Datenschutz
Der betriebliche Datenschutzbeauftragte
Durch die fortschreitende Verbreitung der Verarbeitung personenbezogener Daten sind die Gefahren von Datenschutzverstößen gestiegen. Um diese Gefahren zu begrenzen, misst der Gesetzgeber dem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB), das in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) seinen Niederschlag findet, eine große Bedeutung zu. Die wesentlichen Rechtsgrundlagen für den betrieblichen Datenschutzbeauftragten finden sich in den Artikeln 37 DSGVO bis 39 DSGVO und § 38 BDSG.
- 1. Wann und wie muss ein Datenschutzbeauftragter benannt werden?
- 2. Freiwillige Benennung eines Datenschutzbeauftragten?
- 3. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?
- 4. Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmen?
- 5. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?
- 6. Was droht bei Verstößen?
1. Wann und wie muss ein Datenschutzbeauftragter benannt werden?
Ein Datenschutzbeauftragter ist grundsätzlich zu benennen, wenn in einem Betrieb in der Regel mindestens zwanzig Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.
Unter personenbezogenen Daten sind alle Informationen und Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen.
In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der automatisierten Verarbeitung von Daten beschäftigten Personen zu benennen. Nämlich dann, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Das gleiche gilt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Ebenso ist die Benennung eines Datenschutzbeauftragten notwendig, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonders schützenswerter Daten besteht. In diesem Sinne besondere Kategorien von personenbezogenen Daten sind zum Beispiel gemäß Artikel 9 DSGVO solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO unterfallen diesem besonderen Schutzzweck.
Die Benennung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Handelt es sich um einen externen Datenschutzbeauftragten sollte über die Tätigkeit ein entsprechender Dienstleistungsvertrag mit allen wesentlichen Inhalten geschlossen werden.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, eine unternehmensinterne Bekanntmachung genügt nicht. Die Darstellung der Kontaktdaten auf einer uneingeschränkt zugänglichen Internethomepage dürfte hingegen genügen. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes zu melden. Die Auflistung der Aufsichtsbehörden finden Sie hier.
2. Freiwillige Benennung eines Datenschutzbeauftragten?
Es kann sinnvoll sein, für das eigene Unternehmen einen Datenschutz-beauftragten zu benennen, obwohl dies nach den zuvor genannten Grundsätzen nicht verpflichtend wäre.
Die Pflicht zur Erfüllung der Anforderungen der DSGVO trifft den Verantwortlichen nämlich in jedem Fall. Daher ist unter Umständen die freiwillige Benennung eines Datenschutzbeauftragten vorteilhaft, um entsprechende Anforderungen aus dem Datenschutz durch die Unterstützung geschulte Fachleute erfüllen zu können. Datenschutzbeauftragte – ob freiwillig oder gesetzlich vorgegeben benannt – können externe Personen aber auch interne Mitarbeiter sein. Für intern benannte Datenschutzbeauftragte greift ein strengeres Kündigungsrecht. Für freiwillig intern benannte Datenschutzbeauftragte gilt dieser besondere Kündigungsschutz des § 38 Absatz 2 BDSG i. V. m. § 6 Absatz 4 BDSG nicht.
3. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?
Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Artikel 39 DSGVO genannt:
- Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechten und Pflichten.
- Die Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen.
- Beratung bei der Datenschutz-Folgeabschätzung
- Unterstützung bei der Schaffung von Transparenz in der betrieblichen Datenverarbeitung
- Beratung und Prüfung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
- Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
- Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen
- Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes
- Zusammenarbeit und Ansprechpartner für die Aufsichtsbehörden
- Bei der Erfüllung seiner Aufgaben trägt er dem damit verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen hat.
4. Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmen?
Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:
- Die Geschäftsführung hat dem internen Datenschutzbeauftragten die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben (Freistellungspflicht).
- Dem internen Datenschutzbeauftragten sind die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä. zur Verfügung zu stellen. Zur Durchführung vertraulicher Gespräche sollten ggf. auch eigene Räumlichkeiten zur Nutzung überlassen werden (Nutzungsrechte). Dem externen Datenschutzbeauftragten sollte ein Ansprechpartner im Unternehmen zugeteilt werden.
- Dem Datenschutzbeauftragten ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen (Zugangs- und Einsichtsrechte).
- Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der Datenschutzbeauftragte rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann (Informationsrechte).
- Bei der Ausführung seiner Aufgaben unterliegt der Datenschutzbeauftragte keinen Weisungen (Weisungsfreiheit).
- Der interne Datenschutzbeauftragte ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar (Sonderkündigungsschutz).
- Nach Ablauf der Benennung ist der interne Datenschutzbeauftragte für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar (nachwirkender Sonderkündigungsschutz).
- Der Arbeitgeber ist verpflichtet, auf eigene Kosten dem internen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt (Kostenerstattungspflicht).
- Der interne Datenschutzbeauftragte ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist für interne und externe Datenschutzbeauftragte ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen (Informations- und Berichtspflicht).
- Der Datenschutzbeauftragte ist im Rahmen seiner Aufgaben zur Geheimhaltung verpflichtet (Geheimhaltungspflicht).
5. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?
Zum Datenschutzbeauftragten darf nur benannt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.
Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische Fähigkeiten sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.
Der Datenschutzbeauftragte ist nicht gehindert, im Unternehmen weitere Aufgaben und Pflichten wahrzunehmen. Es ist jedoch sicherzustellen, dass diese nicht zu einem Interessenkonflikt führen. Zur Vermeidung von Interessenskonflikten ist von einer Bestellung von folgenden Gruppen abzuraten:
- Geschäftsführern,
- Leitern von Personal-, Marketing- oder IT-Abteilungen sowie
- Betriebsratsmitgliedern.
Nicht zwangsläufig ist ein Mitarbeiter des Unternehmens zum Datenschutzbeauftragten zu benennen. Wie bereits erwähnt, besteht die Möglichkeit einen externen Berater zum Datenschutzbeauftragten zu benennen.
6. Was droht bei Verstößen?
Bei Verstößen gegen Vorschriften des Datenschutzrechts können Bußgelder drohen. Dies gilt auch für die Vorschriften über den Datenschutzbeauftragten, z.B. die Benennungspflicht oder Einhaltung der Rechte des Datenschutzbeauftragten. Bei Verstößen können Geldbußen bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Stand: August 2023