Eine der größten Herausforderungen für Unternehmen ist die Frage: Benötige ich eine : n Datenschutzbeauftragte : n oder nicht? Für Unternehmen ab einer bestimmten Größe und Tätigkeit war ein : e Datenschutzbeauftragte : rschon vor dem Inkrafttreten der DSGVO ein Muss. Seit 2018 sind auch kleine Unternehmen dazu verpflichtet, eine : n externe : n Datenschutzbeauftragte : n zu bestellen oder einen Mitarbeitenden dazu zu benennen. Erfahren Sie hier, welche Aufgaben ein : e Datenschutzbeauftragte : r hat und wie Sie herausfinden, ob Sie eine : n Datenschutzbeauftragte : n bestellen müssen.
Aufgaben eines / einer Datenschutzbeauftragten
Der / Die Datenschutzbeauftragte ist im weitesten Sinne dafür zuständig, die Einhaltung und Umsetzung der Datenschutzrichtlinien zu gewährleisten. Dabei muss die Person nicht alle Aufgaben selbst erfüllen, sie kann sie auch an andere, dafür qualifizierte Personen abgeben. Die Gesamtverantwortung liegt jedoch in ihrer Hand.
In Art. 39, DSGVO werden die Aufgaben eines / einer Datenschutzbeauftragten klar benannt. Zu den grundlegenden Aufgaben gehören die folgenden:
- Beratung und Anleitung der Beschäftigten zum datenschutzkonformen Umgang mit Daten in Prozessen der Erfassung, Verarbeitung und Speicherung
- Kommunizieren den gesetzlichen Grundlagen zum Datenschutz
- Überwachung der Einhaltung dieser gesetzlichen Grundlagen zum Schutz personenbezogener Daten
- Zuweisung von Zuständigkeiten
- Sensibilisierung und Datenschutz-Schulungen der Mitarbeitenden, die an der Datenverarbeitung beteiligt sind
- auf Anfrage Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
- Zusammenarbeit und Anlaufstelle für die Aufsichtsbehörde
Ab wann muss ein : e Datenschutzbeauftragte : r bestellt werden?
In Art. 37, DSGVO sowie im § 38, Bundesdatenschutzgesetz (BDSG) wird erläutert, in welchen Fällen ein : e Datenschutzbeauftragte : r bestellt werden muss. Grundsätzlich gilt: Sobald personenbezogene Nutzer : innen- und Kund : innendaten verarbeitet werden, kann ein : e Datenschutzbeauftragte : r zur Pflicht werden.
1. Unternehmensgröße ab 20 Mitarbeitenden
Mit dem Inkrafttreten der DSGVO hieß es, dass Unternehmen mit mindestens zehn Mitarbeitenden, die mit der automatisierten Verarbeitung personenbezogener Daten vertraut sind, eine : n interne : n oder externe : n Datenschutzbeauftragte : n bestellen müssen. Mit einem Beschluss des Bundestages vom 27. Juni 2019 wurde hierbei eine nationale Änderung des Bundesdatenschutzgesetzes (BDSG) vorgenommen. Seither müssen erst Unternehmen ab 20 Mitarbeitenden in der Datenverarbeitung eine : n interne : n oder externe : n Datenschutzbeauftragte : n bestellen.
Grund für die Änderung war die scharfe Kritik von Verbänden und KMU mit zehn oder mehr Mitarbeitenden, die vor enorme organisatorische, formale und teilweise auch finanzielle Herausforderungen gestellt wurden: Nicht in jedem kleinen Unternehmen gibt es einen Mitarbeitenden, der die Voraussetzungen für eine Tätigkeit als interne : r Datenschutzbeauftragte : r eignet.
Mit der Bestellung eines / einer externen Datenschutzbeauftragten sind wiederum Kosten verbunden. Seit der Änderung sind also erst Unternehmen mit 20 oder mehr Beschäftigten dazu verpflichtet, eine : n interne : n oder externe : n Datenschutzbeauftragte : n zu bestellen. Unternehmen mit weniger Angestellten müssen natürlich trotzdem alle Regelungen der DSGVO einhalten.
