Für Unternehmen, die mit personenbezogenen Kunden- oder Nutzerdaten zu tun haben, sind die Themen Datenschutzbeauftragter und Datenschutzgrundverordnung (DSGVO) von erheblicher Relevanz. Dabei macht es keinen Unterschied, ob die Daten nur online erhoben werden oder eine offline-Verwaltung bzw. -Verarbeitung, beispielsweise auf Karteikarten, in Akten etc., erfolgt. Die Regelungen zur Bestellung eines Datenschutzbeauftragten sind im Bundesdatenschutzgesetz (BDSG) und in der DSGVO fixiert.
In diesem Beitrag gehen wir unter anderem darauf ein, welche gesetzlichen Vorgaben zur Bestellung eines Datenschutzbeauftragten beachtet werden müssen, welche Voraussetzungen für solch eine Tätigkeit vonnöten sind und wie ich selbst Datenschutzbeauftragter werden kann.
Gesetzliche Vorgaben zur Bestellung eines Datenschutzbeauftragten
Die Bestellung eines im Betrieb tätigen oder externen Datenschutzbeauftragten ist dann vorgeschrieben, wenn zumindest eine der folgenden Voraussetzungen erfüllt ist:
1. Mindestens neun Personen sind im Unternehmen während eines Großteils ihrer Arbeitszeit mit der automatischen Verarbeitung personenbezogener Daten befasst.
Hierbei kann es sich sowohl um Vollzeit-, Teilzeit-, 450-Euro-Kräfte, aber auch um freie Mitarbeiter, Leiharbeitnehmer oder Praktikanten handeln. handeln. Eine automatisierte Datenverarbeitung erfolgt mit Hilfe von Datenverarbeitungsanlagen (beispielsweise Computer, Laptop, Tablet). Die Verarbeitung der personenbezogenen Daten gehört zum Berufsalltag dieser Beschäftigten. Werden beispielsweise telefonische Bestellungen aufgegeben, so werden hier personenbezogene Daten verarbeitet. Es ist auch nicht ausschlaggebend, ob die Beschäftigtenzahl kurzzeitig einmal unter neun Mitarbeiter fällt.
2. Zu den Hauptaufgaben des Unternehmens gehört die Durchführung von Datenverarbeitungsvorgängen, die wegen ihrer Art, des Umfangs oder auch ihres Zwecks eine regelmäßige Überwachung von Personen notwendig machen.
Letzteres ist beispielsweise in Krankenhäusern der Fall. Grundsätzlich muss es hier um eine Tätigkeit gehen, welche regelmäßige, systematische und teilweise auch sehr umfangreiche Überwachungen von Personen erfordert. Leider wurde dies bisher in der DSGVO bisher nicht genauer definiert. Anhaltspunkte können hier aber die Dauer der Überwachung, die Anzahl der Betroffenen und die Datenmenge sein. Um bei dem Beispiel eines Krankenhauses zu bleiben; In Krankenhäusern ist das Datenschutzmanagement ein zentraler Bestandteil der Geschäftstätigkeit, denn hier werden Gesundheitsdaten erhoben, eine Diagnose gestellt und schriftlich festgehalten, notwendige Behandlungen und die Medikation festgelegt und dergleichen mehr. Auch in Auskunfteien und in Einwohnermeldeämtern ist die Verarbeitung von Adressdaten ein zentrales Element.
3. Zur Kerntätigkeit des Unternehmens gehört die umfangreiche Verarbeitung spezieller Datenkategorien.
Als spezielle Datenkategorien sind vor allem Gesundheitsdaten, personenbezogene Daten über Straftaten und das ausgesprochene Strafmaß, Informationen zur sexuellen Orientierung, Daten über ethnische Herkunft von Personen, weltanschauliche, religiöse oder politische Überzeugungen, eine Partei- oder Gewerkschaftsmitgliedschaft sowie biometrische und genetische Daten anzusehen. Auch wenn nur eine Datenkategorie umfangreich verarbeitet wird, muss in der Regel ein Datenschutzbeauftragter bestellt werden. Ebenso ist eine genaue Prüfung bei der DSGVO in Steuerberaterkanzleien erforderlich, da Steuerberater laut eigener Berufsordnung nicht als Auftragsverarbeiter tätig sind.
