Personen im Datenschutz: Der Datenschutzbeauftragte

Ein wichtiger Akteur im Datenschutz stellt, neben dem Verantwortlichen, der Datenschutzbeauftragte dar.

 

Gemäß Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn

 

1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

 

Ergänzend zu Art. 37 DSGVO sieht § 38 BDSG vor, dass der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennenhaben, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

 

Nach Art. 39 DSGVO nimmt der Datenschutzbeauftragte insbesondere foglende Aufgaben wahr:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2. Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
3. (auf Anfrage) Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Anlaufstelle für die Aufsichtsbehörde bei Fragen, die mit der Verarbeitung im Zusammenhang stehen (..).

 

Der Datenschutzbeauftragte kann unternehmensintern aus dem Mitarbeiterkreis ernannt werden oder in Form eines externen Datenschutzbeauftragten bestellt werden.

 

Der interne Datenschutzbeauftragte muss entsprechend für die Aufgaben als Datenschutzbeauftragter qualifiziert sein. Zudem genießt der interne Datenschutzbeauftragte besonderen Kündigungsschutz und muss frei von Interessenkollisionen sein. Die Geschäftsleitung oder der IT-Verantwortliche können beispielsweise keine interneren Datenschutzbeauftragte werden.

 

Zum anderen kann aber auch ein externer Datenschutzbeauftragter bestellt werden. Hierfür bieten sich Rechtsanwälte, IT-Sicherheitsfirmen und andere fachlich geeignete Unternehmen an.

 

Exkurs: Datenschutzbeauftragter – extern oder intern?

Wer nach Art. 37 DSGVO in Verbindung mit § 38 BDSG zwingend einen Datenschutzbeauftragten zu bestellen hat, hat insbesondere darauf zu achten, dass der Datenschutzbeauftragte die erforderliche Fachkunde hat, zuverlässig ist und tatsächlich den Datenschutz im Unternehmen sicherstellen kann.

Der Datenschutzbeauftragte ist vorrangig als Berater der Geschäftsführung und der Mitarbeiter anzusehen und muss sich ständig auf den aktuellen Stand sowohl in Bezug auf rechtliche als auch auf technische Maßnahmen zum Datenschutz halten.

 

Kurz: Der Datenschutzbeauftragte muss selbst regelmäßig Fort- und Weiterbildungen absolvieren.

 

Bei der Bestellung eines internen Datenschutzbeauftragten ist die Gefahr einer Überlastung bei der Auswahl und Entscheidung einzubeziehen. Auch die Kosten für die Fort- und Weiterbildungsmaßnahmen müssen bei der Entscheidung für einen internen Datenschutzbeauftragten einbezogen werden. Ein interner Datenschutzbeauftragter muss zusätzlich von der Arbeit freigestellt werden, sodass er die Aufgaben als Datenschutzbeauftragter wahrnehmen kann.

 

Diese Aspekte entfallen bei einem externen Datenschutzbeauftragten, da dieser selbst für seine Qualifizierung verantwortlich ist. Auch können innerbetriebliche Interessenkollisionen zwischen Datenschutzbeauftragten und Geschäftsführung, Personalabteilung oder der IT-Abteilung bei der Bestellung eines externen Datenschutzbeauftragten vermieden werden. Kunden können bei einem externen Datenschutzbeauftragten auf einen unabhängigen, kompetenten und vor allem unbefangenen Ansprechpartner zurückgreifen.

Ein weiterer Vorteil ist, dass externe Datenschutzbeauftragte auch nur befristet vertraglich gebunden werden können und ein besonderer Kündigungsschutz entfällt.

Als Rechtsanwältin und externe Datenschutzbeauftragte biete ich Beratung und Unterstützung beim Aufbau eines Sicherheitskonzeptes für den Datenschutz an, ich unterstütze bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) nach Art. 30 DSGVO und ich unterstütze und schule die Mitarbeiter bei der Umsetzung des Datenschutzes.