Personen im Datenschutz - Der Datenschutzbeauftragte

Der Datenschutzbeauftragte stellt neben dem Verantwortlichen einen wichtigen Akteur im Datenschutz dar.

Die Gesetzgeber regelt im Artikel 37 Abs. 1 DSGVO, dass ein Datenschutzbeauftragter zu benennen ist, wenn:

1. die Verarbeitung von einer öffentlichen Stelle oder Behörde durchgeführt wird, mit Ausnahme von Gerichten, sofern sie im Rahmen ihrer justiziellen Aufgaben handeln;
   
   
2. die Haupttätigkeit des Auftragsverarbeiters / Verantwortlichen in der Durchführung von Verabeitungsvorgängen besteht, welche auf Grund ihres Umfangs, Zwecks oder auf Grund ihrer Art eine umfangreiche, systematische und regelmäßige Überwachung von betroffenen Personen notwendig machen, oder
   
   
3. die Haupttätigkeit des Auftragsverarbeiters / Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über Straftaten und strafrechtliche Verurteilungen gem. Art. 10 DSGVO besteht.
   
   
4. § 38 BDSG sieht ergänzend zu Art. 37 DSGVO vor, dass der Auftragsverarbeiter und der Verantwortliche einen Datenschutzbeauftragten zu benennen haben, soweit sie in der Regel mindestens 10 Personen ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigen.
   
   Update: Durch das 2. Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) wurde die Schwelle auf 20 Personen angehoben.

 

Folgende Aufgaben nimmt der Datenschutzbeauftragte nach Art. 39 DSGVO wahr:

1. Unterrichtung und Beratung des Auftragsverarbeiters / Veranwortlichen und der Beschäftigten, die mit der Verarbeitung personenbezogener Daten betraut werden, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach den weiteren Datenschutzvorschriften der EU bzw. der Mitgliedstaaten.
   
   
2. Er überwacht die Einhaltung der DSGVO und anderer Datenschutzvorschriften der EU bzw. der Mitgliedstaaten sowie die Strategien des Auftragsverarbeiters / Verantwortlichen zum Schutz personenbezogener Daten inklusive der Zuweisung von Zuständigkeiten, Schulungen und Sensibilisierung der beteiligten Mitarbeiter und der diesbezüglichen Überpfrüfungen.
   
   
3. Auf Anfrage berät der Datenschutzbeauftragte bei Fragen im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gem. Art. 35 DSGVO.
   
   
4. Er kommuniziert mit der Aufsichtsbehörde.
   
   
5. Er ist grundsätzlich die Anlaufstelle für die Aufsichtsbehörde, sollten Fragen im Zusammenhang mit der Datenverarbeitung aufkommen.
   
   

Ein Datenschutzbeauftragter kann (unternehmensintern) aus dem Kreis der Mitarbeiter benannt oder in Form eines externen Datenschutzbeauftragten bestellt werden.

 

Ein interner Datenschutzbeauftragter muss ensprechend qualifiziert sein. Er genießt außerdem besonderen Kündigungsschutz und muss frei von Interessenkollisionen sein. Die Geschäftsleitung oder der IT-Verantwortliche können somit keine internen Datenschutzbeauftragten sein.

 

Es kann aber auch ein externer Datenschutzbeauftragter bestellt werden. Hierfür bieten sich Rechtsanwaltskanzleien, IT-Sicherheitsfirmen und andere, fachlich qualifizierte Unternehmen an.

 

Datenschutzbeauftragter. Extern? Oder intern? - Ein Exkurs

Wer nach Art. 37 DSGVO in Verbindung mit § 38 BDSG einen Datenschutzbeauftragten bestellen muss, hat darauf zu achten, dass der Datenschutzbeauftragte die notwendige Fachkunde besitzt, zuverlässig ist und die Beratung zum Datenschutz im Unternehmen tatsächlich sicherstellen kann.

Ein Datenschutzbeauftragter ist vorrangig als Berater der Geschäftsleitung und der Mitarbeiter anzusehen und muss sich ständig auf den aktuellen Stand zum Datenschutz halten. Das gilt in Bezug auf rechtliche sowie auf technische Maßnahmen zum Datenschutz.

 

Zusammengefasst: Ein Datenschutzbeauftragter muss regelmäßig Fort- und Weiterbildungen absolvieren.

 

Bei der Bestellung eines internen Datenschutzbeauftragten sollte auch immer die Gefahr einer Überlastung mit berücksichtigt werden. Des Weiteren fallen Kosten für die Fort- und Weiterbildungsmaßnahmen an, die bei der Entscheidung für einen internen Datenschutzbeauftragten berücksichtigt werden sollten. Ein interner Datenschutzbeauftragter muss zudem zusätzlich von der Arbeit freigestellt werden, um seine Aufgaben wahrnehmen zu können.

 

Aspekte, die bei einem externen Datenschutzbeauftragten enfallen. Dieser ist selbst für seine Qualifizierung verantwortlich. Auch die innerbetrieblichen Interessenkollisionen zwischen dem Datenschutzbeauftragten und betroffenen innerbetrieblichen Abteilungen entfallen. Ein weiterer Vorteil ist, dass ein externer Datenschutzbeauftragter auf Grundlage eines Dienstleistungsvertrages für Sie tätig wird. Der besondere Kündigungsschutz sowie die gesetzlichen Kündiungsfristen, die auf ein Arbeitsverhältnis Anwendung finden, entfallen beim externen Datenschutzbeauftragten gänzlich.

 

Als Rechtsanwältin und externe Datenschutzbeauftragte biete ich Beratung und Unterstützung beim Aufbau eines Sicherheitskonzeptes für den Datenschutz an. Ich unterstütze Unternehmen bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) nach Art. 30 DSGVO und ich schule die Mitarbeiter bezüglich der Umsetzung des Datenschutzes.