4. Das Unternehmen ist nach Artikel 35 DSGVO dazu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen.
In einem solchen Fall ist grundsätzlich ein Datenschutzbeauftragter zu bestellen. Dabei ist es egal, ob weitere Voraussetzungen – wie unter den Punkten 1. bis 3. beschrieben – vorliegen. oder nicht.
5. Werden personenbezogene Daten zum Zweck der (anonymisierten) Übermittlung oder für die Markt- und Meinungsforschung erhoben, ist die Verpflichtung eines Datenschutzbeauftragten ebenfalls vorgeschrieben.
Wie werde ich Datenschutzbeauftragter?
Grundsätzlich kann jeder Datenschutzbeauftragter (DSB) werden. Er sollte allerdings über technische und kaufmännische Kenntnisse, welche für die Datenverarbeitung notwendig sind, verfügen. Umfangreiche IT-Kenntnisse sind ebenfalls von Vorteil, um dieser Tätigkeit gerecht zu werden. Leider hat der Gesetzgeber keine Regelungen zu den notwendigen Kenntnissen und zur Ausbildung getroffen, sodass dies unterschiedlich gehandhabt werden kann. Eine Ausbildung zum Datenschutzbeauftragten bietet die modal GmbH, welche in Nettetal ansässig ist, deutschlandweit zu unterschiedlichen Terminen an. Die Kurse dauern in der Regel fünf Tage und enden mit einer Abschlussprüfung.
Sowohl für Führungskräfte und Mitarbeiter aus der privaten Wirtschaft, die hier für die Datenverarbeitung im Unternehmen verantwortlich sind, für Inhaber, Geschäftsführer und auch für Mitarbeiter von EDV-Unternehmen, die nun als betriebliche oder externe Datenschutzbeauftragte tätig werden möchten, ist diese Weiterbildung geeignet. Damit die Geschäftsführung ihre Interessen beim Datenschutzbeauftragten nicht durchsetzen kann, hat der Gesetzgeber festgelegt, dass der DSB bei Ausübung dieser Tätigkeit nicht weisungsgebunden sind. Er selbst ist unter anderem für die Schulung der Mitarbeiter zuständig, die personenbezogene Daten verarbeiten oder nutzen. Wird kein Datenschutzbeauftragter bestellt, können aktuell Bußgelder im deutlich vierstelligen Bereich verhängt werden.
Auswahlkriterien
Im Zweifelsfall muss die Auswahl eines Datenschutzbeauftragten vor einer Datenschutzbehörde gerechtfertigt werden. Deshalb ist es sinnvoll, einen DSB zu bestellen, der an einer entsprechenden Weiterbildungsmaßnahme teilgenommen hat und dies mit einem Zertifikat belegen kann. Auch auf Datenschutz spezialisierte Rechtsanwälte können als DSB tätig werden. Ein Geschäftsführer oder Inhaber eines Unternehmens sollte nicht gleichzeitig als DSB im eigenen Unternehmen tätig werden. Die DSGVO stellt es Unternehmen frei, ob sie einen externen oder betriebsinternen DSB bestellen wollen. Bei einem externen Beauftragten ist davon auszugehen, dass dieser mehr Zeit benötigt, sich in die Unternehmensstrukturen hineinzuversetzen.
Für kleine Unternehmen ist die Verpflichtung eines externen DSB durchaus sinnvoll, damit das eigene Personal mit dieser Arbeit nicht gebunden ist. Zugleich lässt sich die erforderliche Qualifikation eines externen DSB besser gewährleisten. Dieser bringt durch seinen Blick von außen vermutlich auch noch die eine oder andere Idee mit ein, von dem das Unternehmen profitieren kann, und kann so zur Verbesserung von Arbeitsabläufen etc. beitragen. Für größere Unternehmen und Behörden ist die Bestellung eines betriebsinternen DSB vermutlich die beste Möglichkeit.
