Datenschutzbeauftragte – Wer muss und wer darf nicht?

Viele Unternehmen machen den Fehler, den Geschäftsführer oder eine Führungskraft aus der IT-Abteilung zum Datenschutzbeauftragten zu ernennen. Dies mag auf den ersten Blick praktisch erscheinen, ist jedoch laut Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgeset (BDSG) nicht erlaubt. Der Grund ist einfach: Der Datenschutzbeauftragte hat die Aufgabe, das Unternehmen in Sachen Datenschutz zu überwachen. Wenn diese Person gleichzeitig Teil der Geschäftsführung ist, entsteht ein klarer Interessenkonflikt – der Datenschutzbeauftragte würde sich selbst kontrollieren. Selbst wenn alle anderen Aspekte des Datenschutzes im Unternehmen korrekt gehandhabt werden, kann allein dieser Fehler zu hohen Bußgeldern führen.

Die DSGVO und das BDSG schreiben vor, dass Unternehmen und Organisationen in bestimmten Fällen einen Datenschutzbeauftragten benennen müssen. Doch wann genau ist das der Fall? Hier die Gründe, welche für Unternehmen relevant sein könnten:

Wenn mindestens 20 Mitarbeitende in einem Unternehmen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich. Diese Regelung findet sich in § 38 Absatz 1 BDSG. Wichtig: Es reicht bereits, wenn Mitarbeitende Daten regelmäßig abrufen oder am Computer arbeiten. Dies ist der häufigste Grund, weswegen Unternehmen einen Datenschutzbeauftragten benennen müssen.

Unternehmen, deren Hauptaufgabe darin besteht, Personen regelmäßig und systematisch zu überwachen, müssen ebenfalls einen Datenschutzbeauftragten benennen. Ein Beispiel: Ein Unternehmen betreibt umfangreiche Videoüberwachung oder sammelt systematisch Daten über das Nutzerverhalten auf seiner Website. Diese Anforderung ergibt sich aus Artikel 37 Absatz 1 Buchstabe b DSGVO.

Verarbeitet ein Unternehmen regelmäßig sensible Daten, wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen, muss ebenfalls ein Datenschutzbeauftragter benannt werden. Beispiele dafür sind typischerweise Arztpraxen oder Krankenhäuser. Dies ist in Artikel 37 Absatz 1 Buchstabe c DSGVO festgelegt.

Unternehmen, die Verarbeitungen durchführen, die einer sogenannten Datenschutz- Folgenabschätzung (Artikel 35 DSGVO) unterliegen, müssen ebenfalls fast immer einen Datenschutzbeauftragten benennen. Denn die Umstände, die eine Datenschutz-Folgenabschätzung notwendig machen, führen meist dazu, dass die Kriterien aus Artikel 37 erfüllt sind und somit ein Datenschutzbeauftragter benannt werden muss.

Damit ein Datenschutzbeauftragter seine Aufgaben richtig erfüllen kann, muss er bestimmte Voraussetzungen erfüllen:

Der Datenschutzbeauftragte sollte ausreichend qualifiziert sein, insbesondere im Bereich des Datenschutzrechts und der Datenschutzpraxis. Dazu gehört auch ein technisches Verständnis, da viele Datenschutzfragen eng mit IT-Systemen
verbunden sind. Dies ist in Artikel 37 Absatz 5 DSGVO festgelegt.

Ein Datenschutzbeauftragter muss unabhängig arbeiten können. Das bedeutet: Er darf nicht in der Geschäftsführung oder der IT-Abteilung tätig sein. Denn ein Interessenkonflikt entsteht, wenn dieselbe Person gleichzeitig für den Datenschutz und für operative Geschäftsentscheidungen verantwortlich ist. Und damit wären wir wieder bei dem Problem, dass es noch viele Unternehmen gibt, die sich allein wegen eines Fehlers bei der Auswahl der Person des Datenschutzbeauftragten einem
unnötigen Risiko aussetzen.

Unternehmen, die keinen Datenschutzbeauftragten benennen, obwohl sie dazu verpflichtet sind, oder einen Datenschutzbeauftragten benennen, der den Anforderungen nicht entspricht, riskieren hohe Bußgelder. Gemäß Artikel 83 Absatz 4 DSGVO können Strafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Es ist wichtig, dass Unternehmen die Anforderungen an den Datenschutzbeauftragten ernst nehmen. Selbst wenn ein Datenschutzbeauftragter benannt wurde, sollten Sie sicherstellen, dass diese Person nicht in einem Interessenkonflikt steht und die gesetzlichen Anforderungen erfüllt. Andernfalls riskieren Sie Bußgelder – und das oft nur aus dem Grund, dass der Datenschutzbeauftragte unabsichtlich falsch gewählt wurde. Überprüfen Sie also unbedingt die interne Struktur und stellen Sie sicher, dass Ihr Datenschutzbeauftragter unabhängig (auch wenn es natürlich ein Arbeitnehmer sein darf), fachkundig und gut qualifiziert ist.

Cornelius Matutis, Rechtsanwalt, Matutis Rechtsanwälte, Potsdam