single.php
< Beitrag von Samira Nuhu

DSGVO Basics: Der Datenschutzbeauftragte

Für bestimmte Unternehmen war die Bestellung eines Datenschutzbeauftragten auch nach altem Recht verpflichtend. Jetzt erweitert die Datenschutz-Grundverordnung (DSGVO) den Kreis der Unternehmen, die Datenschutzbeauftragte benötigen. Maßgeblich ist nicht mehr nur die Unternehmensgröße. Auch kleine Unternehmen mit weniger als 10 Mitarbeitern müssen einen Datenschutzbeauftragten haben, wenn ihre Tätigkeit aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf.

 Der Datenschutzbeauftragte – wann wird er verpflichtend benötigt?

Die DSGVO und das neue Bundesdatenschutzgesetz (BDSG) schreiben die Bestellung eines Datenschutzbeauftragten im Unternehmen vor, wenn eine der folgenden 5 Voraussetzungen gegeben ist:

DSGVO-Basics: Der Datenschutzbeauftragte - wann muss er benannt werden?:

  • Im Unternehmen sind in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (Art. 38 BDSG neu).
  • Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 DSGVO).
  • Die Kerntätigkeit des Unternehmens besteht in der Verarbeitung besonderer Datenkategorien. Diese Kategorien betreffen besonders sensible Daten, wie z. B. Gesundheitsdaten, genetische und biometrische Daten oder Daten, aus sich denen die ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugungen oder etwa eine Gewerkschaftszugehörigkeit ableiten lässt (Art. 37 DSGVO).
  • Das Unternehmen ist verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO).
  • Das Unternehmen verarbeitet geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (Art. 38 BDSG neu).

Welche Aufgaben hat der Datenschutzbeauftragte?

Im Vergleich zum alten BDSG erweitert die DSGVO die Aufgaben des Datenschutzbeauftragten im Hinblick auf Beratung, Kontrolle und Überwachung des Datenschutzes. Außerdem gehört die Zusammenarbeit mit der Aufsichtsbehörde zu den Pflichten des Datenschutzbeauftragten.

  • Unterrichtung und Beratung: Der Datenschutzbeauftragte ist Ansprechpartner für die Geschäftsführung und die Mitarbeiter in allen Fragen des Umgangs mit personenbezogenen Daten und des Datenschutzes. Er muss die Verantwortlichen, die Auftragsverarbeiter und die Beschäftigten unterrichten und beraten im Hinblick auf ihre DSGVO-Pflichten und die Einhaltung sonstiger Datenschutzvorschriften.
  • Überwachung der Einhaltung der DSGVO: Der Datenschutzbeauftragte soll nicht nur über datenschutzrechtliche Pflichten aufklären. Er muss auch die Einhaltung der Pflichten überwachen und strategische Maßnahmen zum Schutz personenbezogener Daten kontrollieren. Außerdem gehören die Zuweisung von Aufgaben sowie die Sensibilisierung und Schulung von Mitarbeitern zu seinen Tätigkeiten.
  • Beratung und Unterstützung bei der Datenschutz-Folgenabschätzung: Der Datenschutzbeauftragte berät und unterstützt das Unternehmen bei der Erstellung, Durchführung und Überwachung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO.
  • Zusammenarbeit mit der Aufsichtsbehörde: Der Datenschutzbeauftragte ist Schnittstelle und 1. Ansprechpartner für die Aufsichtsbehörden.
  • Ansprechpartner für Betroffene: Auch für Betroffene ist der Datenschutzbeauftragte Ansprechpartner Nr. 1 in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten (Artikel 38 Absatz 4 DSGVO).

Wer kann Datenschutzbeauftragter werden?

Zu allererst muss der Datenschutzbeauftragte über die Qualifikation und das Fachwissen verfügen, um seine gesetzlich vorgesehenen Aufgaben wahrnehmen zu können. Konkrete Anforderungen hinsichtlich der Kenntnisse oder der Ausbildung machen die DSGVO und das neue Bundesdatenschutzgesetz allerdings nicht. Datenschutzbeauftragter kann also grundsätzlich jeder werden. Dennoch sollten Unternehmen die Auswahl ihres Datenschutzbeauftragten nicht auf die leichte Schulter nehmen. Denn im Ernstfall muss die Auswahl vor den Datenschutzbehörden gerechtfertigt werden. Deshalb ist es ratsam, einen Datenschutzbeauftragten zu benennen, der seine Datenschutzkenntnisse mit einem Zertifikat (z. B. vom TÜV) belegen kann oder nachweislich über diese Kenntnisse verfügt (z .B. auf Datenschutz spezialisierte Juristen).

Externer oder interner Datenschutzbeauftragter?

Ein Unternehmen kann generell frei wählen, ob es einen internen oder einen externen Datenschutzbeauftragten benennen möchte. Beide Optionen haben Vor- und Nachteile.

Für die Benennung eines internen Mitarbeiters spricht, dass er das Unternehmen und die Abläufe kennt. Ein externer Mitarbeiter muss sich dieses Wissen erst aneignen. Allerdings verfügt ein externer, auf den Datenschutz spezialisierter Beauftragter potenziell über ein höheres Fachwissen. Im Hinblick auf das Fachwissen zum Thema Datenschutz muss sich ein interner Mitarbeiter möglicherweise erst qualifizieren, bevor er das Amt des Datenschutzbeauftragten übernehmen kann.

Jedes Unternehmen sollte sorgfältig abwägen, für welche der beiden Möglichkeiten es sich entscheidet. Neben der erforderlichen Qualifikation ist wichtig, dass durch die Wahl des Datenschutzbeauftragten keine Interessenkonflikte entstehen. So sollten weder der Geschäftsführer, noch der IT- oder der Personal-Leiter gleichzeitig Datenschutzbeauftragter sein, da diese Personen Datenverarbeitungsprozesse wesentlich bestimmen oder beeinflussen können.

Alles neu macht der Mai

Als ob es Hermann Adam von Kamp schon gewusst hätte. In seinem Gedicht „Der Mai“ heißt es „Alles neu macht der Mai“.  Seit dem 25. Mai 2018 wird mit der DSGVO das Verfahrensverzeichnis durch das Verzeichnis der Verarbeitungstätigkeiten ersetzt. Nach altem Recht führte der Datenschutzbeauftragte das Verfahrensverzeichnis und erteilte Auskunft daraus. Nach der DSGVO entfallen diese Aufgaben für Datenschutzbeauftragte. Im nächsten Blog-Beitrag mehr zum Verzeichnis der Verarbeitungstätigkeiten von Samira Nuhu.

Folgen
X

Folgen

E-mail : *
Kategorie: IT- & Data-Security | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.