PDF wird generiert
Bitte warten!

Der betriebliche Datenschutzbeauftragte

Durch die fortschreitende Verbreitung der Verarbeitung personenbezogener Daten sind die Gefahren  von Datenschutzverstößen gestiegen. Um diese Gefahren zu begrenzen, misst der Gesetzgeber dem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB), das in der seit dem 25. Mai 2018 Anwendung findenden EU-Datenschutzgrundverordnung (DSGVO) und in dem ebenfalls seit diesem Zeitpunkt wirksamen neu gefassten Bundesdatenschutzgesetz (BDSG neu) seinen Niederschlag findet, eine große Bedeutung zu. Die wesentlichen Rechtsgrundlagen für den betrieblichen Datenschutzbeauftragten finden sich in Artikel 37 DSGVO und § 38 BDSG neu.  

1. Wann und wie muss ein Datenschutzbeauftragter bestellt werden?

Ein Datenschutzbeauftragter ist zu bestellen, wenn in einem Betrieb in der Regel mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.

Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. 

In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der automatisierten Verarbeitung von Daten beschäftigten Personen zu bestellen. Nämlich dann, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Das gleiche gilt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO ( z. B. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.

Die Bestellung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, eine unternehmensinterne Bekanntmachung genügt nicht. Die Darstellung der Kontaktdaten auf einer uneingeschränkt zugänglichen Internethomepage dürfte hingegen genügen. Der DSB ist der Aufsichtsbehörde zu melden. 

2. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Artikel 39 DSGVO genannt. 

Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechte und Pflichten.

Die Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen.

Beratung bei der Datenschutz-Folgeabschätzung

Schaffung von Transparenz in der betrieblichen Datenverarbeitung

Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme

Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung

Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes, sowie Benachrichtigung des Betroffenen über die Datenerhebung

Vertretung des Unternehmens in datenschutzrechtlichen Fragen

Zusammenarbeit und Ansprechpartner für die Aufsichtsbehörden

Risikobewertung bezüglich der Erfüllung seiner Aufgaben, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen hat

3. Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmen?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben (Freistellungspflicht)

dem DSB sind die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä., insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen (Nutzungsrechte)

dem DSB ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen (Zugangs- und Einsichtsrechte)

bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann (Informationsrechte)

Bei der Ausführung seiner Aufgaben unterliegt der DSB keinen Weisungen (Weisungsfreiheit)

der DSB ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar (Sonderkündigungsschutz)

nach Abberufung ist der DSB für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar (nachwirkender Sonderkündigungsschutz)

der Arbeitgeber ist verpflichtet, auf eigene Kosten dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt (Kostenerstattungspflicht)

der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen (Informations- und Berichtspflicht).

Der DSB ist im Rahmen seiner Aufgaben zur Geheimhaltung verpflichtet (Geheimhaltungspflicht)

4. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen. 

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit. 

Der DSB ist nicht gehindert im Unternehmen weitere Aufgaben und Pflichten wahrzunehmen. Es ist jedoch sicherzustellen, dass diese nicht zu einem Interessenkonflikt führen. Zur Vermeidung von Interessenskonflikten ist von einer Bestellung von folgenden Gruppen abzuraten: 

Geschäftsführern, 

Leitern von Personal-, Marketing- oder IT-Abteilungen, 

oder Betriebsratsmitgliedern 

Nicht zwangsläufig ist ein Mitarbeiter des Unternehmens zum DSB zu bestellen. Es besteht die Möglichkeit einen externen Berater zum DSB zu berufen.

5. Was droht bei Verstößen?

 Bei Verstößen gegen Vorschriften des Datenschutzrechts können Bußgelder drohen. Dies gilt auch für die Vorschriften über den Datenschutzbeauftragten, z.B. die Benennungspflicht oder Einhaltung der Rechte des Datenschutzbeauftragten. Bei Verstößen können Geldbußen bis zu 10.000.000 EUR oder von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. 

Stand: Mai 2018

Seiten-ID: 2479

Seiten-ID2479

Ansprechpartner

Sybille Göllner-Gusbeth

Tel: 0271 3302-152
Fax: 0271 3302400
E-Mail

Zum Seitenanfang springen