Nach Art. 37 der DSGVO sind bestimmte Unternehmen in der Pflicht einen Datenschutzbeauftragten (DSB) einzuberufen. Bei anderen Unternehmen kann dies auf freiwilliger Basis geschehen. Was die Voraussetzungen dafür sind und welche Aufgaben der Datenschutzbeauftragte hat, zeigen wir heute in unserem Blog Beitrag auf.
Die DSGVO gibt vor, wann ein Unternehmen in der Pflicht steht, einen Datenschutzbeauftragten zu benennen. Es gibt drei Faktoren, die diese Pflicht beeinflussen. Die Unternehmensgröße bzw. die Anzahl der Mitarbeiter, das Geschäftsfeld, in dem sich das Unternehmen bewegt und die Art der personenbezogenen Daten.
Sind in einem Unternehmen mehr als neun Mitarbeiter mit automatisierter Datenverarbeitung beschäftigt, die dies auch in regelmäßigen Abständen tun, besteht die Pflicht einen DSB einzustellen. Ebenso wenn 20 oder mehr Personen regelmäßig mit einer nicht automatisierten Datenverarbeitung zu tun haben. Zusätzlich zu der Anzahl an Mitarbeitern ist auch die Sensibilität der Daten ein wichtiges Thema. Besteht für Betroffene zudem ein hohes Risiko im Falle eines Datenmissbrauchs muss auch ein DSB einberufen werden. Bei sensiblen Daten handelt es sich um Daten zur ethnischen Herkunft, sexueller Orientierung, religiöser Überzeugung und der Gesundheit. Übermittelt ihr Unternehmen personenbezogene Daten an Dritte, wie z.B. beim klassischen Adresshandel oder bei Markt- und Meinungsforschungszwecken, so besteht ebenfalls die Pflicht, unabhängig von der Anzahl der Mitarbeiter, zur Einbestellung eines DSB.
Wird dieser Pflicht nicht nachgekommen, drohen hohe Strafen von der zuständigen Aufsichtsbehörde.
Der Datenschutzbeauftragte muss durch die Geschäftsführung benannt werden, dabei müssen gewisse Formalitäten eingehalten werden. Zusätzlich zu den Formalitäten sollte ein DSB einem gewissen Anforderungsprofil entsprechen: -Fachliche Eignung (der DSB sollte umfassende Fachkunde im Bereich des betrieblichen Datenschutzes vorweisen können) -Einblick in alle entscheidenden Prozesse und Bereiche innerhalb des Unternehmens.
Das Aufgabengebiet des Datenschutzbeauftragten umfasst u.a.:
- Beratung der Verantwortlichen in Sachen Datenschutz (trifft selbst keine Entscheidung)
- Ansprechpartner für betroffene Personen
- Zusammenarbeit mit der Datenschutzbehörde im Falle einer Beschwerde
- Im Falle einer Datenschutz-Folgeabschätzung wird diese durch den Datenschutzbeauftragten überwacht und die Verantwortlichen werden beraten.
Der Geschäftsführer eines Unternehmens hat zwei Möglichkeiten einen Datenschutzbeauftragten zu benennen oder einzuberufen. Die interne oder externe Ernennung eines Datenschutzbeauftragten. Es bestehen mittlerweile viele Möglichkeiten, einen Mitarbeiter hinsichtlich der DSGVO bzw. des Datenschutzes aus- und weiterbilden zu lassen.
Ein Vorteil bei der internen Regelung ist, dass der Mitarbeiter die Prozesse und Bereich innerhalb eines Unternehmens gut kennt und sich nicht erst einarbeiten muss. Allerdings muss der Mitarbeiter auch freie Ressourcen für seine Pflichten als Datenschutzbeauftragter haben. Ein interner DSB kann ohne wichtigen Grund nicht von seiner Position entbunden werden. Ebenso genießt er Kündigungsschutz und kann nur fristlos aus wichtigem Grund gekündigt werden. Die Geschäftsführung muss den Datenschutzbeauftragten bei seiner Aufgabe unterstützen und ihn diesbezüglich z.B. zu Fortbildungen schicken.
Beim externen DSB muss immer der Faktor Zeit berücksichtigt werden, denn dieser muss sich erst in das Unternehmen und dessen Abläufe einarbeiten, hat dafür einen objektiveren Blick auf viele Abläufe innerhalb des Unternehmens.
Jedes Unternehmen sollte sich mit dem Thema des Datenschutzbeauftragten befassen und die Entscheidung bzgl. internen/externer Regelung treffen. Ist der Datenschutzbeauftragte bestimmt, erleichtert dies die Vorbereitungen auf die DSGVO und sorgt für Entlastung der Geschäftsführung bei diesem wichtigen Thema.