Datenschutzbeauftragter – Wissenswertes zum Datenschutzbeauftragten

Der Datenschutz ist ein Grundrecht, das sowohl im Grundgesetz als auch in der Europäischen Grundrechtscharta fest verankert ist. Die einzelnen Bestimmungen ergeben sich aus dem Zusammenwirken der DSGVO (Datenschutz-Grundverordnung) und des Bundesdatenschutzgesetzes. Unter Datenschutz wird primär der Schutz persönlicher Daten vor missbräuchlicher Verwendung und Verarbeitung verstanden. Inkludiert sind hier der Schutz des Persönlichkeitsrechts und der Privatsphäre sowie das Recht auf informelle Selbstbestimmung. Zum Schutz dieser Rechte werden vor allem in Unternehmen, in denen in irgendeiner Form Daten verarbeitet werden, Datenschutzbeauftragte bestellt oder benannt. Die Bestellung ist unter bestimmten Voraussetzungen verpflichtend.

Was ist ein Datenschutzbeauftragter? 

Ein Datenschutzbeauftragter bekleidet in einem Unternehmen eine unverzichtbare und verantwortliche Position. Er fungiert als Schnittstelle zwischen dem Betrieb, den Mitarbeitern und Verantwortlichen sowie den Behörden. Der Datenschützer verfügt zwingend über die erforderlichen datenschutzrelevanten Kenntnisse, um die Einhaltung der Vorgaben aufgrund der Gesetze und Verordnungen sicherzustellen, zu überprüfen und zu kommunizieren. In einem Unternehmen kann sowohl ein interner oder externer Datenschützer bestellt werden.

Welche Aufgaben übernimmt ein Datenschutzbeauftragter in einem Unternehmen?

Die Aufgaben eines Datenschutzbeauftragten sind in den Artikeln 38 und 39 der DSGVO geregelt. Nach der Neufassung der Datenschutzbestimmungen aus dem Jahr 2018 obliegen einem Datenschützer in einem Unternehmen die Erfüllung folgender Aufgabenbereiche:

  • Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten, die Datenverarbeitungen durchführen
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO, des BDSG sowie anderer Vorschriften der EU
  • Schulung, Sensibilisierung und Unterweisung der Mitarbeiter im Datenschutz und der entsprechenden Überprüfung
  • Beratung zur Datenschutz-Folgeabschätzungen einschließlich der Überwachung der Durchführung (Kontroll- und Beratungsfunktion)
  • Ansprechpartner für Behörden – Kommunizieren von datenschutzrechtlichen Angelegenheiten
  • Anlaufstelle für Betroffene – Informationen, Austausch und Fragen zur Verarbeitung aller personenbezogener Daten

Ab wann ist ein Datenschutzbeauftragter in einem Unternehmen einzusetzen?

In welchen Fällen die Bestellung eines Datenschutzbeauftragten zu erfolgen hat, ist im Artikel 37 der europäischen DSGVO festgelegt. Das Bundesdatenschutzgesetz präzisiert darüber hinaus im Paragraphen 38 für den Geltungsbereich der Bundesrepublik Deutschlandexplizit den Einsatz der Datenschützer.

Gemäß DSGVO ist die Bestellung in einem Unternehmen nur dann verpflichtend, wenn dessen Kerntätigkeit in der Datenverarbeitung liegt, die eine „umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erforderlich macht“. Des Weiteren regelt die Verordnung verpflichtend, dass die Ernennung eines betrieblichen Datenschutzbeauftragten auch dann zu erfolgen hat, sobald besondere personenbezogen Daten werden oder Erkenntnisse über strafrechtliche Verurteilungen und Straftaten vorliegen.

Durch die Präzisierung des nationalen Rechts muss ein Datenschutzbeauftragter ab zehn Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten befasst sind, benannt werden.

Welche Anforderungen muss ein Datenschutzbeauftragter erfüllen?

Die erforderliche Qualifikation ergibt sich allein aus Artikel 37 (5) DSGVO, wobei die Nennung abweichender Gründe hinsichtlich der Anforderung nicht zulässig ist. Eigenständige, nationale Vorgaben finden keinerlei Berücksichtigung. So bestehen drei wesentliche Hauptkriterien, die einen Datenschützer zur Wahrnehmung seiner Aufgaben befähigen:

  • Spezifische berufliche Qualifikation
  • Fachwissens im Bereich des Datenschutzrechts
  • Fachwissen in der Datenschutzpraxis
  • Fähigkeit, diese Aufgabe zu erfüllen

Der Gesetzgeber hält die Formulierung der Anforderungen bewusst abstrakt, da die Voraussetzungen und Gegebenheiten in Unternehmen, Branchen und Behörden stark voneinander abweichen. Dennoch haben Erfahrungen gezeigt, dass sich Vorgaben zumeist exzellent anwenden lassen. 

Was ist der Unterschied zwischen einem betrieblichen und einem externen Datenschutzbeauftragten?

Vorbezeichnete Anforderungen zeigen, dass nur eine natürliche Person zum Datenschutzbeauftragten bestellt werden kann. Unternehmen haben die Wahl, einen betrieblichen oder einen externen Datenschutzbeauftragten zu ernennen. Der betriebliche kann ein Mitarbeiter des Unternehmens sein, er wird also intern bestellt. Neben seinen Kernaufgaben ist sicherzustellen, dass er seine Pflicht in völlige Unabhängigkeit ausüben kann und nicht in einen Interessenkonflikt mit dem Betrieb gerät. Der größte Vorteil liegt darin, dass die Gepflogenheiten und Umstände in seinem Unternehmen bekannt sind.

Externe Datenschützer werden von den Betrieben über einen externen Dienstleister mit der Wahrnehmung der datenschutzrechtlichen Aufgaben beauftragt. Dieser verfügt zumeist über die besseren Qualifikationen und Erfahrungen, blickt neutral und objektiv auf das Unternehmen und kann sich somit unbefangen in den Datenschutz einbringen. Im Gegensatz zu einem internen Datenschutzbeauftragten genießt er allerdings keinen besonderen Kündigungsschutz.

Was ist ein Datenschutzberater?

Sobald ein Unternehmen erstmalig einen Datenschutzbeauftragten benannt hat, ist eine sorgsame Datenschutzberatung ratsam. Viele Betriebe betreten hier ein völlig unbekanntes Terrain. Ein Datenschutzberater unterstützt bei datenrechtlichen Problemstellungen im Rahmen von Schulungen oder internen Beratungsgesprächen. Auch in weiteren Bereichen stehen die Experten mit Rat und Tat zur Seite wie beispielhaft:

  • Erstellung von Datenfolgeabschätzungen
  • Vereinbarungen über gemeinsame Verantwortlichkeiten
  • Bearbeitung von Betroffenenrechten
  • Prüfung oder Erstellung Auftragsverabeitungsvereinbarungen

 

 

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert