Datenschutzbeauftragter und DSGVO: Anforderungen und Aufgaben /fileadmin/_processed_/2/1/csm_Datenschutzbeauftragter_800_400_8c461ccf8d.jpg 2019-06-04 Lexware

Datenschutzbeauftragter und DSGVO: Anforderungen und Aufgaben

Aufgaben eines Datenschutzbeauftragten nach DSGVO
Von Michael Rohrlich, Rechtsanwalt und zertifizierter Datenschutzbeauftragter (DSB-TÜV)
Aktualisiert am: 04.06.2019

Die Frage, wer denn nun einen Datenschutzbeauftragten haben muss und wer nicht, muss in zwei Schritten beantwortet werden. Denn hierzu gibt es nicht nur Regelungen in der EU-Datenschutzgrundverordnung (DSGVO), sondern auch eine Konkretisierung im neuen Bundesdatenschutzgesetz (BDSG). In diesem Artikel erfahren Sie außerdem, welche Anforderungen ein Datenschutzbeauftragter erfüllen muss, was seine Aufgaben sind und welches Haftungsrisiko er trägt.

Vorgaben der Datenschutzgrundverordnung (DSGVO)

Gemäß den Vorgaben der DSGVO müssen Sie in Ihrem Unternehmen dann einen Datenschutzbeauftragten haben, wenn Ihre Kerntätigkeit in einer „umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen“ oder in der Verarbeitung besonders sensibler Daten besteht. „Kerntätigkeit“ betrifft dabei sozusagen das Hauptgeschäft, mit dem das Unternehmen am Markt auftritt. Rein interne Verarbeitungsvorgänge, wie z.B. das Führen der Personalakten, gelten nicht als Kerntätigkeit in diesem Sinne.

Die Benennungspflicht würde also z.B. auf ein Detektivbüro, ein Online-Werbenetzwerk, ein Krankenhaus oder einen IT-Dienstleister für den Gesundheitssektor zutreffen. Dagegen fällt etwa die Verarbeitung von Mitarbeiterdaten oder auch die Videoüberwachung des eigenen Firmenparkplatzes nicht darunter.

Vorgaben des neuen Bundesdatenschutzgesetzes (BDSG 2018)

Der deutsche Gesetzgeber hat in der angepassten Fassung des Bundesdatenschutzgesetzes, die ebenfalls am 25. Mai 2018 in Kraft getreten ist, die alten BDSG-Regelungen zum Datenschutzbeauftragten weitgehend beibehalten. Diese sehen die Pflicht zur Benennung in folgenden Fällen vor:

  • Mindestens 10 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst.
  • Für bestimmte Datenverarbeitungsvorgänge besteht eine Pflicht zur Datenschutz-Folgenabschätzung.
  • Es erfolgt eine geschäftsmäßige Übermittlung von Daten.
  • Es wird Markt- bzw. Meinungsforschung betrieben.

Wenn Sie also kein Adresshändler oder ähnliches sind, keine Markt- oder Meinungsforschung betreiben und auch kein hohes Risiko bei Ihren Verarbeitungsvorgängen haben, dann greift für Sie die Grenze von 10 Mitarbeitern. Hierbei zählt jede beschäftigte Person, unabhängig von Vollzeit- oder Teilzeitvertrag, egal ob Azubi, leitende oder keine leitende Position etc. Da heutzutage – von wenigen Ausnahmefällen abgesehen – nahezu alle Mitarbeiter zumindest auch mit der Verarbeitung von personenbezogenen Daten im Sinne der DSGVO befasst sind, sollte man im Zweifel tatsächlich alle Mitarbeiter mitzählen.

Lockerung der Regelung zum Datenschutzbeauftragten

Am 27. Juni 2019 hat der Bundestag einige Neuregelungen zum Datenschutz beschlossen. Unter anderem wird die Grenze angehoben, ab der ein Datenschutzbeauftragter benannt werden muss. Künftig besteht diese Pflicht erst, wenn sich mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befassen. Der Bundesrat muss dieser Änderung allerdings erst noch zustimmen.

Anforderungen an den Datenschutzbeauftragten

Grundsätzlich kann jeder zum Datenschutzbeauftragten benannt werden. Eine amtlich anerkannte Ausbildung gibt es hierfür nicht. Aber selbstverständlich werden an einen Datenschutzbeauftragten bestimmte Anforderungen gestellt. Dazu gehören insbesondere die folgenden:

  • Fähigkeit zur Erfüllung seiner Aufgaben
  • keine Interessenskollision
  • berufliche Qualifikation
  • Fachwissen in Datenschutzrecht und Datenschutzpraxis

Welchen Umfang das Fachwissen dabei genau haben muss und wie es erlangt wird, ist nicht vorgeschrieben. Möglich sind in diesem Rahmen u.a. die Teilnahme an Fortbildungsveranstaltungen, das Lesen von Fachliteratur, die Nutzung von E-Learning-Angeboten oder auch die Kombination all dieser Angebote.

