Datenschutz in Betrieben – Ein Leitfaden.
Beitrag von Rechtsanwalt Dr. Sebastian Kraska
19.12.2023 – Wann ist es sinnvoll, wann sogar verpflichtend, einen Datenschutzbeauftragten zu benennen und welche Optionen stellen sich für Unternehmen?
Benötige auch ich einen Datenschutzbeauftragten?
Jetzt kostenlos prüfen
Beratungstermin vereinbaren Kostenloser Datenschutz-CheckEigenkontrolle der verantwortlichen Stelle
Die Datenschutz-Grundverordnung (kurz: „DSGVO“) stellt in den Artt. 37 ff. DSGVO klar: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung datenschutzrechtlicher Vorschriften hin.
Mit der Einführung der DSGVO wird das Prinzip der Eigenverantwortung der Unternehmen im Bereich des Datenschutzes gestärkt. Nach der DSGVO ist das Unternehmen, vertreten durch die Geschäftsleitung, nicht nur für die Einhaltung der Datenschutzvorschriften verantwortlich, sondern muss auch aktiv nachweisen können, dass diese Vorschriften eingehalten werden. Diese Verantwortung umfasst die Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie die Führung entsprechender Nachweise. Die Funktion des weisungsunabhängigen und direkt der Geschäftsleitung unterstellten Datenschutzbeauftragten bleibt zentral, wobei die DSGVO die Anforderungen und Aufgaben des Datenschutzbeauftragten konkretisiert. Die Rolle der Datenschutzbehörden wird durch die DSGVO gestärkt, indem ihnen erweiterte Aufsichts- und Sanktionsbefugnisse eingeräumt werden, so dass ihre Kontrollfunktion eine zentrale Rolle im Datenschutzregime einnimmt.
Ein Datenschutzbeauftragter ist regelmäßig zu bestellen
Die Bestellung eines Datenschutzbeauftragten ist in Art. 37 DSGVO geregelt. Danach müssen Unternehmen und Organisationen, deren Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen besteht oder die umfangreichen besonderen Kategorien personenbezogener Daten verarbeiten, einen Datenschutzbeauftragten bestellen. Personenbezogene Daten sind nach Art. 4 DSGVO wie im BDSG als Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist unabhängig von der Organisationsform des Unternehmens und gilt für jede Art der Verarbeitung personenbezogener Daten, unabhängig von ihrer Rechtsgrundlage. –
Der deutsche Sonderweg
Um festzustellen, ob ein Datenschutzbeauftragter zu bestellen ist, muss zunächst auf die mit der Datenverarbeitung beschäftigte Personenanzahl abgestellt werden.
Bei einer automatisierten Verarbeitung muss keine Bestellung eines Datenschutzbeauftragen erfolgen, wenn in der Regel höchstens neunzehn Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 38 Abs. 1 BDSG).
Sinkt auf Grund der Reduzierung des Personalbestandes die Beschäftigtenanzahl nicht nur vorübergehend unter 20 Personen, so erlischt damit auch die Verpflichtung einen Datenschutzbeauftragten zu bestellen.
In die Berechnung sind auch diejenigen Personen mit einzubeziehen, die nur manchmal mit der Verarbeitung betraut sind. Voll- und Teilzeitbeschäftigte sind in die Berechnung gleichermaßen mit einzurechnen. Es ist darüber hinaus nicht relevant, ob die Datenverarbeitungsaufgaben von eigenen Angestellten, freien Mitarbeitern, Zeitarbeitern, Praktikanten oder Auszubildenden etc. ausgeführt werden.
In anderen Worten: Sollte das Unternehmen über 20 Computer-Arbeitsplätze verfügen, ist eine Bestellung obligatorisch.
Datenschutzbeauftragter auch bei besonderer Verarbeitungsaktivität nötig
Auch wenn ein Unternehmen die in der DSGVO genannten Kriterien für die verpflichtende Bestellung eines Datenschutzbeauftragten nicht unmittelbar erfüllt, kann es dennoch erforderlich sein, einen Datenschutzbeauftragten zu bestellen. Dies ist insbesondere dann der Fall, wenn das Unternehmen besondere Kategorien personenbezogener Daten verarbeitet, wie sie in Art. 9 DSGVO definiert sind. Darunter fallen Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Besondere Aufmerksamkeit ist Verarbeitungen zu widmen, die aufgrund ihres Umfangs, ihrer Art, ihres Kontexts oder ihrer Zweckbestimmungen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhalten. In solchen Fällen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich. Dies kann beispielsweise bei Unternehmen der Fall sein, die eine umfangreiche Videoüberwachung, eine intensive Datenanalyse zu Marketingzwecken oder eine Datenverarbeitung zur Mitglieder- oder Personalverwaltung betreiben.
Wenn Sie unsicher sind, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, empfehlen wir Ihnen, sich rechtlich beraten zu lassen, um sicherzustellen, dass Sie die Anforderungen der DSGVO erfüllen.
Wer darf zum Datenschutzbeauftragten bestellt werden?
Müssen Sie einen Datenschutzbeauftragten bestellen so stellt sich natürlich die Frage, wer zu diesem berufen werden kann.
Es kann hierbei sowohl ein eigener Mitarbeiter (so genannter „interner Datenschutzbeauftragter“) sowie auch eine externe Person (so genannter „externer Datenschutzbeauftragter“) bestellt werden.
Nach der DSGVO ist die Bestellung dabei zum einen an das Vorliegen einer gewissen Fachkunde sowie an die Zuverlässigkeit der Person geknüpft. Der Gesetzgeber hat aber kein festes Anforderungsprofil festgelegt.
Ob der Bestellte den Anforderungen genügt, muss damit am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden. Da sich die Verarbeitungstechnologie ständig fortentwickelt muss sich der Datenschutzbeauftragten laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren.
Schließlich sollte der Datenschutzbeauftragte auch über die nötigen rechtlichen Kenntnisse verfügen, um auch den Hintergrund der datenschutzrechtlichen Regelungen verstehen und darauf aufbauend die Konsequenzen für die verantwortliche Stelle richtig einschätzen zu können.
Fazit
Einen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen wenigstens 20 Personen mit der automatisierten Datenverarbeitung betraut sind oder einer der besonderen Fälle des Art. 37 DSGVO auf Ihr Unternehmen zutrifft.
Bei der Bestellung eines geeigneten Datenschutzbeauftragten beraten wir Sie gerne.