Was macht der betriebliche Datenschutzbeauftragte?
Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) trifft man immer wieder auf die Funktion des Datenschutzbeauftragten, kurz DSB.
Er muss von Unternehmen gestellt werden, um den verantwortungsbewussten Umgang mit personenbezogenen Daten zu garantieren.
In diesem Ratgeber erklären wir Ihnen, was ein Datenschutzbeauftragter ist und welche Rolle er spielt. Ferner erläutern wir Ihnen, wann ist ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen.
Notwendigkeit der Ernennung von Datenschutzbeauftragten
Bedingt durch die zunehmende Digitalisierung und globalen Vernetzung werden in immer mehr Firmen personenbezogene Daten verarbeitet.
Das trifft längst nicht mehr nur auf große Unternehmen zu, auch Kleinunternehmen und Handwerkerfirmen speichern die Daten ihrer Kunden und Lieferanten auf dem Firmen-PC. Dort sind sie der realen Gefahr ausgesetzt, dass sich Unbefugte Zugriff verschaffen und die Daten für dubiose Zwecke missbrauchen.
Die Palette reicht von lästigen Werbe-E-Mails, die den Posteingang verstopfen bis hin zum Identitätsdiebstahl. Im Ernstfall können dem Unternehmen durch den unsachgemäßen Umgang mit sensiblen Daten Strafen in sechsstelliger Höhe drohen. Aus diesem Grund werden Datenschutzbeauftragte eingesetzt.
Sie sind im Auftrag des Unternehmens tätig und dienen zu dessen Selbstkontrolle. Der Datenschutzbeauftragte soll sicherstellen, dass mit sensiblen Daten verantwortungsbewusst umgegangen wird und dass Unbefugte keinen Zugriff haben.
Benennungspflicht eines Datenschutzbeauftragten
Artikel 37 Absatz 1 der DSGVO verpflichtet ein Unternehmen beim Vorliegen bestimmter Voraussetzungen zur Ernennung eines Datenschutzbeauftragten. Damit sind konkret folgende Voraussetzungen gemeint:
1.) Mindestens 20 Mitarbeiter im Unternehmen müssen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein. Typische Beispiele sind hier telefonische oder elektronische Kommunikation mit Kunden, der Vertrieb, IT, Personalabteilung, Buchhaltung. Unter den Begriff Mitarbeiter fallen auch Teilzeitkräfte, Azubis, Praktikanten und Freiberufler.
2.) Das Unternehmen verarbeitet besondere personenbezogene Daten, aus denen die politische oder religiöse Überzeugung, die ethnische Herkunft bzw. die Rasse oder Angaben zum Sexualleben oder zum Gesundheitsszustand ersichtlich sind. In diesem Fall gibt es keine Untergrenze bei der Zahl der Mitarbeiter.
3.) Die Kerntätigkeit (Haupttätigkeit) des Unternehmens ist die Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten. Auch in diesem Fall gibt es keine Untergrenze der Anzahl der Beschäftigten.
Stellung und Aufgaben des Datenschutzbeauftragten im Unternehmen
Der DSB besitzt im Unternehmen eine beratende Funktion. Er muss unabhängig und weisungsfrei arbeiten. Zwischen ihm und dem Unternehmen darf kein Interessenkonflikt bestehen.
Deshalb ist es auch nicht zulässig, dass der Geschäftsführer, Steuerberater, der Chef der IT-Abteilung oder Wirtschaftsprüfer des Unternehmens die Position des Datenschutzbeauftragten einnimmt. Die Position des Datenschutzbeauftragten muss mit einer natürlichen Person besetzt werden.
Das Unternehmen hat die Möglichkeit, externe Sachverständige mit der Aufgabe des Datenschutzbeauftragten zu betrauen. Der Datenschutz- Beauftragte ist der Geschäftsleitung unterstellt.
Die wichtigste Aufgabe des DSB besteht in der Analyse und Überwachung des Umgangs mit personenbezogenen Daten im Unternehmen. Dadurch sollen Fehler und Schwachstellen aufgedeckt und Verstöße gegen den Datenschutz vermieden werden.
Zu diesem Zweck macht er der Unternehmensleitung Vorschläge, wie der Datenschutz eingeführt bzw. verbessert werden kann.
Konkret sehen einige Aufgaben des DSB so aus:
- Datenschutzmaßnahmen im Unternehmen kontrollieren
- Auskünfte erteilen und mit Behörden kommunizieren
- Datenverarbeitung von Aufträgen überprüfen und Datennutzung im Marketing kontrollieren
- Verträge mit externen Dienstleistern überprüfen
- Übermittlung von Daten ins Ausland kontrollieren
- Protokolldaten untersuchen
- Rechtmäßigkeit der Profilbildung überwachen
- Kontrollieren, ob Videoüberwachung in öffentlichen Räumen zulässig ist
Darüber hinaus ergeben sich je nach dem Geschäftsfeld des betreffenden Unternehmens häufig noch weitere spezielle Aufgaben.
Um seine Position zu stärken, ist der DSB mit einem Zeugnisverweigerungsrecht ausgestattet und unterliegt einem besonderen Kündigungsschutz.
Die erforderlichen Qualifikationen und Eigenschaften des DSB
Für eine erfolgreiche Arbeit ist es unabdingbar, dass der Datenschutzbeauftragte unabhängig und neutral ist. Er sollte idealerweise Erfahrung mit den verschiedenen Geschäftsfeldern des Unternehmens haben und in der Lage sein, sich ein Gesamtbild zu machen.
Der Bundesverband der Datenschutzbeauftragten Deutschlands (BVD) empfiehlt jedoch eine berufliche Qualifikation in mindestens einem der folgenden Bereiche:
- Recht
- Informationstechnologie
- Kommunikationstechnologie
… sowie solide Fachkenntnisse in den anderen Bereichen, kombiniert mit Fachwissen in den Bereichen Organisation und Prozessoptimierung.
Geeignete Personen können in einem mehrtägigen Online-Lehrgang ein Zertifikat als Datenschutzbeauftragter erwerben, mit dem sie ihre Befähigung nachweisen. Der Datenschutz-Beauftragte ist darüber hinaus verpflichtet, sich ständig weiterzuqualifizieren, weil sich die Rechtslage auf dem Gebiet des Datenschutzes ständig ändert.
Datenschutzbeauftragte – unverzichtbar auch für kleine Betriebe
Datenschutz ist eine ernste Angelegenheit. Werden einem Unternehmen Verstöße gegen den Datenschutz nachgewiesen haben, kann das hohe Strafen zur Folge haben.
Kleinere Firmen sind deswegen gut beraten, einen externen Fachmann als Datenschutzbeauftragten einzusetzen. Dadurch vermeiden sie Verstöße gegen den Datenschutz.
Dazu kommt, dass externe Dienstleister nicht dem besonderen Kündigungsschutz unterliegen. Das gewährt dem Unternehmen mehr Freiheit bei ihren Entscheidungen.