Gesetzliche Vorgaben zur Benennung eines Datenschutzbeauftragten
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) wurde das Konzept der Datenschutzbeauftragten auf europäischer Ebene etabliert. Die Pflicht zur Benennung eines Datenschutzbeauftragten betrifft nunmehr in Europa Unternehmen je nach deren (Kern-) Tätigkeitsgebieten bzw. Größe. Besonders Unternehmen, die umfangreiche Verarbeitungen besonderer Daten oder Datenverarbeitungen durchführen, müssen einen betrieblichen Datenschutzbeauftragten benennen.
In Deutschland wurden die Pflichten zur Benennung eines Datenschutzbeauftragten für nicht-öffentliche Unternehmen in § 38 Bundesdatenschutzgesetz (BDSG) konkretisiert. Hier wurde festgelegt, dass ein Datenschutzbeauftragter zu benennen ist, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Auch wurde in § 38 BDSG festgelegt, dass ein Datenschutzbeauftragter dann zu benennen ist, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Alternativen zur Benennung eines Datenschutzbeauftragten
Konzernen und Unternehmen stehen zwei Möglichkeiten offen ihrer Benennungspflicht nachzukommen. Entweder sie ernennen einen Mitarbeiter zum internen Datenschutzbeauftragten oder es wird ein externer Datenschutzbeauftragter benannt. Bei der Entscheidungsfindung sollten Konzerne bzw. Unternehmen einerseits darauf achten, der potenzielle Datenschutzbeauftragte keinem Interessenskonflikt unterliegt; weil er als Mitarbeiter der IT-Abteilung, Personalabteilung oder der Geschäftsführung sich selbst kontrollieren müsste.
Andererseits ist für die Übernahme der Verantwortung des Datenschutzbeauftragten eine spezifische Fachkunde im Bereich des Datenschutzrechts und der IT-Sicherheit erforderlich, die die Auswahl schwer machen werden. Somit stellt die Benennung eines externen Datenschutzbeauftragten für viele Konzerne und Unternehmen eine sehr gute Alternative dar, da sowohl ein Interessenkonflikt als auch die fehlende Fachkunden ausgeschlossen werden können.
Aufgaben eines Datenschutzbeauftragten
Zu den Aufgaben des Datenschutzbeauftragten zählen:
- Unterrichtung und Beratung des Verantwortlichen und Auftragsverarbeiter hinsichtlich seiner Pflichten nach den gesetzlichen Datenschutzvorschriften
- Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter
- Grundsätzliches Hinwirken auf die Einhaltung aller für den Konzern bzw. das Unternehmen relevanten Datenschutzvorschriften
- Beratende Funktion bei allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragestellungen
- Überprüfung von Verarbeitungsvorgängen und der dazugehörigen Einhaltung des Schutzes personenbezogenen Daten
- Beratung und Überwachung bei der Durchführung von Datenschutz-Folgenabschätzungen
- Zusammenarbeit mit der Aufsichtsbehörde
Sanktionen
Versäumt ein Konzern bzw. ein Unternehmen vorsätzlich oder fahrlässig die Benennung eines betrieblichen Datenschutzbeauftragten, stellt dies eine bußgeldbewehrte Ordnungswidrigkeit dar.
