Dieser Beitrag wird in Kürze aktualisiert. Solange möchten wir Sie darauf hinweisen, dass einzelne Informationen in diesem Artikel veraltet sein könnten.
Der betriebliche Datenschutzbeauftragte
Noch immer verstoßen zahlreiche Unternehmer und nicht-öffentliche Stellen gegen die Pflicht einen betrieblichen Datenschutzbeauftragten zu bestellen. Darunter Ärzte, Steuerberater, Taxi- und Mietwagenbetriebe, Unternehmensberater, Vereine, Detekteien, Jobbörsenbetreiber, Internet Startups usw.
Viele Unternehmen und Vereine in Deutschland verletzen tagtäglich datenschutzrechtliche Pflichten. Denn nach geltendem Recht haben nicht-öffentliche Stellen unter bestimmten Voraussetzungen einen Beauftragten für den Datenschutz zu bestellen. Wer hiergegen verstößt, muss mit massiven Bußgeldern rechnen.
Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?
Geht man davon aus, dass der deutsche Gesetzgeber von der Möglichkeit in Art. 32 Abs. 1 Satz 2 Richtlinie 95/46/EG des Europäischen Parlaments (der sogenannten „Öffnungsklausel“) Gebrauch machen wird, so sind Unternehmen künftig zur Bestellung eines betrieblichen Datenschutzbeauftragten nicht nur dann verpflichtet, wenn zu den Kernaktivitäten des Unternehmens die umfangreiche regelmäßige Überwachung von Betroffenen und die Verarbeitung sensitiver Daten zählen. Vielmehr müssen nicht-öffentliche Stellen auch dann einen Beauftragten für den Datenschutz bestimmen, wenn in dem Betrieb in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Personenbezogene Daten in diesem Sinne sind beispielsweise Name, Alter, Familienstand, Geburtsdatum, E-Mail Adresse, Anschrift, Telefonnummer, Kontonummer, Kfz-Kennzeichen, Personalausweisnummer, Sozialversicherungsnummer, Krankendaten, Zeugnisse etc.
Immer dann, wenn nicht-öffentliche Stellen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen betrieblichen Datenschutzbeauftragten zu bestellen.
Demgetreu kommt es bei der der Pflicht zur Bestellung eines Datenschutzbeauftragten nicht mehr vorrangig nur auf die Mitarbeiterzahl, sondern zumindest (auch) auf die Aktivitäten des Unternehmens an.
Wird der Gesetzgeber von der Öffnungsklausel Gebrauch machen?
Hierüber kann nur spekuliert werden. Da aber wahrscheinlich nicht viele Unternehmen die Voraussetzungen aus Art. 37 DSGVO erfüllen werden, gehe ich davon aus, dass der Gesetzgeber die sogenannte „Öffnungsklausel“ nutzt, um das hohe Datenschutzniveu in Deutschland zu erhalten (zu dem unweigerlich auch die Bestellungspflichten beitrugen).
Was ist bei der Bestellung eines Datenschutzbeauftragten zu beachten?
Grundsätzlich ist der Datenschutzbeauftragte der Geschäftsleitung unmittelbar zu unterstellen. Er agiert bei der Ausübung seines Amtes weisungsfrei und muss für die Erfüllung der Aufgabe und Erhaltung seines Fachwissens alle notwendigen Ressourcen zur Verfügung gestellt bekommen.
Das Unternehmen kann hierbei zwischen einem betrieblichsinternen und einem externen Datenschutzbeauftragten wählen.
Datenschutzbeauftragter muss fachkundig sein
In jedem Falle darf zum Beauftragten für den Datenschutz nur derjenige bestellt werden, der die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
Betrieblicher oder externer Datenschutzbeauftragter?
Bei der Bestellung eines Datenschutzbeauftragten muss entschieden werden, ob dieser bereits Mitarbeiter des Betriebs ist, oder ob eine externe Person beauftragt werden soll. Beide Alternativen bieten ihre Vor- und Nachteile. Nicht wenige Unternehmen entscheiden nach reiflicher Abwägung zur Bestellung eines betriebsexternen Datenschutzbeauftragten. Zumeist geben Kündigungsschutz- und Freistellungsaspekte sowie Kostengründe den Ausschlag. Darüber hinaus weisen externe Datenschutzbeauftragte nicht selten eine hohe Fachkompetenz in datenschutzrechtlichen Fragen auf.
Was sind die Aufgaben eines betrieblichen Datenschutzbeauftragten?
Zu den Aufgaben eines Datenschutzbeauftragten gehören u.a. die Schulung der Mitarbeiter, die Sensibilisierung für den Schutz personenbezogener Daten, die Prüfung einzelner Datensicherungsmaßnahmen, die Kontrolle von Protokolldaten, die Überprüfung der Auftragsdatenverarbeitung, die Stellungnahme auf Auskunftsersuchen Betroffener, Empfehlungen zur Zulässigkeit der Übermittlung von Daten in Drittstaaten, die Bewertung von Videoüberwachung in öffentlich zugänglichen Bereichen und am Arbeitsplatz die Bewertung der Regelungen zur Mitarbeiterkontrolle, die Prüfung der Rechtmäßigkeit einer Profilbildung sowie die Datennutzung zu Marketing- und Werbezwecken. Weiterhin stellt der betriebliche Datenschutzbeauftragte auch die Zusammenarbeit mit den Aufsichtsbehörden sicher.
Geldbuße bei fehlender Bestellung eines Datenschutzbeauftragten
Sollte ein Unternehmen gegen seine Pflicht einen Datenschutzbeauftragten zu bestellen, verstoßen, so muss es mit einer Geldbuße von bis zu 50.000 € rechnen.
Unternehmen müssen über Datenschutzbeauftragten informieren
Datenverarbeitende Unternehmen müssen gem. § 14 Abs. 4 des Referentenentwurfs zum ABDSG Angaben zum Datenschutzbeauftragten veröffentlichen. Als verantwortliche Stelle oder Auftragsverarbeiter sind Angaben zur Erreichbarkeit der oder des Beauftragten für den Datenschutz zu veröffentlichen. Zudem ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit über den betriebsinternen Beauftragten für Datenschutz in Kenntnis zu setzen. Auch ein Wechsel des Datenschutzbeauftragten ist der Behörde anzuzeigen.