Was ist ein Datenschutzbeauftragter, einfach erklärt?
Für jedes Unternehmen besteht die Pflicht, einen Datenschutzbeauftragten zu benennen, wenn Verarbeitungsvorgänge durchgeführt werden, die mit erhöhten Risiken für Betroffene verbunden sind, oder das Unternehmen 20 oder mehr Personen beschäftigt.
Der Datenschutzbeauftragte (kurz: DSB) eines Unternehmens berät die Geschäftsleitung zum Datenschutz und sensibilisiert die Beschäftigten des Unternehmens, sich an die Vorgaben zum Datenschutz zu halten.
Der Datenschutzbeauftragte ist der direkte Ansprechpartner der Datenschutz-Aufsichtsbehörden, wenn sich diese an das Unternehmen wenden. Er ist außerdem die gesetzlich vorgeschriebene Kontaktperson für Beschäftigte und Kunden des Unternehmens in Belangen des Datenschutzes.
Wann ist ein Datenschutzbeauftragter Pflicht?
Es kann gesetzlich vorgeschrieben sein, einen Datenschutzbeauftragten für das eigene Unternehmen zu benennen.
Die Pflicht zur Benennung eines Datenschutzbeauftragten wird für Unternehmen ausgelöst, wenn
- mindestens 20 Personen im Unternehmen beschäftigt (inklusive Freelancern, Honorarkräften, Praktikanten, Werkstudierenden etc.);
- das Unternehmen sensible Daten verarbeitet;
- das Unternehmen Marktforschung oder Meinungsforschung durchführt;
- im Unternehmen personenbezogene Daten anonymisiert werden;
- das Unternehmen seine Kunden, Beschäftigten oder andere Personen überwacht;
- im Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss.
Werden im Unternehmen zum Beispiel folgende Tätigkeiten durchgeführt, ist es gesetzlich vorgeschrieben, sowohl eine Datenschutz-Folgenabschätzung durchzuführen als auch einen Datenschutzbeauftragten zu benennen:
- Erstellen von Kundenprofilen,
- Verarbeitung von Gesundheitsdaten,
- Verarbeitung von Standortdaten,
- Zusammenführen von Datensätzen,
- Anonymisieren von Datensätzen,
- Übermittlung von Datensätzen zwischen Unternehmen,
- Profiling,
- Scoring,
- teil-automatisierte Entscheidungsfindung.
Wozu ist ein Datenschutzbeauftragter gut?
Ein Datenschutzbeauftragter bringt die notwendige Fachkunde in das Unternehmen mit ein, um Datenschutzverstöße zu vermeiden und den damit einhergehenden Bußgeldern und Schadensersatzklagen vorzubeugen.
Ein externer Datenschutzbeauftragter (kurz: eDSB) bringt außerdem eine breite Branchenkenntnis mit. Ob es sich um die Umsetzung des Mitarbeiterdatenschutzes, die Erstellung von Sicherheitskonzepten für geeignete technische und organisatorische Maßnahmen oder um die Durchführung von Datenschutz-Folgenabschätzungen handelt: Die Aufgaben eines Datenschutzbeauftragen sind vielfältig und verlangen Expertise im Datenschutzrecht mit seinen verschiedenen Spezialgesetzen (vom Bundesdatenschutzgesetz über die 16 Landesdatenschutzgesetze über die ePrivacy-Richtlinie bis hin zum neuen TTDSG) sowie Fachkunde in der Informationssicherheit.
Der Datenschutzbeauftragte wird als Ansprechpartner für Beschäftigte und Kunden des Unternehmens auch zum Aushängeschild für die Seriosität und Vertrauenswürdigkeit des Unternehmens. Hier können insbesondere externe Datenschutzbeauftragte zum Trust Building bei Endkunden wie Geschäftskunden beitragen.
Kann jeder Datenschutzbeauftragter werden?
Die Rolle des Datenschutzbeauftragten kann intern oder extern ausgeübt werden.
Ein Datenschutzbeauftragter muss allerdings
- über zertifizierte Fachkunde des Datenschutzrechts verfügen,
- regelmäßig fortgebildet werden und vor allem
- frei von jeglichen Interessenkonflikten sein.
