Wann ein Unternehmen einen Datenschutzbeauftragten ernennen muss, ist in Art. 37 Datenschutzgrundverordnung (DSGVO) sowie im § 38 Bundesdatenschutzgesetz (BDSG) definiert.
Datenschutzbeauftragte/r gemäß DSGVO & BDSG-neu
Die grundlegenden Vorschriften bezüglich der Ernennung(Bestellung) eines Datenschutzbeauftragten werden von der Datenschutzgrundverordnung definiert. Gemäß DSGVO ist ein/e Datenschutzbeauftragte/r zu ernennen, wenn eine der folgenden Bedingungen erfüllt ist.
- Es handelt sich um eine öffentliche Stelle oder Behörde. Ausgenommen sind Gerichte im Rahmen ihrer justiziellen Tätigkeit.
- Die Kerntätigkeit einer Stelle die umfangreiche oder systematische Beobachtung von Personen darstellt.
- Eine Stelle besondere Arten personenbezogener Daten (z. B. die sexuelle Orientierung, Religionszugehörigkeit, politische Einstellung etc. betreffend) erhebt und auswertet.
DSGVO-Vorschriften werden durch BDSG-neu ergänzt
Die EU-Staaten haben die Möglichkeit, die Vorschriften gemäß DSGVO durch nationale Bestimmungen auszudehnen. Die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu), das in Deutschland als Ausführungsgesetz der DSGVO fungiert, regelt in § 38, dass auch in folgenden Fällen ein Datenschutzbeauftragter ernannt werden muss:
- Mindestens 20 Personen in einem Unternehmer (einer Stelle) verarbeiten ständig und automatisiert personenbezogene Daten.
- Die Datenverarbeitung unterliegt einer Datenschutz-Folgenabschätzung* gemäß Art. 35 DSGVO.
- Personenbezogene Daten werden geschäftsmäßig für Markt- oder Meinungsforschungszwecke oder der Übermittlung / anonymen Übermittlung verarbeitet.
*Eine Datenschutz-Folgenabschätzung ist eine Art Vorab-Risikoanalyse, die durch den Datenschutzbeauftragten durchgeführt wird, wenn davon auszugehen ist, dass durch die Datenverarbeitung hohe Risiken für Freiheiten und persönliche Rechte eines Betroffenen entstehen. Einige Beispiele sind in Art. 35 Absatz 3 der DSGVO angeführt.
Datenschutzbeauftragte/r: die Aufgaben im Unternehmen
Datenschutzbeauftragte in Unternehmen dienen sowohl den Aufsichtsbehörden als auch den Mitarbeiterinnen und Mitarbeitern als Ansprechpartner hinsichtlich der Einhaltung aller datenschutzrechtlichen Vorschriften. Zudem übernehmen die Datenschutzbeauftragten die Schulung und Beratung der Belegschaft und Geschäftsführung. Auch die Pflege eines Verzeichnisses für Verarbeitungstätigkeiten zählt zu den Pflichten eines Datenschutzbeauftragten.
Wer kann Datenschutzbeauftragter werden?
Art. 37 Abs. 5 DSGVO definiert, dass ein Datenschutzbeauftragter eine entsprechende berufliche Qualifikation, fundiertes Fachwissen auf dem Gebiet des Datenschutzrechts und weiterführende Fähigkeiten zur Erfüllung seiner Aufgaben benötigt. Damit sind vor allem IT-Security-Consultants und Juristen als Datenschutzbeauftragte geeignet. Nicht vorhandene Kenntnisse können auch durch Weiterbildungsmaßnahmen erworben werden.
Der Datenschutzbeauftragte muss der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes gemeldet werden. In einigen Ländern kann die Meldung online durchgeführt werden.
Tipp: Externer Datenschutzbeauftragter
Der Gesetzgeber hat die Möglichkeit geschaffen, externe Datenschutzbeauftragte zu ernennen. Unternehmen, die nicht über qualifiziertes Personal verfügen oder hohe Weiterbildungskosten scheuen, können die Pflichten auslagern.