Die Verarbeitung personenbezogener Daten wird von der Datenschutzgrund-Verordnung (DSGVO) geregelt. Besonders für Unternehmen und öffentliche Stellen ist ein datenschutzkonformer Umgang mit personenbezogenen Daten äußerst wichtig, aber zugleich anspruchsvoll. Um dies zu gewährleisten, wird daher in bestimmten Fällen ein Datenschutzbeauftragter benannt. Dieser hat in erster Linie drei wesentliche Aufgaben: Beratung, Kontrolle und Überwachung hinsichtlich der Einhaltung des Datenschutzrechts im Unternehmen.
Was ist ein Datenschutzbeauftragter?
Ein betrieblicher Datenschutzbeauftragter betreut Unternehmen bei der Einhaltung des Datenschutzes und der ordnungsgemäßen Umsetzung nach DSGVO.
Um einen optimalen Schutz der Daten gewährleisten zu können muss sich der Datenschutzbeauftragte der Risiken der Datenverarbeitung bewusst sein und diese Faktoren stets überwachen. Gemäß Artikel 37 der DSGVO stellen die berufliche Qualifikation und das nötige Fachwissen die Grundvoraussetzungen für die Benennung zum Datenschutzbeauftragten dar. Je komplexer die Datenverarbeitung in einem Unternehmen ist, desto umfangreicher sollte das Fachwissen sein. Um stets am Zahn der Zeit zu bleiben und die Vorgänge beim Schutz personenbezogener Daten zu optimieren, sollte der Datenschützer sich regelmäßig auf Fortbildungen, Lehrgängen o.ä. weiterbilden.
Um einen datenschutzkonformen Umgang mit personenbezogenen Daten zu gewährleisten, übernimmt der Datenschutzbeauftragte beratende und kontrollierende Funktionen. Er ist die erste Anlaufstelle bei Fragen rund um das Thema Datenschutz, prüft die Datenverarbeitung und arbeitet mit der Aufsichtsbehörde zusammen.
Beratende Funktion
Der Datenschutzbeauftragte muss eng mit der Materie vertraut sein und eine hohe Sozialkompetenz mitbringen. So kann er sowohl dem Unternehmen, als auch externen Parteien, wie Vertragspartnern oder Kunden, als Ansprechpartner dienen.
Der Datenschutzbeauftragte unterstützt ein Unternehmen bei dem datenschutzkonformen Umgang mit personenbezogenen Daten und berät es zu allen datenschutzrechtlichen Angelegenheiten. Im Zuge dessen steht er auch bei der Konzipierung von datenschutzrechtlichen Dokumenten beratend zur Seite. Hierzu zählen u.a.:
- datenschutzrechtliche Regelungen im Unternehmen, z.B. private E-Mails auf dem Firmencomputer checken
- allgemeine Datenschutzrichtlinien
- Datenschutzerklärung und Informationspflicht, z.B. auf Webseiten
- Datenschutz-Dokumentation
- Verarbeitungsverzeichnis
- Vorgehen bei Datenschutzverstößen und der Bearbeitung von Betroffenenanfragen
Neben der Geschäftsführung berät der Datenschutzbeauftragte auch den Betriebsrat zum Thema Datenschutz. Besonders hierbei ist zusätzlich zu den Fachkenntnissen eine hohe Sozialkompetenz und ein gewisses Vermittlungsgeschick ausschlaggebend.
Kontrollfunktion
Neben der Datenschutzberatung zählen auch Kontrolle und Überwachung zu den Tätigkeiten des Datenschutzbeauftragten. Er hat die Aufgabe, für den Schutz personenbezogener Daten zu sorgen und im Zuge dessen zu prüfen, ob die datenschutzrechtlichen Vorschriften von allen beteiligten Akteuren eingehalten werden. Hierzu muss er folgendes überwachen:
- Rechtmäßigkeit der Datenerhebung und -verarbeitung, bspw. den Betrieb einer Videoüberwachungsanlage
- DSGVO-konforme Datenverarbeitung
- fristgerechte Löschung von Daten
Besteht in einem Unternehmen der Verdacht auf einen Verstoß durch einen Mitarbeiter, muss die Geschäftsführung entsprechend agieren. Wird eine Missachtung der internen datenschutzrechtlichen Regelungen vermutet, muss dies kontrolliert werden. Um dabei die Rechte des Arbeitnehmers nicht zu verletzen, muss der Datenschutzbeauftragte in den Kontrollprozess einbezogen werden.
Der Datenschutzbeauftragte dient außerdem als Schnittstelle zwischen Unternehmen und Aufsichtsbehörde. Auch dieser muss er zum Thema Datenschutz Rede und Antwort stehen. Er dient als direkter Ansprechpartner bei Anfragen, Kontrollen und vorherigen Konsultationen der Aufsichtsbehörde.
