Datenschutzbeauftragter

Folgende Unternehmen müssen laut DSGVO Art.37 und BDSG §38 einen betrieblichen Datenschutzbeauftragten (DSB) bestellen:
  • Mehr als 9 Mitarbeiter arbeiten regelmäßig mit automatisierter Verarbeitung von Personendaten (Erhebung und Nutzung).
    Dabei spielt der genaue Zeitumfang keine Rolle. Es ist auch nicht relevant, ob es sich um eigene Angestellte, freie Mitarbeiter, Voll- oder Teilzeitbeschäftigte (auch Heimarbeiter), Auszubildende, Leihpersonal, Volontäre, Freiwillige, ehrenamtliche Mitarbeiter oder Mitarbeiter von externen Dienstleistern handelt.

  • Mindestens 20 Personen sind regelmäßig mit nichtautomatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigt.

  • Wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter. (Arztpraxis, Apotheker, Pflegedienstleister)

  • Wenn personenbezogene Daten geschäftsmäßig übermittelt werden, erhoben, verarbeitet oder genutzt werden, d.h. besteht in diesen Verarbeitungsvorgängen die Kerntätigkeit des Unternehmens, besteht ebenfalls unabhängig von der Anzahl der Beschäftigten eine Verpflichtung.

  • Auch die Berufsgruppen, die einer Schweigepflicht unterliegen, müssen sich an die DSGVO halten und dazu gehört auch die Bestellung eines fachkundigen Datenschutzbeauftragten.
Wenn Sie keinen Datenschutzbeauftragten bestellen müssen, ist der Geschäftsführer verantwortlich für die Einhaltung aller datenschutzrechlichen Vorschriften. Auch in diesem Fall muß ein Unternehmen Informationspflichen erfüllen, ein Verarbeitungsverzeichnis führen und vieles mehr.

Ein Datenschutzbeauftragter kann intern oder extern bestellt werden.
Es ist darauf zu achten, dass es zu keinem Interessenskonflikt lt. DSGVO Art. 38 Abs.6 kommt. (DSB ist Mitarbeiter der IT-Abteilung, Personalabteilung oder der Geschäftsführung)
Ein interner Datenschutzbeauftragter genießt Kündigungsschutz laut BDSG §38 Abs.2 und §6 Abs.4 und ist aus dieser Position nicht abberufbar.
Die Ernennung erfolgt durch die Geschäftsleitung bzw. Führungskräfte mit Prokura.
Die Benennung sollte schriftlich erfolgen, eine Bestellungsurkunde ist lt. DSGVO Art.37 nicht mehr erforderlich.

Zu den Aufgaben des Datenschutzbeauftragten gehören laut DSGVO Artikel 39:
  • Analyse und Dokumentation des IST-Zustandes
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften (KEINE Rechtsberatung)
  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften
  • Überwachung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten,
  • Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
  • Zusammenarbeit mit der Aufsichtsbehörde und Ansprechpartner für die Aufsichtsbehörde
  • Erstellung von Richtlinien, Empfehlungen für Dienstanweisungen
  • Erstellung und Fortschreibung eines Datenschutzkonzeptes mit regelmäßigem Bericht
Grundsätzlich bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften das Unternehmen selbst verantwortlich.

Für den Datenschutzbeauftragten ist das "Nein"-Sagen, das umständliche Einholen von Einwilligungen und das lähmend-bürokratische Dokumentieren jedes Datenumgangs der bequemste Rat.
Wer „Nein“ sagt, übernimmt keine Verantwortung.
Wer als Berater Wege aufzeigt, mit Augenmaß Daten zu schützen, trägt das Risiko, mit seinen Einschätzungen und Empfehlungen falsch zu liegen.

Posted: 01.09.2018   /  Updated: 13.10.2018


Neuer Kommentar, Anmerkung oder Hinweis