Ein Datenschutzbeauftragter ist zentraler Bestandteil des Datenschutzrechts. Er wirkt auf die Einhaltung aller relevanten Datenschutz-Vorschriften hin. Dabei besteht für Unternehmen ab zehn Mitarbeitern in der Regel die Pflicht, einen Datenschutzbeauftragten schriftlich zu bestellen, Art. 37 ff. DSGVO, §§ 5 ff., 38 BDSG. Als Datenschutzbeauftragter kommen Personen in Betracht, die fachkundig und zuverlässig sind. Sie können aus dem Unternehmen selbst oder von außerhalb stammen.
Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten
Unternehmen und diverse weitere Stellen sind regelmäßig verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Insbesondere wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden und auch nur eine der folgenden Voraussetzungen erfüllt ist, muss gem. Art. 37 ff. DSGVO, §§ 5 ff., 38 BDSG ein Datenschutzbeauftragter bestellt werden:
- 10 Personen oder mehr verarbeiten ständig automatisiert Daten,
- es handelt sich um eine öffentliche Stelle, z.B. eine Behörde,
- Daten unterliegend der Datenschutz-Folgenabschätzung,
- Daten werden geschäftsmäßig zum Zweck der Übermittlung verarbeitet, oder
- Daten werden für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet.
Die automatisierte Datenverarbeitung liegt in den meisten Fällen vor, da in fast jedem Unternehmen EDV eingesetzt wird. Im Ergebnis muss somit die überwiegende Anzahl (auch kleinerer) Unternehmen einen Datenschutzbeauftragten bestellen.
Experten-Tipp: Verpflichtung zur Bestellung sorgfältig prüfen! Wird gegen die Pflicht zur Bestellung verstoßen, kann die Aufsichtsbehörde gem. Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes verhängen, vgl. Sanktionen im Datenschutzrecht...
Anforderungen an den Datenschutzbeauftragten
Zum Beauftragten für den Datenschutz darf gem. Art. 37 Abs. 5 DSGVO, § 5 Abs. 3 BDSG nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Außerdem ist er gem. Art. 38 DSGVO, § 6 BDSG weisungsfrei und direkt dem Leiter des Unternehmens unterstellt. Der Datenschutzbeauftragte kann sowohl aus dem Unternehmen selbst stammen (sog. interner Datenschutzbeauftragter), als auch außerhalb des Unternehmens stehen (sog. externer Datenschutzbeauftragter). Beide Formen haben Vor- und Nachteile.
Weitere Einzelheiten zu den Anforderungen an einen Datenschutzbeauftragten...
Aufgaben Datenschutzbeauftragter
Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO und § 7 BDSG genannt. Danach wirkt der Datenschutzbeauftragte auf die Einhaltung der DSGVO und des BDSG und anderer Vorschriften über den Datenschutz hin. Diese Vorgaben werden im Gesetz (ohne Anspruch auf Vollständigkeit) weiter konkretisiert. Der Datenschutzbeauftragte
- überwacht die Einhaltung der Vorschriften zum Datenschutz, Art. 39 Abs. 1 lit. a. DSGVO,
- unterrichtet, berät und schult die Mitarbeiter in den Datenschutz-Vorschriften, Art. 39 Abs. 1 lit. a. und b. DSGVO,
- etc.
Damit der Datenschutzbeauftragte die vorgenannten Aufgaben erfüllen kann, ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, vgl. z.B. Art. 38 Abs. 1 DSGVO.
Weitere Einzelheiten zu den Aufgaben als Datenschutzbeauftragter...