Weitere Aufgaben
Datenschutzbeauftragte haben viele verschiedene Aufgaben, in denen die beratende und die Kontrollfunktion zusammenkommen.
Datenschutz-Folgeabschätzung
Stellen Art, Umfang, Umstände oder Zweck der personenbezogenen Datenverarbeitung ein hohes Risiko für die Rechte einer natürlichen Person dar, muss eine Datenschutz-Folgeabschätzung durchgeführt werden.
Bei dieser Risikobewertung wird abgeschätzt, welche Folgen die vorgesehene Datenverarbeitung für den Schutz der personenbezogenen Daten hat. Die Vorgehensweise ist nach Artikel 35 der DSGVO geregelt und schreibt vor, dass der Auftraggeber verpflichtet ist, den Datenschutzbeauftragten in den Vorgang einzubeziehen. Dieser dient als beratende und überwachende Instanz in Bezug auf ordnungsgemäße Schutzmaßnahmen.
Zuweisung von Zuständigkeiten
Der Datenschutzbeauftragte ist außerdem für die interne Zuweisung von Zuständigkeiten in Bezug auf datenschutztechnische Aufgaben verantwortlich. So sollen reibungslose Abläufe in der Umsetzung der DSGVO sichergestellt werden.
Schulung der Mitarbeiter
In den Aufgabenbereich des Datenschutzbeauftragten fällt außerdem die Überwachung des ordnungsgemäßen Umgangs mit personenbezogenen Daten seitens der Mitarbeiter. Hierzu ist er auch verpflichtet, die Mitarbeiter zu sensibilisieren, damit sie sich der datenschutzrechtlichen Anforderungen an ihre Aufgaben bewusst sind.
Wann muss ein Datenschutzbeauftragter benannt werden?
Gemäß der DSGVO sind viele Unternehmen, Behörden oder öffentliche Stellen dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Es nicht immer eindeutig, in welchen Fällen man als Unternehmen dieser Pflicht unterliegt. Anhand von zwei Kriterien kann die Geschäftsführung schon grob einschätzen (nicht abschließend), ob ein Datenschutzbeauftragter erforderlich ist:
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung von sensiblen Daten gemäß Art. 9 und Art. 10 DSGVO (bspw. in einem MVZ oder in einem Steuerbüro oder einer Anwaltskanzlei) oder das Unternehmen führt risikoreiche Datenverarbeitungen durch, etwa in Form einer umfassenden Videoüberwachungsanlage des Betriebsgeländes und/oder der Büroräume.
- Mindestens 20 Mitarbeiter in einem Unternehmen arbeiten regelmäßig und wiederkehrend mit personenbezogenen Daten (hierzu zählen Festangestellte, Hilfskräfte, Praktikanten, Leiharbeiter und freie Mitarbeiter)
Kommt ein Unternehmen seiner Pflicht zur Benennung eines Datenschutzbeauftragten nicht nach, droht ein Bußgeld von bis zu 10 Millionen Euro.
Auch wenn das Unternehmen nicht gesetzlich dazu verpflichtet ist, kann die Benennung eines Datenschutzbeauftragten sinnvoll sein. Die DSGVO muss nämlich auch eingehalten werden, wenn die oben genannten Kriterien nicht zutreffen. Um sich abzusichern und Haftungsrisiken zu minimieren ist daher für jedes Unternehmen empfehlenswert, freiwillig einen Datenschutzbeauftragten zu benennen.
Stellung des Datenschutzbeauftragten im Unternehmen
Die DSGVO sieht vor, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen zum Thema Datenschutz eingebunden werden muss. So soll sichergestellt werden, dass er seinen Aufgaben in allem Umfang nachkommen kann. Hierzu muss ihm Zugang zu allen erforderlichen Informationen und Verarbeitungstätigkeiten gewährt werden. Beim Erfüllen seiner Aufgaben unterliegt der Datenschutzbeauftragte der Geheimhaltungs- oder Vertraulichkeitspflicht.
Der Datenschutzbeauftragte muss seine Tätigkeiten völlig unabhängig ausführen können. Deshalb dürfen ihm gemäß DSGVO keine Anweisungen diesbezüglich erteilt werden. Er darf auch nicht aufgrund der Erfüllung seiner Aufgaben und Pflichten entlassen oder benachteiligt werden. Für interne Datenschutzbeauftragte besteht aus diesem Grund beispielsweise ein besonderer Kündigungsschutz.
Interner oder externer Datenschutzbeauftragter?
Die Tätigkeit eines Datenschutzbeauftragten kann einerseits von einem externen Dienstleister übernommen werden. Ein Unternehmen kann andererseits auch jemanden aus den eigenen Reihen benennen.
