Wann muss ein Datenschutzbeauftragter bestellt werden?
Eine ganz wesentliche Pflicht aus der DSGVO ist die Pflicht zur Benennung eines Datenschutzbeauftragten, der neuerdings auch bei der Aufsichtsbehörde gemeldet werden muss. Ein Verstoß gegen diese Verpflichtung kann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzernjahresumsatzes geahndet werden.
Eine ganz wesentliche Pflicht aus der DSGVO ist die Pflicht zur Benennung eines Datenschutzbeauftragten, der
neuerdings auch bei der Aufsichtsbehörde gemeldet werden muss. Ein Verstoß gegen diese Verpflichtung kann mit einem
Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzernjahresumsatzes
geahndet werden.
Die Grundsätzliche Regelung zur Benennung eines Datenschutzbeauftragten findet sich in Art. 37 DSGVO. Für
Unternehmen ergibt sich daraus die Pflicht, einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit des
Unternehmens in der Durchführung von risikobehaftetet Verarbeitungsvorgängen besteht. Genauso besteht eine
Benennungspflicht, wenn das Unternehmen umfangreiche Verarbeitungen von besonders sensiblen Daten (z.B.
Gesundheitsdaten) vornimmt. Diese Voraussetzungen liegen nur selten vor.
Daneben besteht aber auf Grundlage von § 38 BDSG die Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn
in dem Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigt sind. Diese nur in Deutschland geltende Regelung ist der häufigste Grund, warum
ein Datenschutzbeauftragter benannt werden muss.
Fachkunde des Datenschutzbeauftragten
Der Datenschutzbeauftragte muss über ausreichende Fachkunde auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis verfügen. Er muss auf dieser Grundlage in der Lage sein, seine ihm von der DSGVO zugedachten Aufgaben zu erfüllen. Die ausreichende Fachkunde muss z.B. der Aufsichtsbehörde gegenüber auf Verlangen nachgewiesen werden. Der Datenschutzbeauftragte muss seine Fachkunde auch regelmäßig durch Fortbildungen auf aktuellem Stand halten.
Interner oder externer Datenschutzbeauftragter?
Es kann sowohl ein interner als auch ein externer Datenschutzbeauftragter benannt werden. Bei der Benennung eines internen Datenschutzbeauftragen ist besonders darauf zu achten, dass der Mitarbeiter über ausreichende Fachkunde verfügt und diese durch Fortbildungen aktuell hält. Er muss einen angemessenen Teil seiner Arbeitszeit auf seine Tätigkeit als Datenschutzbeauftragter verwenden können. Schließlich erhält der Mitarbeiter einen besonderen Kündigungsschutz, ähnlich dem eines Betriebsrates. Der externe Datenschutzbeauftragte wird in der Regel auf Basis eines Dienstvertrages mit einer Mindestvertragslaufzeit von ein bis zwei Jahren für das Unternehmen tätig. Er steht dafür ein, dass er über ausreichende Fachkunde verfügt und sich regelmäßig fortbildet. Einen Kündigungsschutz gibt es nicht.
Aufgaben des Datenschutzbeauftragten
Zu den Aufgaben des Datenschutzbeauftragten gehört die Unterrichtung und Beratung der Geschäftsführung des Unternehmens und der Beschäftigten. Er hat außerdem die Aufgabe, die Mitarbeiter des Unternehmens regelmäßig zum Thema Datenschutz zu schulen. Soweit erforderlich, berät der Datenschutzbeauftragte auch bei der Durchführung von Datenschutz-Folgenabschätzungen. Schließlich ist der Datenschutzbeauftragte für die Zusammenarbeit mit der Aufsichtsbehörde zuständig.