2. Besonderheiten in der Kerntätigkeit
Ein : e interne : r oder externe : r Datenschutzbeauftragte : r ist immer dann notwendig, wenn „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, heißt es in Art. 37, DSGVO.
Was bedeutet das im Einzelnen? Zum einen muss die Datenverarbeitung das Kerngeschäft des Unternehmens und beispielsweise nicht nur Teil der Personalabrechnung sein. Das kann bei Start-ups aus der Digitalbranche der Fall sein, trifft aber auch auf Krankenhäuser zu, in denen die Daten der Patient : innen einen wichtigen Faktor darstellen. Zum anderen muss eine umfangreiche, regelmäßige und systematische Überwachung von Personen vorliegen.
3. Umfangreiche Verarbeitung besonderer Datenkategorien
Gehört es zum Kerngeschäft eines Unternehmens, personenbezogene Daten aus speziellen Kategorien, die in Art. 9 und 10, DSGVO näher benannt werden, umfangreich zu verarbeiten, ist die Bestellung eines / einer internen oder externen Datenschutzbeauftragten Pflicht.
Zu diesen Daten besonderer Kategorien gehören:
- Gesundheitsdaten
- personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
- Daten zum Sexualleben oder zur sexuellen Orientierung
- Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
- genetische und biometrische Daten
4. Verpflichtung zur Datenschutz-Folgenabschätzung
Der Art. 35, DSGVO erläutert, unter welchen Umständen ein Unternehmen eine Datenschutz-Folgeabschätzung durchführen muss. Ist die der Fall, ist das Unternehmen zumeist auch dazu verpflichtet, eine : n interne : n oder externe : n Datenschutzbeauftragte : n zu bestellen.
5. Daten als Geschäft
Werden personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung geschäftsmäßig verarbeitet, muss ein : e interne : r oder externe : r Datenschutzbeauftragte : r bestellt werden.
Ob die jeweiligen Beschreibungen auf das eigene Unternehmen zutreffen und die Bestellung eines / einer internen oder externen Datenschutzbeauftragten Pflicht ist, muss jedes Unternehmen selbstständig klären.
Welche Fähigkeiten muss ein : e Datenschutzbeauftragte : r mit sich bringen?
In einem Unternehmen kann grundsätzlich jede und jeder Beschäftige zu einem / einer internen Datenschutzbeauftragten bestellt werden. Dabei sollten die Personen die folgenden Anforderungen erfüllen:
- Fachliche Eignung: Die Person sollte ein tiefergehendes Verständnis für die Datenschutz-Thematik haben und auch die komplexen gesetzlichen Vorschriften zum Datenschutz verstehen. Im Speziellen sollte die Person auch eine umfassende Fachkunde im betrieblichen Datenschutz haben.
- Strukturelle Voraussetzung: Die Person benötigt Zugänge und Einblicke in alle notwendigen Prozesse und Bereiche eines Unternehmens. Nur so kann sie die Verantwortung für die Einhaltung des Datenschutzes in allen Unternehmensbereichen gewährleisten.
- Social Skills: Der / die Datenschutzbeauftragte muss teilweise komplexe Datenschutzbestimmungen im Unternehmern kommunizieren. Das kann in einem Gespräch mit dem Geschäftsvorstand passieren, aber auch in einer internen Datenschutz-Schulung von Mitarbeitenden verschiedener Bereiche. Dafür braucht es kommunikative Fähigkeiten, Empathie und Durchsetzungskraft.
Wann eine : n externe : n Datenschutzbeauftragte : n bestellen?
Nicht immer findet sich in einem Unternehmen eine Person, die die oben genannten Voraussetzungen erfüllt und willens ist, die Verantwortung für den betrieblichen Datenschutz zu übernehmen. Dann ist es möglich, eine : n externe : n Datenschutzbeauftragte : n zu bestellen.
Ein großer Vorteil hierbei ist, dass Unternehmen mit der Bestellung eines / einer externen Datenschutzbeauftragten alle Aufgaben und Verpflichtungen in eine Hand geben. Externe Anbieter : innen sind immer auf dem neusten rechtlichen Stand und können gezielt agieren.