Menü
Ist der Datenschutzbeauftragte das Schweizer Taschenmesser, um all Ihre Aufgaben rund um den Datenschutz abzuarbeiten? Muss eigentlich jedes Unternehmen einen Datenschutzbeauftragten beschäftigen?
20 heißt die magische Zahl. Sobald in ihrem Unternehmen 20 Beschäftigte regelmäßig in die Verarbeitung von personenbezogenen Daten involviert sind, müssen Sie einen Datenschutzbeauftragten benennen.
Gelegentlich finden Sie noch die Angabe, dass ab zehn Beschäftigten ein Datenschutzbeauftragter zu benennen ist. Diese Grenze ist veraltet und galt zur Einführung der DSGVO. Die Schwelle wurde 2019 auf 20 Mitarbeitende angehoben.
Auch wenn Sie den Schwellenwert von 20 Mitarbeitenden nicht erreichen, ist gleichwohl in folgenden Fällen ein Datenschutzbeauftragter zu benennen.
Auch unterhalb der Schwelle von 20 Mitarbeitenden besteht eine Benennungspflicht, wenn der Kern Ihrer Tätigkeit:
eine Datenverarbeitung umfasst, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht,
ODER
eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO umfasst.
Bei den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO handelt es sich um
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie um genetische, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Wenn Sie beispielsweise ein innovatives Start-up planen oder bereits betreiben, welches die Verarbeitung solcher sensiblen Daten in den Fokus seiner Geschäftstätigkeit stellt, dann prüfen Sie eingehend die Pflicht zur Benennung eines Datenschutzbeauftragten, auch wenn Sie noch nicht die Beschäftigtenzahl von 20 erreicht haben.
Zudem ist gesetzlich vorgeschrieben, dass unabhängig von der Beschäftigtenzahl ein Datenschutzbeauftragter zu benennen ist, sofern eine Verarbeitung vorgenommen wird, die einer Datenschutz-Folgenabschätzung unterliegt, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Im Zentrum der Tätigkeit stehen Beratungs- und Kontrollfunktionen. Das heißt, der Verantwortliche hat weiterhin die erforderlichen Datenschutzmaßnahmen selbst zu organisieren und umzusetzen. Der Datenschutzbeauftragte steht dabei beratend und kontrollierend zur Seite. Eine Übertragung der Verantwortlichkeit für die Datenschutzprozesse und Abwälzung des Haftungsrisikos ist also nicht möglich.
Oftmals wird von Datenschutzbeauftragten erwartet, dass sie sich um alle Prozesse kümmern, denn schließlich haben sie ja hierfür die Expertise. Das Gesetz hat dies jedoch so nicht vorgesehen. Die Unternehmensführung als Verantwortlicher der Datenverarbeitung bleibt weiterhin in der Pflicht, diese selbst zu organisieren und umzusetzen, wähend der Datenschutzbeauftragte hierzu berät und überwacht.
Wenn Sie sich auf die Suche nach einer geeigneten Person für die Tätigkeit als Datenschutzbeauftragter begeben, so sollten Sie zunächst für sich entscheiden, ob es ein interner oder externer Datenschutzbeauftragter sein soll. Der interne Datenschutzbeauftragte ist in Ihrem Unternehmen beschäftigt. Der externe Datenschutzbeauftragte ist ein Dienstleister, den Sie hierfür beauftragen. Beide Typen von Datenschutzbeauftragten haben ihre Vor- und Nachteile.
Wird ein interner Beschäftiger als Datenschutzbeauftragter tätig, ist er unmittelbar dran am Unternehmengeschehen und kennt die Organisation und die Entscheidungsprozesse aus nächster Nähe. Hingegen bietet die Unternehmensferne eines externen Datenschutzbeauftragten Vorteile, da dieser nicht auf die in jedem Unternehmen bestehenden gewissen Befindlichkeiten unter den Mitarbeitenden Rücksicht nehmen muss und objektiver agieren kann.
Ein Blick von außen ist zudem hilfreich, um eine gewisse Betriebsblindheit zu überwinden.
Jedoch ist der externe Datenschutzbeauftragte auf Mitteilungen an ihn angewiesen, wohingegen ein interner Datenschutzbeauftragter oftmals selbst datenschutzrechtliche Probleme im Unternehmen feststellen kann und der „Draht“ für Nachfragen zu ihm wesentlich kürzer ist.
Beschäftigte, die als interner Datenschutzbeauftragter benannt werden sollen, dürfen nicht Mitglied der Geschäftsleitung sein und müssen eine entsprechende Qualifizierung nachweisen. Ihnen sind angemessene Ressourcen zur Erfüllung ihrer Aufgaben zur Verfügung zu stellen und Weiterbildungen zu ermöglichen. Sie besitzen darüber hinaus einen besonderen Kündigungsschutz.
Als externer Datenschutzbeauftragter kommen entsprechend qualifizierte Dienstleister in Frage, die meist mehrere Firmen betreuen und somit über eine besonders breite Praxiserfahrung verfügen sollten. Es empfiehlt sich, vorab ein persönliches Gespräch zu führen und so zu schauen, wer zum Unternehmen passt und ob die Chemie stimmt.
Weitere Informationen können Sie z. B. über folgende Verbände beziehen:
Die auszuwählende Person muss geeignet und entsprechend qualifiziert sein, um die Tätigkeit des Datenschutzbeauftragten zu erfüllen. Nötig sind:
Ein staatlich reglementiertes Berufsbild gibt es jedoch nicht. Lassen Sie sich daher fachspezifische Qualifikationen zeigen.
Eine besondere Form der Benennung ist nicht vorgegeben. Aus Dokumentations- und Nachweisgründen sollte in jedem Fall die Benennung mindestens in Textform erfolgen.
Im Fall eines externen Datenschutzbeauftragten schließen Sie einen Vertrag, in dem mindestens die konkreten gesetzlichen Aufgaben als Leistungspflicht benannt werden. Des Weiteren sollten Vergütungs- und Kündigungsfragen geklärt und eine Mindestlaufzeit von mindestens einem Jahr vereinbart werden.
Auch für die Benennung eines internen Datenschutzbeauftragten ist eine Vereinbarung mit dem betreffenden Beschäftigten notwendig. Wenn dieser neben seiner bisherigen Tätigkeit als Datenschutzbeauftragter tätig werden soll, ist eine entsprechende Erweiterung des Arbeitsvertrags vorzunehmen.
Das Aufgabengebiet sollte in einer Stellenbeschreibung oder individuellen Vereinbarung abgebildet werden.
Interne Datenschutzbeauftragte sollten unbefristet benannt werden, da andernfalls an deren Unabhängigkeit gezweifelt werden könnte.*
* Ausnahme: Zeitbegrenzung im Vertretungsfall des in Elternzeit befindlichen bisherigen Datenschutzbeauftragten und ähnliche Fallkonstellationen.
Der Datenschutzbeauftragte ist bei der zuständigen Landesaufsichtsbehörde zu melden. Dies kann auch der Datenschutzbeauftragte selbst vornehmen. Entsprechende Internetportale bietet jede Aufsichtsbehörde in Deutschland.
Des Weiteren sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen, insbesondere in Ihren Datenschutzhinweisen.