Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter wirkt  auf die Einhaltung des BDSG hin. Er unterstützt den Verantwortlichen bei der Einhaltung der gesetzlichen Bestimmungen zum Datenschutz. Der Datenschutzbeauftragte ist ein unabhängiges und weiseungsfreies Kontrollorgan und er ist zuständig für den Aufbau einer Datenschutzorganisation. Er ist auch zentraler Ansprechpartner bei Datenschutzverstößen oder Fragen zum Datenschutz.

Die Bestellung eines internen Datenschutzbeauftragten

Es steht Ihnen frei einen Mitarbeiter als Datenschutzbeauftragten zu bestellen. Mit der Bestellung eines internen Datenschutzbeauftragten, genießt dieser einen besonderen Kündigungsschutz. Zudem stehen dem internen Datenschutzbeauftragen Ansprüche auf Fortbildung und eine eigene Austattung sowie zusätzliche Finanzmittel zu.

Alternativ kann auch ein externer Datenschutzbeauftragter bestellt werden (siehe Unten). Die Bestellung eines externen Datenschutzbeauftragten ist die kostengünstigere Alternative, da neben der zusätzlichen Austattung dem internen Datenschutzbeauftragten Arbeitszeit zur Erfüllung seiner Verpflichtung einzuräumen ist und die damit verbundenen Lohnkosten über den Kosten eines externen Datenschutzbeauftragten liegen.

Welche Anforderungen stellt das Gesetz an den  Datenschutzbeauftragten?

Sachkunde

Bedenken Sie der Datenschutzbeauftragte sachkundig sein muss:

Art 37 Absatz 5:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Demnach genügt es nicht irgendeinen Mitarbeiter Ihres Betriebs zu bestellen. Ihr Mitarbeiter müsste die erforderliche Sachkunde haben und sich fortwährend weiterbilden.

Jedoch nicht die Geschäftsleitung oder Administratoren

Sofern Sie Personen als Datenschutzbeauftragte bestellen, die sich selbst prüfen müssten, wäre ein Interessenkonflikt anzunehmen und die Bestellung rechtswidrig. Dieses betrifft unter anderem Mitglieder der Unternehmensleitung und Personen, die mit der Wartung Ihrer IT-Infrastruktur betraut sind (Administratoren, Berater, u.Ä.). Auch die Bestellung von Vertriebsleitern ode Personalleitern, sowie die Bestellung der jeweiligen Sekretariate kann einen Interessenkonflikt begründen.

Externer Datenschutzbeauftragter ?

Der externe Datenschutzbeauftragte ist ein Dienstleister und übernimmt die Aufgaben des betrieblichen Datenschutzbeauftragten. Externe Datenschutzbeauftragte verfügen über die notwendige technische und rechtliche Expertise und sind zur fortwährenden Weiterbildung verpflichtet.

Leistungen des Datenschutzbeaufttragten

Die Leistungen, die wir für Sie erbringen sind unter anderem:

  • Die Erfassung der datenverarbeitenden Prozesse,
  • sowie die Prüfung dieser Prozesse.
  • Wir beraten Sie im Hinblick auf die Auftragsdatenverarbeitung und die damit verbundenen Verpflichtungen.
  • Des Weiteren helfen wir Ihnen bei der Erstellung gesetzlich vorgeschriebener Verfahrensverzeichnisse / Verarbeitungstätigkeiten.
  • Wir helfen Ihnen beim Aufbau einer datenschutzkonformen IT-Infrastruktur.
  • Wir schulen Ihre Mitarbeiter und sensibilisieren diese im Umgang mit personenbezogenen Daten.

Haftungsrisiko

Während Sie bei datenschutzrechtlichen Verstößen ihren internen Datenschutzbeauftragten nicht haftbar machen können, haftet der externe Datenschutzbeauftragte in Rahmen seines Dienstleistungsvertrags.

Ist es Pflicht einen Datenschutzbeauftragten zu bestellen?

  • Sofern bei Ihnen mindestens 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Sie einen Datenschutzbeauftragten bestellen.
  • Wenn Sie umfangreich besonders sensible Daten verarbeiten, sind Sie verpflichtet, unabhängig von der Zahl der Mitarbeiter, einen Datenschutzbeauftragten zu bestellen. Das wären z.B. Daten aus denen sich die ethnische Herkunft, politische Meinung, religiöse Überzeugung  oder die Gewerkschaftszugehörigkeit hervorgeht, sowie die Verarbeitung biometrischer oder gesundheitlicher Daten (Art. 9 DSGVO).

Diese gesetzliche Verpflichtung betrifft unter anderem

  • Arztpraxen,
  • Personalberatungen,
  • Therapiezentren,
  • Rechtsanwaltskanzleien,
  • Steuerberatungen
  • und viele mehr
  • Oder Ihre Datenverarbeitung hat (insbesondere bei Verwendung neuer Technologien), aufgrund der Art, des Umfangs, der Umstände und dem Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge.

Beispiele hierfür wären

  • Zusammenführen von personenbezogenen Daten aus verschiedenen Quellen in großem Umfang (z.B. Scoring)
  • Betrieb von Bewertungsportalen,
  • Inkassodienstleistungen und Forderungsmanagement
  • Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen 
  • Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit von Betroffenen

Wann tritt die neue Gesetzgebung in Kraft?

Die Datenschutzgrundverordnung und das neue BDSG treten am 25.05.2018 in Kraft. Wer bis zu diesem Zeitpunkt seinen Betrieb nicht auf eine DSGVO-konforme Verarbeitung umgestellt hat, riskiert Bußgelder im Sinne der DSGVO.