Für interne Datenschutzbeauftragte bestehen regelmäßig Interessenkonflikte. Ein Interessenkonflikt bedeutet, dass die betreffende Person aufgrund ihrer Stellung oder Funktion im Unternehmen gegenläufige Interessen verfolgen muss. Da der Datenschutz die Rechte von Kunden und Beschäftigten schützt, stehen alle Personen im Unternehmen, die mit der Einstellung oder Führung von Beschäftigten befasst sind, in einem Interessenkonflikt zu den Interessen des Datenschutzes.
Insgesamt dürfen folgende Personengruppen im Unternehmen nicht als Datenschutzbeauftragter benannt werden:
- Geschäftsführer,
- Gesellschafter,
- Beschäftigte in der IT-Abteilung,
- Beschäftigte in der Marketing-Abteilung,
- Beschäftigte in der Personal-Abteilung,
- Unternehmensberater des Unternehmens,
- Inhouse-Juristen und Rechtsanwälte eines Unternehmens, die das Unternehmen in Rechtsfragen, die dem Datenschutzrecht entgegenlaufen beraten oder es vor Gericht vertreten.
-
Externer Datenschutzbeauftragter2.400,00 € exkl. USt.
exkl. 19 % MwSt.
-
Fortbildung zum Datenschutzbeauftragten3.599,00 € exkl. USt.
exkl. 19 % MwSt.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Grundsätzlich bestehen die Aufgaben eines Datenschutzbeauftragten
- in der Beratung der Geschäftsführung in Fragen des Datenschutzes,
- in der Überwachung der Einhaltung des Datenschutzes im Unternehmen,
- in der Sensibilisierung und Schulung der Beschäftigten des Unternehmens im Datenschutz.
Ein guter Datenschutzbeauftragter geht dabei folgendermaßen vor:
- Den Anfang der Arbeit eines Datenschutzbeauftragten legt zunächst ein Bestandsaufnahme-Audit. Dadurch kann der Stand der Datenschutz-Compliance im Unternehmen ermittelt werden.
- Ausgehend von der Bestandsaufnahme wird Schritt für Schritt das Verzeichnis von Verarbeitungstätigkeiten erstellt und aktuell gehalten.
- Für ausgewählte Tätigkeiten im Unternehmen wird dann eine Schwellwert-Analyse durchgeführt, um zu ermitteln, ob eine Datenschutz-Folgenabschätzung für eine oder mehrere Tätigkeiten im Unternehmen durchgeführt werden muss.
- Begleitend werden die Beschäftigten des Unternehmens geschult und auf die Vertraulichkeit verpflichtet, sofern dies noch nicht geschehen ist.
- Auch die laufende Pflege der Datenschutzerklärungen des Unternehmens und die Prüfung der Cookie-Banner kann zu den Aufgaben eines Datenschutzbeauftragten gehören.
Nochmal in trocken!
- Art. 37 DS-GVO und Art. 38 BDSG beschreiben, wann die Pflicht, einen Datenschutzbeauftragten zu benennen ausgelöst wird.
- Art. 38 DS-GVO beschreibt die Stellung des Datenschutzbeauftragten im Unternehmen.
- Art. 39 DS-GVO und Art. 7 BDSG beschreiben die Aufgaben des Datenschutzbeauftragten im Unternehmen.
- Die Erwägungsgründe 91 und 97 der DS-GVO beinhalten weitere Erklärungen zum Gesetzestext.
Wo erfährt man mehr darüber?
- Die Datenschutzkonferenz (DSK) hat das „Kurzpapier Nr.12“ herausgegeben, das die Pflicht, einen Datenschutzbeauftragten zu benennen sowie seine notwendigen Qualifikationen, seine Stellung im Unternehmen und seine Aufgaben allgemeinverständlich erklärt.
- Die Artikel-29-Datenschutzgruppe hat in ihrem Working Paper 243 weitere Erklärungen in den „Leitlinien in Bezug auf Datenschutzbeauftragte“ herausgegeben.