Brauchen wir jetzt einen Daten­schutz­be­auftrag­ten? Können wir das selber machen oder sollen wir jemanden beauftragen?

Diese Fragen stellen sich insbesondere für kleine und mittlere Unternehmen (KMU), wenn sie sich mit der DSGVO und deren Vorgaben beschäftigen. Auch wenn es sich hierbei um nur eine von vielen Fragestellungen im Zusammenhang mit der DSGVO handelt, ist diese doch entscheidend für den weiteren Umgang des KMU im Zusammenhang mit der Erfüllung der Vorgaben des Datenschutzes.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte unterstützt die Selbstkontrolle des Unternehmens beim Datenschutz. Hierzu unterstützt er fachlich die Unternehmensleitung bei Fragen des Datenschutzes. Die Verantwortung dafür, dass der Datenschutz eingehalten wird, bleibt aber bei der Unternehmensleitung. Sie geht nicht auf den Datenschutzbeauftragten über. Datenschutz ist und bleibt Chefsache!

Konkret obliegen ihm folgende Aufgaben:

  • Unterrichtung und Beauftragung des Verantwortlichen/der Mitarbeiter hinsichtlich ihrer datenschutzrechtlichen Pflichten
  • Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften
  • Beratung im Zusammenhang mit Datenschutzfolgeabschätzungen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde
  • Beratung betroffener Personen

Pflicht zur Benennung

Grundsätzlich gilt, jedes Unternehmen verarbeitet in irgendeiner Form personenbezogene Daten – das gilt unabhängig von der Größe des Unternehmens, also sowohl für große Konzerne als auch KMU. Es werden stets Daten von Kunden und Mitarbeitern verarbeitet. Dies allein führt jedoch noch nicht dazu, dass ein Datenschutzbeauftragter bestellt werden muss. Hier kommen weitere Faktoren hinzu: Zum einen spielt die Zahl der Mitarbeiter eine Rolle, zum anderen die Art der Daten, welche verarbeitet werden. Die insoweit maßgebenden Regelungen finden sich in Art 37 Abs. 1 DSGVO sowie § 38 BDSG. Sie ergänzen sich, führen aber dazu, dass sich die Frage nach der Notwendigkeit eines Datenschuztbeauftragten nicht einfach in einem Satz beantworten lässt. Das Bayerische Landesamt für Datenaufsicht hat hierzu folgenden hilfreichen Fragenkatalog entwickelt (Quelle: Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine“):

Frage 1

Sind in Ihrem Unternehmen mindestens 10 Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?

Eine automatisierte Bearbeitung liegt immer vor, wenn Daten über einen PC, Notebook, Tablet, Smartphone verarbeitet/genutzt werden. Es kommt nicht darauf an, dass die Person für ihre Tätigkeit bezahlt wird.

Maßgeblich ist die Anzahl der Köpfe, nicht die Zahl der Arbeitsstellen.

JA: dann benötigen Sie einen Datenschutzbeauftragten

NEIN => befassen Sie sich mit den nachfolgenden Fragen

Frage 2

Verarbeiten Sie in Ihrem Unternehmen Daten folgender Art

  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung
  • Daten zur rassischen oder ethnischen Herkunft
  • Daten zur politischen Meinung
  • Daten zur religiösen oder weltanschaulichen Überzeugung
  • Daten zur Gewerkschaftszugehörigkeit
  • Daten über strafrechtliche Verurteilungen oder Strafdaten

JA: dann bitte Frage 3 beantworten

NEIN: dann bitte Frage 4 beantworten

Frage 3

Ist die Verarbeitung dieser Daten eine Kerntätigkeit Ihres Unternehmens?

Die Kerntätigkeit ist dann betroffen, wenn der Zweck des Unternehmens sonst nicht erreicht werden könnte

JA: Ihr Unternehmen benötigt einen Datenschutzbeauftragten und dies unabhängig von der Anzahl der Beschäftigten!!

NEIN: es besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten

Frage 4

Gehört es zur Kerntätigkeit Ihres Unternehmens, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen?

Typischerweise betroffene Unternehmen: Auskunfteien, Wirtschaftsinformationsdienste, Inkassobüros, Detektive. Auch Personalberatungen, die Unternehmen bei der Durchführung von regelmäßigen Kontrollen der Beschäftigten unterstützen

JA: Ihr Unternehmen benötigt einen Datenschutzbeauftragten und dies unabhängig von der Anzahl der Beschäftigten!!

NEIN: es besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten

Natürlich besteht stets die Möglichkeit einen Datenschutzbeauftragten zu benennen, auch wenn die gesetzliche Pflicht nicht greift.

Wer kann Datenschutzbeauftragter sein?

Jede Person, die die erforderliche fachliche Eignung aufweist.

Variante 1: ein Mitarbeiter wird mit der Funktion beauftragt

Es darf nicht zu einem Interessenkonflikt kommen. Als inakzeptabel wird bspw. angesehen: EDV-Verantwortlicher wird Datenschutzbeauftragter.

Variante 2: es wird ein externe Datenschutzbeauftragter beauftragt

Vor- und Nachteile der Varianten finden Sie hier.

Autor: Yvonne Quad

Sie suchen einen externen Datenschutzbeauftragten? Sprechen Sie uns gern an.