Eine der größten Herausforderungen für Unternehmen ist die Frage: Benötige ich einen Datenschutzbeauftragten oder nicht? Für Unternehmen ab einer bestimmten Größe und Tätigkeit war der Datenschutzbeauftragte schon vor dem Inkrafttreten der DSGVO ein Muss. Seit 2018 sind auch kleine Unternehmen dazu verpflichtet einen externen Datenschutzbeauftragten zu bestellen oder einen Mitarbeitenden dazu zu benennen. Erfahren Sie hier, welche Aufgaben der Datenschutzbeauftragte hat und wie Sie herausfinden, ob Sie einen Datenschutzbeauftragten bestellen müssen.

 

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist im weitesten Sinne dafür zuständig, die Einhaltung und Umsetzung der Datenschutzrichtlinien zu gewährleisten. Dabei muss die Person nicht alle Aufgaben selbst erfüllen, er kann sie auch an andere, dafür qualifizierte Personen abgeben. Die Gesamtverantwortung liegt jedoch in seiner Hand.

In Art. 39, DSGVO werden die Aufgaben des Datenschutzbeauftragten klar benannt. Zu den grundlegenden Aufgaben gehören die folgenden:

  • Beratung und Anleitung der Beschäftigten zum datenschutzkonformen Umgang mit Daten in Prozessen der Erfassung, Verarbeitung und Speicherung
  • Kommunizieren den gesetzlichen Grundlagen zum Datenschutz
  • Überwachung der Einhaltung dieser gesetzlichen Grundlagen zum Schutz personenbezogener Daten
  • Zuweisung von Zuständigkeiten
  • Sensibilisierung und Datenschutz-Schulungen der Mitarbeitenden, die an der Datenverarbeitung beteiligt sind
  • auf Anfrage Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
  • Zusammenarbeit und Anlaufstelle für die Aufsichtsbehörde

 

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

In Art. 37, DSGVO sowie im § 38, Bundesdatenschutzgesetz (BDSG) wird erläutert, in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss. Grundsätzlich gilt: Sobald personenbezogene Nutzer-und Kundendaten verarbeitet werden, kann der Datenschutzbeauftragte zur Pflicht werden.

1. Unternehmensgröße ab 20 Mitarbeitenden

Mit dem Inkrafttreten der DSGVO hieß es, dass Unternehmen mit mindestens zehn Mitarbeitenden, die mit der automatisierten Verarbeitung personenbezogener Daten vertraut sind, einen internen oder externen Datenschutzbeauftragten bestellen müssen. Mit einem Beschluss des Bundestages vom 27. Juni 2019 wurde hierbei eine nationale Änderung des Bundesdatenschutzgesetzes (BDSG) vorgenommen. Seither müssen erst Unternehmen ab 20 Mitarbeitenden in der Datenverarbeitung einen internen oder externen Datenschutzbeauftragten bestellen.

Grund für die Änderung war die scharfe Kritik von Verbänden und KMU mit zehn oder mehr Mitarbeitenden, die vor enorme organisatorische, formale und teilweise auch finanzielle Herausforderungen gestellt wurden: Nicht in jedem kleinen Unternehmen gibt es einen Mitarbeitenden, der die Voraussetzungen für eine Tätigkeit als interner Datenschutzbeauftragter eignet.

Mit der Bestellung eines externen Datenschutzbeauftragten sind wiederum Kosten verbunden. Seit der Änderung sind also erst Unternehmen mit 20 oder mehr Beschäftigten dazu verpflichtet, einen internen oder externen Datenschutzbeauftragten zu bestellen. Unternehmen mit weniger Angestellten müssen natürlich trotzdem alle Regelungen der DSGVO einhalten.

2. Besonderheiten in der Kerntätigkeit

Ein interner oder externer Datenschutzbeauftragter ist immer dann notwendig, wenn „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, heißt es in Art. 37, DSGVO.

