Brauchen wir jetzt einen Daten­schutz­be­auftrag­ten? Können wir das selber machen oder sollen wir jemanden beauftragen?

Diese Fragen stellen sich insbesondere für kleine und mittlere Unternehmen (KMU), wenn sie sich mit der DSGVO und deren Vorgaben beschäftigen. Auch wenn es sich hierbei um nur eine von vielen Fragestellungen im Zusammenhang mit der DSGVO handelt, ist diese doch entscheidend für den weiteren Umgang des KMU im Zusammenhang mit der Erfüllung der Vorgaben des Datenschutzes.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte unterstützt die Selbstkontrolle des Unternehmens beim Datenschutz. Hierzu unterstützt er fachlich die Unternehmensleitung bei Fragen des Datenschutzes. Die Verantwortung dafür, dass der Datenschutz eingehalten wird, bleibt aber bei der Unternehmensleitung. Sie geht nicht auf den Datenschutzbeauftragten über. Datenschutz ist und bleibt Chefsache!

Konkret obliegen ihm folgende Aufgaben:

  • Unterrichtung und Beauftragung des Verantwortlichen/der Mitarbeiter hinsichtlich ihrer datenschutzrechtlichen Pflichten
  • Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften
  • Beratung im Zusammenhang mit Datenschutzfolgeabschätzungen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde
  • Beratung betroffener Personen

Pflicht zur Benennung

Grundsätzlich gilt, jedes Unternehmen verarbeitet in irgendeiner Form personenbezogene Daten – das gilt unabhängig von der Größe des Unternehmens, also sowohl für große Konzerne als auch KMU. Es werden stets Daten von Kunden und Mitarbeitern verarbeitet. Dies allein führt jedoch noch nicht dazu, dass ein Datenschutzbeauftragter bestellt werden muss. Hier kommen weitere Faktoren hinzu: Zum einen spielt die Zahl der Mitarbeiter eine Rolle, zum anderen die Art der Daten, welche verarbeitet werden. Die insoweit maßgebenden Regelungen finden sich in Art 37 Abs. 1 DSGVO sowie § 38 BDSG. Sie ergänzen sich, führen aber dazu, dass sich die Frage nach der Notwendigkeit eines Datenschuztbeauftragten nicht einfach in einem Satz beantworten lässt. Das Bayerische Landesamt für Datenaufsicht hat hierzu folgenden hilfreichen Fragenkatalog entwickelt (Quelle: Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine“):

Natürlich besteht stets die Möglichkeit einen Datenschutzbeauftragten zu benennen, auch wenn die gesetzliche Pflicht nicht greift.

Wer kann Datenschutzbeauftragter sein?

Jede Person, die die erforderliche fachliche Eignung aufweist.

Variante 1: ein Mitarbeiter wird mit der Funktion beauftragt

Es darf nicht zu einem Interessenkonflikt kommen. Als inakzeptabel wird bspw. angesehen: EDV-Verantwortlicher wird Datenschutzbeauftragter.

Variante 2: es wird ein externe Datenschutzbeauftragter beauftragt

Vor- und Nachteile der Varianten finden Sie hier.


Autor: Yvonne Quad

Sie suchen einen externen Datenschutzbeauftragten? Sprechen Sie uns gern an.