Datenschutzbeauftragter
Der Datenschutzbeauftragte nach dem neuen Datenschutzrecht
Die Neuregelung des Datenschutzrechtes durch die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) im Mai 2018 hat viele Änderungen mit sich gebracht. Auch der Bereich der Datenschutzbeauftragten ist davon berührt. So ist die Benennung eines Datenschutzbeauftragten, wie viele Unternehmen es bereits nach der alten Rechtslage in Deutschland kannten, weiterhin in vielen Fällen verpflichtend. Der Kreis der Unternehmen, die einen Datenschutzbeauftragten benennen müssen, wird sogar noch erweitert.
Für eine unverbindliche Anfrage kontaktieren Sie bitte direkt telefonisch oder per E-Mail einen unserer Ansprechpartner oder nutzen Sie das Kontaktformular am Ende dieser Seite.
Regelungen der DSGVO zum Datenschutzbeauftragten
Während Unternehmen in Deutschland die Position des Datenschutzbeauftragten bereits aus dem bisherigen deutschen Recht kannten, dehnt die DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten nun auf ganz Europa aus. Die Regelungen der DSGVO im Überblick:
- Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, wenn die Kerntätigkeit in systematischer Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
- Möglichkeit zur Benennung eines gemeinsamen Datenschutzbeauftragten innerhalb eines Konzerns
- Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung an die Aufsichtsbehörde
Vorgaben des BDSG
Die DSGVO enthält für den Bereich der Datenschutzbeauftragten eine sogenannte Öffnungsklausel, sodass nationale Gesetzgeber ermächtigt werden, ergänzende Regelungen zu treffen. Davon hat der deutsche Gesetzgeber Gebrauch gemacht und in § 38 BDSG weitere ergänzende Vorgaben geschaffen, die zu großen Teilen der bisherigen Rechtslage entsprechen. Insofern ändert sich für Unternehmen in Deutschland nicht grundlegend etwas, trotzdem gibt es einige Ergänzungen, die für Unternehmen eine Rolle spielen.
Ist ein Datenschutzbeauftragter notwendig?
Die Benennung eines Datenschutzbeauftragten ist verpflichtend, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ursprünglich sah das Bundesdatenschutzgesetz eine Grenze von zehn Mitarbeitern vor; nach einer Änderung des BDSG im November 2019 wurde die Mitarbeitergrenze auf 20 angehoben, um kleine Unternehmen zu entlasten. Auch wenn das Geschäftsmodell gerade in der Übermittlung von personenbezogenen Daten (z.B. zum Zweck der Markt- oder Meinungsforschung) besteht oder eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich ist, ist die Benennung eines Datenschutzbeauftragten unabdingbar.
Was droht bei fehlender Benennung eines Datenschutzbeauftragten?
Wird trotz Verpflichtung kein Datenschutzbeauftragter benannt, stellt dies eine Ordnungswidrigkeit dar, die von den Aufsichtsbehörden verfolgt werden kann. Die DSGVO sieht dafür ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor (je nachdem welcher Betrag höher ist).
Gehen Sie also kein Risiko ein und prüfen rechtzeitig, ob die Benennung eines Datenschutzbeauftragten in Ihrem Unternehmen notwendig ist.
Wer kann Datenschutzbeauftragter werden?
Unternehmen können sowohl einen internen als auch einen externen Datenschutzbeauftragten benennen. Dies hängt in erster Linie von den Ressourcen und der betrieblichen Organisation ab. Für den Fall, dass sich ein Unternehmen für einen internen Beauftragten entscheidet, muss darauf geachtet werden, dass kein Interessenkonflikt besteht. In jedem Fall müssen Datenschutzbeauftragte gewisse Kriterien erfüllen. Die DSGVO fordert
- eine gewisse berufliche Qualifikation,
- Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und
- die Fähigkeit zur Erfüllung der gesetzlich definierten Aufgaben.
Aufgaben und Pflichten des Datenschutzbeauftragten
Die DSGVO legt in einem Katalog (Art. 39 DSGVO) die Aufgaben und Pflichten des Datenschutzbeauftragten fest.
Dazu gehören:
- Unterrichtung und Beratung der Verantwortlichen, Auftragsverarbeiter und Beschäftigten
- Überwachung der Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften
- Sensibilisierung und Schulung der Mitarbeiter
- Beratung und Überwachung der Datenschutz-Folgeabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde
- Ansprechpartner für Betroffene
Der Datenschutzbeauftragte ist von den Verantwortlichen, also in der Regel von der Unternehmensleitung, ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.
Und wann und wie haftet ein Datenschutzbeauftragter?
Der Umfang der Haftung des Datenschutzbeauftragten für Datenschutzverstöße im Unternehmen ist noch sehr umstritten und mit der Einführung der DSGVO nicht endgültig geklärt. Während Vertreter der EU-Datenschutzbehörden eine persönliche Haftung von Datenschutzbeauftragten verneinen, wird in Deutschland eben eine solche Haftung diskutiert. Am Ende wird es daher im Ermessen der Gerichte liegen, ob eine persönliche Haftung besteht. Im Außenverhältnis wird regelmäßig die Geschäftsführung als Verantwortliche für den Datenschutz im Unternehmen haften.
Klar ist, dass sich der Datenschutzbeauftragte für eigene Fehler Regressansprüchen des Unternehmens ausgesetzt sehen wird. Insbesondere haftet der Datenschutzbeauftragte für falsche, unvollständige oder zu späte Beratung oder Unterrichtung, ebenso für falsche Schulungen o.ä. Daher sollte der Datenschutzbeauftragte in eigenem Interesse selbst darauf hinwirken, dass er in alle Datenverarbeitungsprozesse und Entscheidungen, die den Datenschutz betreffen, rechtzeitig eingebunden wird.