Was bedeutet das im Einzelnen? Zum einen muss die Datenverarbeitung das Kerngeschäft des Unternehmens und beispielsweise nicht nur Teil der Personalabrechnung sein. Das kann bei Start-Ups aus der Digitalbranche der Fall sein, trifft aber auch auf Krankenhäuser zu, in denen die Daten der Patientinnen und Patienten einen wichtigen Faktor darstellen. Zum anderen muss eine umfangreiche, regelmäßige und systematische Überwachung von Personen vorliegen.

3. Umfangreiche Verarbeitung besonderer Datenkategorien

Gehört es zum Kerngeschäft eines Unternehmens, personenbezogene Daten aus speziellen Kategorien, die in Art. 9 und 10, DSGVO näher benannt werden, umfangreich zu verarbeiten, ist die Bestellung eines internen oder externen Datenschutzbeauftragten Pflicht.

Zu diesen Daten besonderer Kategorien gehören:

  • Gesundheitsdaten
  • personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
  • genetische und biometrische Daten

4. Verpflichtung zur Datenschutz-Folgenabschätzung

Der Art. 35, DSGVO erläutert, unter welchen Umständen ein Unternehmen eine Datenschutz-Folgeabschätzung durchführen muss. Ist die der Fall, ist das Unternehmen zumeist auch dazu verpflichtet, einen internen oder externen Datenschutzbeauftragten zu bestellen.

5. Daten als Geschäft

Werden personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung geschäftsmäßig verarbeitet, muss ein interner oder externer Datenschutzbeauftragter bestellt werden.

Ob die jeweiligen Beschreibungen auf das eigene Unternehmen zutreffen und die Bestellung eines internen oder externen Datenschutzbeauftragten Pflicht ist, muss jedes Unternehmen selbstständig klären.

 

Welche Fähigkeiten muss der Datenschutzbeauftragte mit sich bringen?

In einem Unternehmen kann grundsätzlich jede und jeder Beschäftige zum internen Datenschutzbeauftragter bestellt werden. Dabei sollten die Personen die folgenden Anforderungen erfüllen:

  • fachliche Eignung: Die Person sollte ein tiefergehendes Verständnis für die Datenschutz-Thematik haben und auch die komplexen gesetzlichen Vorschriften zum Datenschutz verstehen. Im Speziellen sollte die Person auch eine umfassende Fachkunde im betrieblichen Datenschutz haben.
  • strukturelle Voraussetzung: Die Person benötigt Zugänge und Einblicke in alle notwendigen Prozesse und Bereiche eines Unternehmens. Nur so kann sie die Verantwortung für die Einhaltung des Datenschutzes in allen Unternehmensbereichen gewährleisten.
  • Social Skills: Der oder die Datenschutzbeauftragte muss teilweise komplexe Datenschutzbestimmungen im Unternehmern kommunizieren. Das kann in einem Gespräch mit dem Geschäftsvorstand passieren, aber auch in einer internen Datenschutz-Schulung von Mitarbeitenden verschiedener Bereiche. Dafür braucht es kommunikative Fähigkeiten, Empathie und Durchsetzungskraft.

 

 

Wann einen externen Datenschutzbeauftragten bestellen?

Nicht immer findet sich in einem Unternehmen eine Person, die die oben genannten Voraussetzungen erfüllt und willens ist, die Verantwortung für den betrieblichen Datenschutz zu übernehmen. Dann ist es möglich, einen externen Datenschutzbeauftragten zu bestellen.

Ein großer Vorteil hierbei ist, dass Unternehmen mit der Bestellung eines externen Datenschutzbeauftragten alle Aufgaben und Verpflichtungen in eine Hand geben. Externe Anbieter sind immer auf dem neusten rechtlichen Stand und können gezielt agieren.

 

Sie benötigen Hilfe bei der Bestellung eines Datenschutzbeauftragten? Wir beraten Sie oder stellen Ihnen einen externen Datenschutzbeauftragten. Kontaktieren Sie uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: