Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: In welchen Fällen muss ein Datenschutzbeauftragter benannt werden?

Ob ein Datenschutzbeauftragter (DSB) im Unternehmen bestellt werden muss, ist eine der häufigen Fragen, die im Zusammenhang mit der DSGVO gestellt werden. Oft ist auch nicht klar, welche Funktionen und Aufgaben mit dieser Rolle im Betrieb einhergehen.

Dieser Beitrag gibt einen Überblick, wann für Unternehmen die Pflicht besteht, einen DSB zu bestellen, welche Aufgaben er hat und worauf bei seiner Bestellung zu achten ist.

Ab wann Pflicht?

Es ist Pflicht, einen DSB zu bestellen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind

oder unabhängig von der Anzahl der Personen,

  • wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d Art. 35 DSGVO unterliegen oder
  • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Grundsätzlich wird auch ein DSB benötigt,

  • wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen

oder die

  • Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien besteht (z.B. solche die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren).

Funktion und Aufgaben des DSB

Der DSB ist der Ansprechpartner für alle Fragen rund um den Datenschutz im Betrieb. Er muss u.a. die Einhaltung relevanter Datenschutzvorschriften gewährleisten, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten.

Dies bedeutet jedoch nicht, dass er sich um den gesamten betrieblichen Datenschutz selbst kümmert. Er ist berechtigt, Aufgaben zu delegieren und zu überwachen. Entscheidend für seine Tätigkeit ist die Übernahme der Verantwortung. Er sensibilisiert und schult andere Mitarbeiter in allen Fragen rund um den Datenschutz.

Der DSB arbeitet mit der Datenschutzbehörde zusammen. Zwar ist er nicht verpflichtet, sich freiwillig dort zu melden, falls ihm im Unternehmen etwas auffällt. Kontaktiert ihn aber die Behörde aufgrund einer Beschwerde, muss er helfen, den Fall aufzuklären.

Er ist Ansprechpartner für betroffene Personen. Geht zum Beispiel ein E-Mail-Anhang mit persönlichen Daten an den falschen Adressaten und der Betroffene bekommt das mit, kann er sich beim Datenschutzbeauftragten beschweren und nachfragen.

Sämtliche Aufgaben des DSB sind in Art. 39 DSGVO aufgelistet.

Externer oder interner DSB?

Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein (interner Datenschutzbeauftragter), aber auch ein externer Dienstleister (externer Datenschutzbeauftragter). Der Unternehmensinhaber oder Geschäftsführer dürfen nicht das Amt des Datenschutzbeauftragten ausüben, da in diesem Fall ein Interessenskonflikt bestehen könnte. Gleiches gilt auch für den Leiter der IT-Abteilung.  Voraussetzung für die Bestellung ist, dass der Datenschutzbeauftragte die entsprechenden Fachkenntnisse auf dem Gebiet des Datenschutzes besitzt.

Die Kontaktdaten des DSB sind auf der Unternehmens-Webseite zu veröffentlichen und sind der jeweiligen Landesdatenschutzbehörde zu melden. Die Angaben können per Post, Fax oder E-Mail an die Aufsichtsbehörde übermittelt werden. Einige Aufsichtsbehörden bieten auf ihren Webseiten bereits elektronische Formulare hierfür an.

Stellung im Unternehmen

Der DSB arbeitet weisungsunabhängig und genießt Kündigungsschutz (nur eine fristlose Kündigung aus wichtigem Grund ist möglich). Ihm muss Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen im Betrieb gegeben werden. Er muss dabei unterstützt werden, seine Aufgaben zu erfüllen, beispielsweise indem er regelmäßig Fortbildungen besucht und ihm das notwenige Zeitbudget zur Erfüllung seiner Aufgaben eingeräumt wird.

Rechtsfolge bei Verstößen

Sollte nach dem geltenden Datenschutzrecht die Verpflichtung bestehen, einen DSB zu bestellen und wird dieser Pflicht nicht nachgekommen oder ein DSB wurde zwar korrekt bestellt und entfaltet aber keine Tätigkeit als DSB („Scheinbestellung“), kann die Aufsichtsbehörde hohe Bußgelder verlangen. Diese können bis zu 100.000 Euro oder bis zu 2% des Jahresumsatzes betragen. Ein Verstoß, der mit einem Bußgeld geahndet werden kann, liegt auch vor, wenn bei dem bestellten DSB aufgrund einer unzulässigen Interessenkollision die notwendige Zuverlässigkeit fehlt (z.B. Leiter der IT-Abteilung wird zum DSB bestellt).

Fazit

Angesichts der empfindlich hohen Bußgeldern sollten Unternehmen sorgfältig prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen oder nicht.

Da von Datenschutzbeauftragten auch die Kontaktdaten veröffentlicht werden müssen (bspw. in der Datenschutzerklärung auf der Website), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO

Kostenloses Whitepaper:
Die Technischen und organisatorischen Maßnahmen nach der Datenschutz-Grundverordnung

Mithilfe der TOM sollen Unternehmen insbesondere sicherstellen, die Datenschutzgrundsätze der DS-GVO einzuhalten

Dieses Whitepaper erklärt Schritt für Schritt welche Massnahmen Unternehmen ab 25.5.2018 zwingend ergreifen müssen.


Zum Whitepaper

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com