Außerdem darf keine Interessenskollision vorliegen, d.h. es darf nicht zu der Situation kommen, dass sich der Datenschutzbeauftragte sozusagen selbst kontrollieren muss, weil er in einer Person zwei Funktionen ausübt. Dies ist insbesondere bei Mitgliedern der Geschäftsführung, Abteilungsleitern, Geldwäschebeauftragten, externen Anwälten oder Wirtschaftsprüfern der Fall. Ob auch bei Betriebsratsmitgliedern eine Interessenskollision vorliegt, ist momentan noch strittig.

Stellung des Datenschutzbeauftragten

Folgende Aspekte beschreiben die Tätigkeit bzw. den Status eines Datenschutzbeauftragten: Er ist weisungsfrei, aber nicht weisungsbefugt. Darüber hinaus berichtet der Datenschutzbeauftragte unmittelbar an die höchste Managementebene, unterliegt der Geheimhaltungspflicht und darf aufgrund seiner Stellung weder abberufen noch benachteiligt werden. Außerdem dient er als Ansprechpartner für die Betroffenen, also z.B. für Ihre Kunden oder Ihre Mitarbeiter – und für die Datenschutzaufsichtsbehörde.

Geballtes Fachwissen zur DSGVO

Weiterführende Informationen zur DSGVO und wie Sie Ihr Unternehmen optimal darauf vorbereiten, finden Sie auf der Lexware Themenseite „DSGVO“.

Aufgaben des Datenschutzbeauftragten

Zu den Aufgaben eines Datenschutzbeauftragten gehören nach Maßgabe der DSGVO unterschiedliche Tätigkeiten: Laut DSGVO ist er zum einen dafür zuständig, die Geschäftsführung und die Beschäftigten im Hinblick auf ihre datenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Zum anderen überwacht er die Einhaltung des Datenschutzrechts und die Strategien des Unternehmens für den Schutz personenbezogener Daten.

Weitere Aufgaben des Datenschutzbeauftragten sind:

  • Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung der Mitarbeiter
  • Beratung und ggf. Überwachung in Bezug auf eine Datenschutz-Folgenabschätzung (DSFA)
  • ggf. Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für Aufsichtsbehörde in Fragen, die mit der Verarbeitung personenbezogener Daten zusammenhängen

Der Datenschutzbeauftragte wird daher, anders als nach bislang geltender Rechtslage, im Wesentlichen beratend tätig. Insbesondere gehört es gemäß DSGVO nicht mehr zu seinem Aufgabengebiet, Verzeichnisse von Verarbeitungstätigkeiten zu erstellen und zu führen, technische und organisatorische Maßnahmen (TOM) zu prüfen bzw. umzusetzen oder eine Datenschutz-Folgenabschätzung durchzuführen. Allerdings wird es in der Praxis wohl häufiger der Fall sein, dass der Datenschutzbeauftragte von der Unternehmensführung darum gebeten wird, auch diese Tätigkeiten zu erledigen.

Haftung des Datenschutzbeauftragten

Für den Datenschutzbeauftragten besteht grundsätzlich ein eher geringes Haftungsrisiko. Es sei denn, ihm ist ein Pflichtverstoß nachzuweisen, der zu einem entsprechenden Schaden geführt hat (z.B. ein erkannter, aber nicht bemängelter Datenschutzverstoß, fehlerhafte Infos in Mitarbeiterschulungen o.ä.).

Außerdem muss zwischen einem internen und einem externen Datenschutzbeauftragten unterschieden werden. Erstgenannter unterliegt als Angestellter des Unternehmens den arbeitsrechtlichen Haftungsregeln, wie alle anderen Arbeitnehmer auch. Das bedeutet, für ihn besteht ein vierfach abgestuftes Haftungssystem, das die Haftung des Datenschutzbeauftragten abhängig von dem Grad seines Verschuldens einstuft. Diese sogenannte Haftungsquart reicht von keiner bzw. geringer Fahrlässigkeit über „normale“ und grobe Fahrlässigkeit bis hin zum Vorsatz, so dass der Datenschutzbeauftragte entweder gar nicht, nur anteilig oder – im schlimmsten, aber wohl eher seltenen Fall – voll haftet.

Ein externer Datenschutzbeauftragter haftet dagegen voll umfänglich im Rahmen des mit ihm geschlossenen Dienstvertrages. In diesem kann und sollte man die Haftungsfrage regeln, so dass eine für beide Vertragsparteien akzeptable Lösung erzielt wird.

Geballtes Fachwissen und Vorlagen zur DSGVO

auf unserer Themenseite Datenschutzgrundverordnung


Bewerten Sie diesen Artikel:
(0)
1 5 1 5