, wenn Mitarbeiter über E-Mail kommunizieren.

Art der Daten

Sollten besonders personenbezogene Daten gemäß Artikel 9 und Artikel 10 DSGVO verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.

Tätigkeit des Unternehmens

Die Kerntätigkeit des Unternehmens liegt in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. In der Regel können Sie diese Verarbeitungsvorgänge daran erkennen, dass Sie hierfür eine Datenschutz-Folgenabschätzung erstellen müssen (z.B. die Videoüberwachung).
Ob eine Bestellung eines Datenschutzbeauftragen notwendig ist, kann ausschließlich bei individueller Betrachtung des Unternehmens entschieden werden. Hierzu beraten wir Sie gerne kostenfrei.

 

Wer kann zum Datenschutzbeauftragten bestellt werden?

Damit eine Person als Datenschutzbeauftragter bestellt werden kann, müssen gewisse Voraussetzungen erfüllt werden, sodass die Bestellung des Datenschutzbeauftragten auch wirksam ist. Grundsätzlich kann ein Datenschutzbeauftragter mittels interner Mitarbeiter oder externer Mitarbeiter (im Rahmen eines Dienstleistungsvertrages) bestellt werden. Wichtig zu beachten ist dabei, dass eine berufliche sowie fachliche Qualifikation vorliegen muss, sodass die ordnungsgemäße Wahrnehmung der normierten Aufgaben aus dem Art. 39 DSGVO gewährleistet wird.
Oftmals entstehen bei einer Bestellung des Datenschutzbeauftragten mittels interner Ressourcen Interessenkonflikte, da Mitarbeiter mit Leitungsfunktionen oder solchen Funktionen, welche als gegensätzlich zum Datenschutz verstanden werden, die Rolle als Datenschutzbeauftragter ausüben sollen. Sollte ein Interessenkonflikt vorliegen, so ist die Bestellung des Datenschutzbeauftragten unwirksam.

Wer darf nicht zum Datenschutzbeauftragten bestellt werden?

Unternehmen müssen sicherstellen, dass die Bestellung eines Datenschutzbeauftragten auch wirksam ist. Daher ist es unabdingbar zu beachten, dass nicht jede Person zum Datenschutzbeauftragten im Unternehmen benannt werden darf. Grundsätzlich dürfen nur Personen die Rolle des Datenschutzbeauftragten ausüben, welche in keinen Interessenskonflikt geraten können. Stehen die betrieblichen Interessen des Unternehmens im Vordergrund des Mitarbeiters, ist die Bestellung nicht wirksam. In der Regel ist das der Fall, wenn Führungspositionen, Abteilungsleiter oder Betriebsratsmitglieder die Rolle des Datenschutzbeauftragten übernehmen. Da das Potenzial einer unwirksamen Bestellung groß ist, bestellen viele Unternehmen ihren Datenschutzbeauftragten extern.

 

Was passiert wenn ich keinen Datenschutzbeauftragten bestelle?

Wenn Unternehmen, welche gesetzlich verpflichtet sind einen Datenschutzbeauftragten zu bestellen, es unterlassen einen Datenschutzbeauftragten zu bestellen oder eine unwirksame Bestellung durchführen, kann es zu sehr hohen Bußgeldern kommen. Die Aufsichtsbehörden dürfen Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen. Darüber hinaus sollten Unternehmen bereits erkannt haben, dass ein Datenschutzbeauftragter ein Qualitätsmerkmal ist und somit als Wettbewerbsvorteil angesehen werden kann. Andererseits riskieren Unternehmen gleichzeitig einen Reputationsverlust gegenüber Kunden.

 

Fazit zur Bestellung eines Datenschutzbeauftragten

Die Frage, ab wann ein Datenschutzbeauftragter zu bestellen ist, lässt sich abschließend wie folgt beantworten: Ein Datenschutzbeauftragter muss bestellt werden (ausgenommen von öffentlichen Stellen), wenn über 20 Mitarbeiter personenbezogene Daten im Unternehmen verarbeiten oder besondere personenbezogene Daten verarbeitet werden (Gesundheitsdaten etc.) gem. Art. 9 und 10 DSGVO oder die Kerntätigkeit dies aufgrund ihrer Art, ihres  Umfangs und/oder ihrer Zwecke erfordert. Da dies Auslegungssache ist, empfiehlt sich eine Beratung, sobald ihr Unternehmen Daten in einem größeren Rahmen verarbeitet. Außerdem ist darauf zu achten, dass die Bestellung nicht zu einem internen Interessenkonflikt führt und der Datenschutzbeauftragte unter Berücksichtigung seiner fachlichen und beruflichen Qualifikation bestellt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN