Existenzgründungsberatung: Erfolgreiches Business aufbauen

Der Datenschutzbeauftragte nach der EU-DGSVO – Sie haben Fragen?

Der Datenschutzbeauftragte (DSB) nimmt in der jetzt geltenden Datenschutzgrundverordnung (DSGVO) eine Schlüsselposition an der Schnittstelle zwischen Unternehmen, Behörden und Rechteinhabern ein. Noch immer haben Unternehmen viele Fragen zum DSB. Vor allem ist nicht immer klar, ob ein Unternehmen einen DSB benennen muss. Hier werden die wichtigsten Fragen beantwortet.

Die wichtigsten Fragen und Antworten zum DSB

Als Unternehmer wollen Sie vor allem wissen, wann Sie einen DSB benötigen, wer DSB werden kann und wie Sie ihn benennen.

1. Wann muss ein Unternehmen einen DSB benennen?

Beachten Sie bei der Beantwortung dieser Frage, dass hier nicht nur die DSGVO in Artikel 37, sondern auch das neue Bundesdatenschutzgesetz den rechtlichen Rahmen für den DSB setzen.

Nach § 38 DSGVO müssen alle Unternehmen, in denen mindestens 10 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind, einen DSB benennen. Außerdem sind nach Artikel 37 DSGVO auch Unternehmen zur Benennung verpflichtet, die als Kerntätigkeit besondere Kategorien von personenbezogenen Daten nach Artikel 9 DSGVO sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 10 DSGVO verarbeiten. Eine weitere Kerntätigkeit, an die die Benennungspflicht anknüpft, sind Verarbeitungsvorgänge, die eine umfangreiche Überwachung der betroffenen Personen notwendig machen.

2. Wer kann DSB werden?

Da ein betrieblicher Datenschutzbeauftragter unter anderem die Einhaltung der datenschutzrechtlichen Vorschriften überwacht, muss er/sie vor allem das notwendige Fachwissen im Datenschutzrecht und dessen Anwendung vorweisen können und die persönlichen Voraussetzungen für die Stellung und die Erfüllung der Aufgaben eines DSB haben. 

Das Niveau für das notwendige Fachwissen muss an den Verarbeitungen des betreuten Unternehmens und deren Risiken für die Rechte und Freiheiten der betroffenen Personen ausgerichtet sein. Der DSB sollte sich auch regelmäßig im Datenschutz weiterbilden, so dass es sich häufig auch aus diesem Grund anbietet einen externen DSB zu bestellen. Häufig eignen sich Juristen oder IT-Experten besonders gut für die Stellung als DSB. 

Der DSB muss seine Aufgaben unabhängig wahrnehmen können und darf keinem Interessenkonflikt unterliegen. Ein Interessenkonflikt liegt zum Beispiel dann vor, wenn der Datenschutzbeauftragte gleichzeitig im Management des Unternehmens tätig ist. Denn der DSB hat die Aufgabe den Datenschutz und somit die Entscheidungen der Managementebene in diesem Bereich zu überwachen.

3. Muss der DSB Mitarbeiter im Unternehmen sein?

Das Unternehmen kann zwischen einem externen und einem internen DSB wählen. Der externe DSB bietet viele Vorteile für das Unternehmen, weil er sich im Gegensatz zu einem Mitarbeiter, der auch noch andere Aufgaben hat, darauf konzentrieren kann sich das nötige Fachwissen anzueignen und immer auf dem neuesten Stand zu bleiben. Zudem wird er aufgrund eines selbstständigen Dienstleistungsvertrages tätig. Dieser ist leichter zu lösen als die kombinierte arbeitsrechtliche und datenschutzrechtliche Mitarbeiterstellung im Unternehmen. Mitarbeiter, die als DSB bestellt sind genießen nämlich einen besonderen Kündigungsschutz. 

4. Wie wird der DSB benannt?

Der DSB wird gegenüber der zuständigen datenschutzrechtlichen Aufsichtsbehörde in den Bundesländern benannt. Die Bundesländer halten meist elektronisch formalisierte Anmeldemöglichkeiten vor.

5. Was droht, wenn trotz der Verpflichtung hierzu kein DSB benannt wird?

Ist ein Unternehmen zur Benennung eines DSB verpflichtet und verletzt es diese Pflicht, kann dies zur Erhebung eines Bußgeldes führen. Da die DSGVO die Bußgelder empfindlich erhöht hat, ist hier mit Geldbußen in Höhe von bis zu 10.000.000 EURO oder 2 % des Vorjahresumsatzes zu rechnen.

____________________________________________________

Alexander Ingelheim ist als Geschäftsführer bei datenschutzexperte.de verantwortlich für die strategische Entwicklung des Unternehmens. Der zertifizierte Datenschutzbeauftragte (DEKRA) kann auf eine mehrjährige Tätigkeit in der internationalen Unternehmensberatung und als selbstständiger Unternehmer zurückblicken.