Der Datenschutzbeauftragte

Die Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten sind in den Artikeln 37, 38 und 39 DS-GVO EU-weit verbindlich geregelt.

Der Artikel 37 Abs. 4 DS-GVO enthält eine Öffnungsklausel, die es den Mitgliedsstaaten gestattet, die Benennung eines Datenschutzbeauftragten durch nationale Gesetze zu regeln. Deutschland hat dies im  Bundesdatenschutzgesetz (BDSG) geregelt.

Die Pflicht zur Benennung eines Datenschutzbeauftragten wird durch die Ergänzungen im § 38 "Datenschutzbeauftragte nichtöffentlicher Stellen" im BDSG zum Artikel 37 DS-GVO konkretisiert.

Das Unternehmen kann einen externen Datenschutzbeauftragten oder einen internen Mitarbeiter (in Voll- oder Teilzeit) mit der Aufgabe betreuen.

Benannte Datenschutzbeauftragte müssen immer der zuständigen Aufsichtsbehörde gemeldet werden, seine Kontaktdaten sind zu veröffentlichen (z. B. auf der Unternehmens-Website unter Datenschutzerklärung).

Benennungspflicht

Ein Unternehmen hat die Pflicht einen Datenschutzbeauftragten zu benennen:

  • wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden (zu den beschäftigten Personen zählen auch Angehörige der Geschäftsleitung, Beschäftigte in Voll- und Teilzeit, Auszubildende, Leiharbeitnehmer und Praktikanten) oder

es werden

  • Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DS-GVO unterliegen (gilt auch für ausgelagerte Verarbeitungen) oder
  • personenbezogene Daten
    • die geschäftsmäßig zum Zwecke der Übermittlung oder
    • zum Zwecke der anonymisierten Übermittlung oder
    • zum Zwecke der Markt- und Meinungsforschung
    verarbeitet.

Trifft einer der beiden letztgenannten Fälle zu, muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen immer ein Datenschutzbeauftragter benannt werden.

Interessenskonflikt

Das Unternehmen kann einen Mitarbeiter oder einen externen Datenschutzbeauftragten benennen. Ein Angehöriger des Unternehmens kann die Position des Datenschutzbeauftragten nur ausüben, wenn er dabei keinem Interessenskonflikt unterliegt und über das erforderliche Fachwissen verfügt.

Ein Interessenkonflikt wird immer angenommen, wenn der Angehörige die Verarbeitung personenbezogener Daten bestimmen oder wesentlich beeinflussen kann.

Kurzformel: "Der Prüfer kann nicht der Geprüfte sein."

Freiwillige Benennung

Ein Unternehmen kann freiwillig einen Datenschutzbeauftragten unter Ausschluss des Interessenkonflikts benennen. Sollte ein Unternehmen sich dazu entscheiden, so gelten für die Benennung, Stellung und Aufgaben die Vorgaben der Artikel 37 - 39 DS-GVO. Auftraggeber setzten bei Auftragsverarbeitern oft einen benannten Datenschutzbeauftragten voraus.

Abberufungs- und Kündigungsschutz

Für einen Datenschutzbeauftragten im nicht-öffentlichen Bereich gilt ein besonderer Abberufungs- und Kündigungsschutz. Dieser trifft aber nur zu, wenn die Benennung des Datenschutzbeauftragten verpflichtend für das Unternehmen ist.

Bußgeld

Ein Verstoß gegen die Benennungspflicht eines Datenschutzbeauftragten ist gem. Art. 83 Abs. 4 DS-GVO bußgeldbewehrt.

Die Gründe, die eine Pflicht zur Benennung eines Datenschutzbeauftragten auslösen, sind komplex und vielschichtig. Dazu haben wir für Interessierte die Checkliste Benennungspflicht Datenschutzbeauftragter mit allen Gründen, die eine Benennung bedingen, erstellt. Dazu stehen wir Ihnen für eine unverbindliche Beratung zur Verfügung, sprechen Sie uns an.

Lesen Sie dazu auch:

Datenschutz-Management-System, Über uns, Auftragsverarbeitung