Datenschutzbeauftragter

Der Datenschutzbeauftragte nach dem neuen Datenschutzrecht

Die Neuregelung des Datenschutzrechtes durch die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) im Mai 2018 hat viele Änderungen mit sich gebracht. Auch der Bereich der Datenschutzbeauftragten ist davon berührt. So ist die Benennung eines Datenschutzbeauftragten, wie viele Unternehmen es bereits nach der alten Rechtslage in Deutschland kannten, weiterhin in vielen Fällen verpflichtend. Der Kreis der Unternehmen, die einen Datenschutzbeauftragten benennen müssen, wird sogar noch erweitert.

Für eine unverbindliche Anfrage kontaktieren Sie bitte direkt telefonisch oder per E-Mail einen unserer Ansprechpartner oder nutzen Sie das Kontaktformular am Ende dieser Seite.

Regelungen der DSGVO zum Datenschutzbeauftragten

Während Unternehmen in Deutschland die Position des Datenschutzbeauftragten bereits aus dem bisherigen deutschen Recht kannten, dehnt die DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten nun auf ganz Europa aus. Die Regelungen der DSGVO im Überblick:

Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, wenn die Kerntätigkeit in systematischer Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
Möglichkeit zur Benennung eines gemeinsamen Datenschutzbeauftragten innerhalb eines Konzerns
Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung an die Aufsichtsbehörde

Vorgaben des BDSG

Die DSGVO enthält für den Bereich der Datenschutzbeauftragten eine sogenannte Öffnungsklausel, sodass nationale Gesetzgeber ermächtigt werden, ergänzende Regelungen zu treffen. Davon hat der deutsche Gesetzgeber Gebrauch gemacht und in § 38 BDSG weitere ergänzende Vorgaben geschaffen, die zu großen Teilen der bisherigen Rechtslage entsprechen. Insofern ändert sich für Unternehmen in Deutschland nicht grundlegend etwas, trotzdem gibt es einige Ergänzungen, die für Unternehmen eine Rolle spielen.

Ist ein Datenschutzbeauftragter notwendig?

Die Benennung eines Datenschutzbeauftragten ist verpflichtend, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ursprünglich sah das Bundesdatenschutzgesetz eine Grenze von zehn Mitarbeitern vor; nach einer Änderung des BDSG im November 2019 wurde die Mitarbeitergrenze auf 20 angehoben, um kleine Unternehmen zu entlasten. Auch wenn das Geschäftsmodell gerade in der Übermittlung von personenbezogenen Daten (z.B. zum Zweck der Markt- oder Meinungsforschung) besteht oder eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich ist, ist die Benennung eines Datenschutzbeauftragten unabdingbar.

Was droht bei fehlender Benennung eines Datenschutzbeauftragten?

Wird trotz Verpflichtung kein Datenschutzbeauftragter benannt, stellt dies eine Ordnungswidrigkeit dar, die von den Aufsichtsbehörden verfolgt werden kann. Die DSGVO sieht dafür ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor (je nachdem welcher Betrag höher ist).

Gehen Sie also kein Risiko ein und prüfen rechtzeitig, ob die Benennung eines Datenschutzbeauftragten in Ihrem Unternehmen notwendig ist.

Wer kann Datenschutzbeauftragter werden?

Unternehmen können sowohl einen internen als auch einen externen Datenschutzbeauftragten benennen. Dies hängt in erster Linie von den Ressourcen und der betrieblichen Organisation ab. Für den Fall, dass sich ein Unternehmen für einen internen Beauftragten entscheidet, muss darauf geachtet werden, dass kein Interessenkonflikt besteht. In jedem Fall müssen Datenschutzbeauftragte gewisse Kriterien erfüllen. Die DSGVO fordert

eine gewisse berufliche Qualifikation,
Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und
die Fähigkeit zur Erfüllung der gesetzlich definierten Aufgaben.

Aufgaben und Pflichten des Datenschutzbeauftragten

Die DSGVO legt in einem Katalog (Art. 39 DSGVO) die Aufgaben und Pflichten des Datenschutzbeauftragten fest.
Dazu gehören:

Unterrichtung und Beratung der Verantwortlichen, Auftragsverarbeiter und Beschäftigten
Überwachung der Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften
Sensibilisierung und Schulung der Mitarbeiter
Beratung und Überwachung der Datenschutz-Folgeabschätzung
Zusammenarbeit mit der Aufsichtsbehörde
Ansprechpartner für Betroffene

Der Datenschutzbeauftragte ist von den Verantwortlichen, also in der Regel von der Unternehmensleitung, ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.

Und wann und wie haftet ein Datenschutzbeauftragter?

Der Umfang der Haftung des Datenschutzbeauftragten für Datenschutzverstöße im Unternehmen ist noch sehr umstritten und mit der Einführung der DSGVO nicht endgültig geklärt. Während Vertreter der EU-Datenschutzbehörden eine persönliche Haftung von Datenschutzbeauftragten verneinen, wird in Deutschland eben eine solche Haftung diskutiert. Am Ende wird es daher im Ermessen der Gerichte liegen, ob eine persönliche Haftung besteht. Im Außenverhältnis wird regelmäßig die Geschäftsführung als Verantwortliche für den Datenschutz im Unternehmen haften.

Klar ist, dass sich der Datenschutzbeauftragte für eigene Fehler Regressansprüchen des Unternehmens ausgesetzt sehen wird. Insbesondere haftet der Datenschutzbeauftragte für falsche, unvollständige oder zu späte Beratung oder Unterrichtung, ebenso für falsche Schulungen o.ä. Daher sollte der Datenschutzbeauftragte in eigenem Interesse selbst darauf hinwirken, dass er in alle Datenverarbeitungsprozesse und Entscheidungen, die den Datenschutz betreffen, rechtzeitig eingebunden wird.

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.