In jedem Fall sollte stets gewährleistet sein, dass dem Datenschutzbeauftragten ausreichend Mittel und Zeit zur Verfügung stehen, um seine Arbeit gründlich und gewissenhaft zu verrichten. Sind die Vorgänge und Aufgaben zu umfangreich und zeitintensiv, kann dem Datenschutzbeauftragten zusätzliches Personal zur Seite gestellt werden.
Interner Datenschutzbeauftragter
Ein interner Datenschutzbeauftragter ist bei dem Unternehmen angestellt, dass für die Datenverarbeitung verantwortlich ist. Der Vorteil eines internen Datenschutzbeauftragten liegt darin, dass dieser mit den Abläufen im Unternehmen vertraut ist und sich somit meist nicht erst in betriebliche Prozesse einarbeiten muss.
Entweder kann ein Mitarbeiter speziell für diese Position angestellt werden. Oder, wie es oft der Fall ist, ein Angestellter wird neben seiner vorhandenen Tätigkeit zusätzlich als Datenschutzbeauftragter ernannt. Hierzu sind in der Regel Fortbildungsmaßnahmen erforderlich, damit dem benannten Mitarbeiter ausreichend Fachwissen für das Ausführen seiner Arbeit zur Verfügung stehen. Außerdem muss beachtet werden, dass der Mitarbeiter nicht der IT- oder Personalabteilung sowie der Geschäftsführung angehören darf. Sonst würde ein Interessenkonflikt auftreten, da der Beauftragte sich selbst kontrollieren müsste.
Externer Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter stammt nicht aus dem Betrieb des Verantwortlichen oder Auftragsverarbeiters. Es handelt sich bei ihm um einen externen Datenschutzexperten, der von einem Unternehmen bestellt wird.
Anders als eventuell bei internen Beauftragten verfügen externe bereits über die erforderlichen Kenntnisse und Qualifikationen, und widmen sich ausschließlich ihrer Aufgabe als Datenschutzbeauftragter. Des Weiteren sind sie nicht nur für den Datenschutz in einem Unternehmen verantwortlich, sondern betreuen in der Regel auch weitere Kunden.
Unsere Leistungen als externer Datenschutzbeauftragter
Sie sind noch unsicher, welche datenschutzrechtlichen Vorgaben von Ihrem Unternehmen eingehalten werden müssen? Sie suchen nach einer praxisorientierten Datenschutzberatung und nach Datenschutzlösungen? Sie benötigen einen kompetenten externen Datenschutzbeauftragten?
Als Experte für Datenschutz und Datensicherheit stehen wir Ihnen mit qualifizierten externen Datenschutzbeauftragten zur Seite. Wir helfen Ihnen dabei, Ihr Unternehmen sicher für die Zukunft machen. Als externe Datenschützer bieten wir Ihnen größtmögliche Flexibilität.
Wir unterstützen Sie kompetent bei der Umsetzung der datenschutzrechtlichen Vorgaben der DSGVO, des BDSG und weiterer fachspezifischer Vorschriften. So können Sie optimal Ihren datenschutzrechtlichen Pflichten nachkommen und Ihre Haftungsrisiken minimieren.
Fazit
Für viele Unternehmen, Behörden oder öffentliche Stellen besteht die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten, ob intern oder extern. Dieser hilft ihnen beim DSGVO-konformen Umgang mit personenbezogenen Daten. Als Verantwortlicher für den Datenschutz nimmt er sowohl eine beratende als auch eine kontrollierende Funktion ein.
Der Datenschutzbeauftragte muss seine Tätigkeiten und Pflichten unabhängig verrichten können und darf dabei nicht behindert werden. Zu seinen Aufgaben zählt maßgeblich die Beratung bei allen datenschutzrechtlichen Angelegenheiten. Der Datenschutzbeauftragte muss die Datenverarbeitung in einem Unternehmen überwachen. Sobald die Rechte von betroffenen Personen oder Angestellten einem Risiko ausgesetzt sind, kommt der Datenschutzbeauftragte ebenfalls ins Spiel. Weiterhin zählen Risikobewertungen und Mitarbeiterschulungen in seinen Aufgabenbereich.
Diese Aufgaben können von einem internen oder externen Datenschutzbeauftragten übernommen werden. Interne Beauftragte sind meist bereits mit den Betriebsabläufen vertraut. Oftmals sind sie allerdings mit weiteren Aufgaben betraut und es fehlt ihnen an nötigem Fachwissen. Dieses bringen externe Datenschützer in der Regel mit. Es kann unter Umständen etwas länger dauern, bis sie sich in die Prozesse eines Unternehmens eingefunden haben. Dafür widmen sie ihre gesamte Aufmerksamkeit der Tätigkeit als Datenschutzbeauftragter und bringen durch die Arbeit mit diversen Kunden eine hohe Kompetenz mit.