Der Datenschutzbeauftragte

Bestellung eines Datenschutzbeauftragten (DSB) bei mehr als 20 

Nach § 4f BDSG i.V.m. §38 BDSG muss ein Datenschutzbeauftragter im Unternehmen ernannt werden, soweit mindestens 20 Beschäftigte im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

  • Das ist schnell der Fall, wenn 20 Personen intern oder extern Kunden-E-Mails bearbeiten oder einsehen.
  • Vorsicht: hierbei werden auch externe Beschäftigte hinzugezählt, wenn diese als Dienstleister mit der Bearbeitung der Personendaten befasst sind – z.B. wenn man die Buchhaltung outsourct.
Sonderfall, besonders sensible Daten: 

In Sonderfällen nach § 38 Abs.1 S.2 BDSG gilt dies allerdings schon bei einer geringeren Zahl (weniger als 20), wenn aufgrund der Besonderheit der erhobenen Daten die Risikolage relativ hoch ist. Das gilt abschließend für Handlungen des Unternehmens:

  • wenn Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegen
  • wenn Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung,
Sachkunde:

Der Datenschutzbeauftragte muss die erforderliche Sachkunde und Zuverlässigkeit besitzen.

  1. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden
  2. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei.
Plficht der Unternehmen, einen Datenschutzbeauftragten zu Bestellen

Neu: Art. 37 DSGVO regelt nun die Pflicht zur Bestellung eines Datenschutzbeauftragten auch in der DSGVO:

Art. 37 Abs. 1 Buchst. a) DS-GVO: Dieser betrifft die personenbezogene Datenverarbeitung durch eine Behörde oder öffentliche Stelle.

Für private Unternehmen gelten:

  • 37 Abs. 1 Buchst. b) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

Ein Beispiel für Kerntätigkeiten in diesem Sinne: Wenn ein Unternehmenszweck darin besteht, dass Kundenmarketing aufgrund von detaillierten Kundendaten betrieben wird.

  • Und Art. 37 Abs. 1 Buchst. c) DS-GVO: Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO)

Ein Beispiel für eine Kerntätigkeit mit solch sensiblen Daten: Wenn ein Unternehmen zweckgemäß in der Gesundheitsbranche tätig ist und mit diagnostisch von einem Arzt festgestellten Gesundheitsdaten von Patienten umgeht.

Aufgaben des Datenschutzbeauftragten

Seine Aufgabe waren bisher im BDSG in § 4g Abs. 1 geregelt:

Überwachung der Einhaltung des Datenschutzes:

Zum einen soll der DSB die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe  personenbezogene Daten verarbeitet werden überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,

Unterrichtung und Beratung:

Er hat die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

Sachkunde des Datenschutzbeauftragten

Neu: Nach Art. 39 DSGVO erweitern sich die Aufgaben des Datenschutzbeauftragen mit der neuen DSGVO erheblich:

Grob gesprochen muss der Datenschutzbeauftragte selbst vorgebildet sein, sozusagen ein Experte auf dem Gebiet des Datenschutzes. Dieser stellt Anforderungen hinsichtlich juristischer Grundlagen und technischer-organisatorischer Kenntnisse.

  1. Neu: Er muss das Datenschutzrecht beherrschen und auch die Verträge im Rahmen der Auftragsverarbeitung verstehen.
  2. Neu: Er muss sich mit TOM auskennen, das heißt technisch und organisatorisch im Bereich Datenschutz Maßnahmen einsetzen und organisieren können.
  3. Neu: Er muss eine Datenschutz-Folgenabschätzung vornehmen können, hier ist er Ansprechpartner für die Unternehmensverantwortlichen, die hierfür den Kontakt zu ihm halten müssen.
  4. Er ist Berater und Koordinator hinsichtlich der spezifisch Datenschutzrechtlichen Fragen von Mitarbeitern und der Geschäftsleitung.
  5. Neu: Der DSB nimmt  seine  Aufgaben  nach    39  Abs. 2 DSGVO risikoorientiert wahr. Er trägt bei der Erfüllung  seiner  Aufgaben  dem  mit  den  Verarbeitungsvorgängen   verbundenen   Risiko   gebührend   Rechnung, wobei er die Art,  den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Die Verantwortung des DSB:

Die Verantwortung für ordnungsgemäßen Datenschutz im Sinne der DSGVO trägt nach wie vor die Leitung des Unternehmens (AG-Vorstand, Vereinsvorstand, Geschäftsführung etc.), nicht der DSB. Neu: Dennoch gehört es auch zu den Aufgaben des DSB seine Tätigkeiten  in  angemessener  Weise zu dokumentieren (Nachweise, dass  er  seinen  Aufgaben nachkommt, insbesondere der Unterrichtung  und  Beratung).

Die wiederkehrenden Arbeiten des DSB:

Es empfielt sich ein praktikables System zur Erhaltung der Datensicherheit einzurichten

  • Datensicherheit systemisch managen: Befund – Datenschutz umsetzen – laufend kontrollieren/anpassen

Dies kann wird man sinnvollerweise durch die Einrichtung eines PDCA-Cyclus (Plan-Do-Check-Act) erreichen. Datenschutzrechtliche Maßnahmen werden geplant durch Definition der Aufgabenstellung und Ziele (Plan), darauf erfolgt die Umsetzung der Planung und die Dokumentation (Do). Ferner gilt es mittels Stickproben und Soll-Ist-Analysen (Check) zu überwachen, sowie ständig die Maßnahmen zu optimieren mittels Anpassung (Akt).

Nachweispflichten „Rechenschaftspflicht“

  • Führen eines Datenschutzhandbuches
  • Verzeichnis der Verarbeitungstätigkeiten, Verfahrensverzeichnis
Die Stellung des DSB im Unternehmen

Diese ergibt sich aus § 6 Abs. 4 i. V. m. § 38 Abs. 2 BDSG: Der Verantwortliche oder der Auftragsverarbeiter muss die Weisungsfreiheit des DSB bei der Erfüllung seiner Aufgaben sicherstellen. Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der DSB berichtet unmittelbar der höchsten Leitungsebene (Art. 38 Abs. 3 S. 3 DSGVO).

In diesem Zusammenhang weisen wir auf weiterführende Fragestellungen hin unter:

->FAQ zum Thema Datenschutz im Unternehmen