Verschiedenes

DSGVO, Datenschutzbeauftragter und Co. – worauf kommt es an?

Die Datenschutz-Grundverordnung ist bereits im Mai 2016 in Kraft getreten, seit Mai 2018 allerdings haben sich die Regelungen deutlich verschärft. Ziel der DSGVO ist es, Verbrauchern die Datenhoheit über persönliche und personenbezogene Informationen zurückzugeben und die Verbraucherrechte zu stärken.

Auch Kapitalunternehmen und Aktiengesellschaften müssen sich an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) halten und entsprechende Maßnahmen umsetzen. In diesem Zusammenhang dürften viele Entscheider schon einmal von einem Datenschutzbeauftragten (DSB) gehört haben, doch welche Aufgaben mit dieser Funktion einhergehen und ob das jeweilige Unternehmen überhaupt verpflichtet ist, einen DSB zu bestellen, bleibt häufig im Unklaren. Was also muss man zu diesem Thema wissen?

Wann besteht eine Pflicht zur Bestellung eines DSB?

Grundsätzlich besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen immer dann, wenn ein Unternehmen besonders sensible oder umfangreiche Daten verarbeitet. Unter sensible Daten fallen gemäß DSGVO etwa Informationen bezüglich Ethnizität und Herkunft, der politischen Meinung oder religiösen und weltanschaulichen Sichten, biometrische und genetische Daten oder auch Gesundheitsdaten.

Darüber hinaus ist ein DSB auch dann verpflichtend, wenn die Daten zwar nicht sensibel sind, aber mindestens 20 Mitarbeiter eines Unternehmens dauerhaft mit der Verarbeitung personenbezogenen Daten beschäftigt sind. Als personenbezogene Daten gelten sämtliche Informationen, mit denen eine Person direkt identifiziert werden kann, also beispielsweise Name, Adresse, Telefonnummer.

Welche Funktion hat ein Datenschutzbeauftragter?

Der DSB ist diejenige Person innerhalb eines Unternehmens, welcher für sämtliche den Datenschutz betreffende Aspekte verantwortlich ist. Er ist aber nicht verpflichtet, dies komplett eigenständig zu tun, sondern ist berechtigt Aufgaben zu delegieren. Die Verantwortung über die Einhaltung obliegt ihm aber dennoch.

Nach Datenschutz-Grundverordnung fallen dem DSB vor allem folgende Aufgabenbereiche zu:

  • Aufklärung und Unterrichtung über datenschutzrechtliche Pflichten und Überwachung derer Einhaltung.
  • Schulung und Sensibilisierung der Mitarbeiter in Bezug auf Datenschutz.
  • Enge Zusammenarbeit mit der zuständigen Aufsichtsbehörde.
  • Erster Ansprechpartner für alle Belange im Zusammenhang mit Datenschutz.

Datenschutzbeauftragter – intern oder extern?

Ein Datenschutzbeauftragter muss fundierte Kenntnisse über die Datenschutz-Grundverordnung verfügen und ein ausgesprochener Datenschutzexperte sein, um seiner Verantwortung gerecht zu werden. Weiterhin muss er stets auf dem aktuellsten Stand sein, was die Anforderungen an den Datenschutz betrifft.
Unternehmen haben zum einen die Möglichkeit, eine natürliche Person innerhalb des Unternehmens als Datenschutzbeauftragten bestellen. Alternativ zu einem internen DSB, kann auch ein externer Datenschutzbeauftragter für diese Position bestellt werden. Beide Optionen bieten Vorteile und Nachteile:

Ein interner Datenschutzbeauftragte kennt das jeweilige Unternehmen und die damit einhergehenden Verflechtungen bzgl. des Datenschutzes genau. Allerdings können die anfallenden Aufgaben schnell unüberschaubar werden, vor allem, wenn es sich um große Organisationen wie Kapitalunternehmen und Aktiengesellschaften handelt. Damit ein Mitarbeiter überhaupt berechtigt ist als DSB zu agieren, muss er zudem die Voraussetzungen nach Art. 37 V DSGVO erfüllen. Dies kann oft nur durch kostenintensive Schulungen und Weiterbildungen erreicht werden.

Ein externer Datenschutzbeauftragter hat den großen Vorteil, dass er bereits über die notwendigen Qualifikationen und das benötigte Fachwissen verfügt. Oft handelt es sich um Rechtsanwälte für Datenschutzrecht, die So kann er flexibel auf die individuellen Anforderungen des jeweiligen Unternehmens reagieren und entsprechende Maßnahmen treffen. Ein Nachteil bei der Bestellung eines externen DSB ist allerdings, dass die Gefahr besteht, diesen zu spät in die internen Unternehmensprozesse eingebunden wird. Hier ist eine frühe Einbindung unumgänglich.

Am wichtigsten ist weniger die Frage nach einem internen oder externen DSB, sondern die Frage nach der Qualifizierung. Ein DSB muss ein absoluter Datenschutzexperte sein und sich auf allen Ebenen stetig weiterbilden, um auf sich veränderte Gesetzeslagen und wachsenden gesetzlichen Anforderungen adäquat reagieren zu können.

Was gilt es bei der Bestellung eines Datenschutzbeauftragten zu beachten?

Damit die Bestellung des DSB auch rechtskonform ist und Gültigkeit besitzt, muss die Bestellung formell wirksam erfolgen. Das bedeutet, dass sie schriftlich erfolgen muss und von allen beteiligten Parteien unterzeichnet werden. Die Bestellung darf nicht Bestandteil eines beabsichtigten oder bestehenden Vertrags sein, sondern muss separat, in einer schriftlichen Vereinbarung festgehalten werden. Darüber hinaus muss sie Bestellung die genaue Tätigkeitsbeschreibung beinhalten sowie die Verpflichtung des Unternehmens, dem DSB materielle und personelle Unterstützung zu leisten.

Welche Konsequenzen erwarten Unternehmen bei Datenschutzverletzungen?

Missachtungen der Datenschutz-Grundverordnung können kostenintensive Sanktionen mit sich bringen. Eine Verletzung des Datenschutzes liegt nicht nur bei großen Geschehnissen wie einem Hackerangriff vor, sondern schon bei vergleichsweise kleinen Missgeschicken wie dem versehentlichen Verlieren eines USB-Sticks mit relevanten Informationen.

Unabhängig von der Schwere des Falles muss der DSB die Datenschutzverletzung innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden und das weitere Vorgehen besprechen. Kommt es zu einer Unterlassung dieser Meldepflicht, drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes, wenn dieser mehr als 20 Millionen Euro beträgt.

Zeige mehr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Ich willige ein, dass meine Angaben aus diesem Kontaktformular gemäß Ihrer Datenschutzerklärung erfasst und verarbeitet werden. Bitte beachten: Die erteilte Einwilligung kann jederzeit für die Zukunft per E-Mail an [email protected] (Datenschutzbeauftragter) widerrufen werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Schaltfläche "Zurück zum Anfang"