Wir hören häufig folgende Fragen: Was machen Datenschutzbeauftragte eigentlich so? Machen die eigentlich was für ihr Geld? Und braucht man überhaupt einen Datenschutzbeauftragten? In diesem Blog-Artikel gehen wir auf all diese Fragen ein.
Funktion und Stellung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter ist eine unabhängige Kontrollinstanz und hat die Aufgabe die Einhaltung des Datenschutzrechts sicherzustellen und zu überwachen, wobei dieser an die Wahrung der Geheimhaltung bzw. an die Vertraulichkeit gebunden ist. Ein Datenschutzbeauftragter ist direkt der höchsten Managementebene unterstellt, agiert aber weisungsungebunden und darf nicht aufgrund seiner Tätigkeit benachteiligt werden. Somit trägt diese Person eine große Verantwortung, ist allerdings auch dazu berechtigt Aufgaben und Tätigkeiten innerhalb der Organisation zu delegieren. Um dies zu gewährleisten, findet eine Benennung eines Datenschutzbeauftragten seitens der Organisation statt, welche dann auch eine entsprechende Meldung bei der zuständigen Behörde vornimmt.
Benennung eines Datenschutzbeauftragten
Dabei steht es einer Organisation frei, ob sie einen internen oder externen Datenschutzbeauftragten benennen. Bei der internen Variante benennt das Unternehmen einen der Angestellten als Datenschutzbeauftragten. Dabei müssen eventuelle Interessenskonflikte berücksichtigt. Jemand aus der Führungsebene kann demnach nicht die Position des Datenschutzbeauftragten übernehmen. Bei der externen Variante wendet sich das Unternehmen wiederum an einen Dienstleister und lässt sich so einen fachkundigen Datenschutzbeauftragten stellen.
Allerdings muss bei einer Benennung grundsätzlich die berufliche und fachliche Qualifikation sowie die Kompetenzen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis berücksichtigt werden. Diese Qualifikationen und Kompetenzen müssen auf Nachfrage auch nachgewiesen werden können. Demnach kann keine willkürliche Benennung eines Datenschutzbeauftragten geschehen.
Aufgaben eines Datenschutzbeauftragten
Gemäß der Datenschutz-Grundverordnung (DSGVO) muss ein Datenschutzbeauftragter mindestens folgenden Aufgaben übernehmen:
- Beratung und Unterrichtung hinsichtlich der bestehenden datenschutzrechtlichen Pflichten. Ein Datenschutzbeauftragter ist somit direkter Ansprechpartner, sobald es um personenbezogene Daten geht.
- Überwachung der bestehenden datenschutzrechtlichen Vorgaben inkl. Verteilungen von Zuständigkeiten und Schulung sowie Sensibilisierung der Mitarbeiter
- Ggf. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und die Überwachung ihrer Durchführung
- Zusammenarbeit mit den Aufsichtsbehörden
- Ansprechpartner für Aufsichtsbehörden
Wann ist ein Datenschutzbeauftragter erforderlich?
Laut DSGVO und Bundesdatenschutzgesetz (BDSG) können mehrere Gründe dazu führen, dass ein Datenschutzbeauftragter benannt werden muss.
Unternehmensgröße
Wenn in einer Organisation mindestens 20 Personen (inkl. Teilzeitangestellten, Auszubildende, Mini-Jobber, Geschäftsführung etc.) regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, besteht die Pflicht einen Datenschutzbeauftragten zu benennen.
Geschäftsfeld
Wenn eine Organisation hauptsächlich besondere Kategorien von personenbezogenen Daten verarbeitet (z.B. Daten über ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gesundheit) und/oder zur Durchführung einer Datenschutz-Folgeabschätzung (Risikoabschätzung bei Datenverarbeitungen, die ein großes Gefahrenpotential haben) verpflichtet sind, ist unabhängig von der Personenanzahl auch ein Datenschutzbeauftragter zu benennen.
Gleiches gilt, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Die gleiche Pflicht besteht, wenn Organisationen Tätigkeiten ausüben, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Freiwillige Benennung eines Datenschutzbeauftragten
Oftmals kann es auch ohne gesetzliche Verpflichtung sinnvoll sein, einen Datenschutzbeauftragten zu benennen. Besonders, da sonst oftmals kaum oder gar kein Wissen über die zahlreichen Dokumentations-, Auskunfts-, Informations- und Nachweispflichten sowie über die datenschutzrechtlichen Vorgaben besteht. Ohne fachliche Unterstützung kann die DSGVO somit oftmals unnötig überfordern, sehr viel Zeit fordern und vom wesentlichen ablenken. Die Freiwillige Benennung kann somit durchaus einen Mehrwert haben.
Dieser Mehrwert kann auch in einem Wettbewerbsvorteil bestehen. Für viele Menschen ist Datenschutz bei Dienstleistungen oder Waren, ein wichtiger Aspekt bei der Kaufentscheidung. Tatsächlich legen immer und immer mehr Menschen Wert auf guten und praktikablen Datenschutz. Bei einer solchen datenschutzfreundlichen Gestaltung von Software o.ä. kann ein guter Datenschutzbeauftragter maßgeblich zu beitragen.
