Kristin Bost, Sarah Staut
Grundsätzlich haben Unternehmen, sofern sie personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu ernennen, der die Einhaltung der Datenschutzbestimmungen im Unternehmen überwacht. Der sog. Beauftragte für den Datenschutz ist einer der wichtigsten Akteure beim Thema Datenschutz im Betrieb. Häufig ist den Unternehmen allerdings gar nicht bewusst, was es damit auf sich hat. Demzufolge ist die Funktion des Datenschutzbeauftragten nicht an jedem Arbeitsplatz besetzt. Ob im Unternehmen ein Datenschutzbeauftragter benannt werden muss oder nicht, geben die Datenschutzgesetze vor. Laut Art. 38 DSGVO sowie § 38 BDSG ist ein Unternehmen dazu verpflichtet, wenn mindestens einer der folgenden Punkte zutrifft:
- Personenbezogene Daten werden von mindestens 10 Personen ständig automatisiert verarbeitet.
- Verarbeitungen werden vorgenommen, die einer Datenschutz-Folgenabschätzung unterliegen.
- Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Bestellung des Datenschutzbeauftragten
Gegenüber der im alten BDSG geregelten Verpflichtung, den betrieblichen Datenschutzbeauftragten spätestens innerhalb eines Monats nach Aufnahme der Tätigkeit zu bestellen, ist weder im neuen BDSG noch in der DSGVO ein Zeitpunkt der Bestellung geregelt. Es empfiehlt sich jedoch, den Datenschutzbeauftragten unverzüglich zu benennen, wenn die Voraussetzungen zu einer Bestellpflicht erfüllt sind. Bei fehlender Bestellung eines Datenschutzbeauftragten kann nach Art. 83 Abs. 4 Buchstabe a DSGVO ein Bußgeld in Höhe von 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist.
Zum Datenschutzbeauftragten kann nur bestellt werden, wer gemäß Art. 37 Abs. 5 DSGVO die erforderliche berufliche Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Dies bedeutet, dass der oder die Beauftragte für Datenschutz als Auftragsverarbeiter gemäß Art. 28 Abs. 1 DSGVO nachweislich über technische, organisatorische und auch rechtliche Kenntnisse (gerade im Hinblick auf die DSGVO sowie BDSG) verfügen sollte. Er muss sich mit den entsprechenden gesetzlichen Rechtsvorschriften auskennen sowie ein (zumindest grundlegendes) Wissen über das Funktionieren von IT-Systemen mitbringen. Zur Erhaltung dieser erforderlichen Fachkunde hat das Unternehmen dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungen zu ermöglichen sowie die dafür anfallenden Kosten zu übernehmen.
Neben diesen Voraussetzungen sollte der betriebliche Datenschutzbeauftragte mit den Aufgaben und der Arbeitsweise seines Unternehmens möglichst aus eigener Erfahrung gut vertraut sein, um letztlich auch seinen Kontroll- und Beratungsaufgaben nachkommen zu können. Dabei ist die Verschwiegenheitspflicht vom Gesetz besonders benannt. So ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität der Betroffenen und Beschwerdeführer sowie über mögliche Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet – sofern dieser ihn nicht davon befreit hat. Eine strikte Einhaltung der Verschwiegenheitspflicht ist schließlich Grundvoraussetzung für die Rolle des Datenschutzbeauftragten als Vertrauensperson.
In diesem Zusammenhang ist es weiterhin von Bedeutung, dass man sich auf die zuständige Person hinsichtlich Sorgfalt, Rechtsverbindlichkeit sowie insbesondere Objektivität und Engagement verlassen kann. So hat der Datenschutzbeauftragte häufig eine Position "zwischen den Stühlen", bei der er zum Teil unbequem sein und sich durchsetzen muss. Gleichzeitig muss er aber auch unabhängig sein sowie offen und verständnisvoll für unterschiedliche Interessenlagen, um letztlich nach geeigneten Lösungen suchen zu können.
Die wesentlichen Aufgaben des betrieblichen Datenschutzbeauftragten nach Art. 39 Abs. 1 DSGVO sowie § 7 BDSG sind:
- Unterrichtung und Beratung der öffentlichen Stelle, des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten;
- Überwachung und Einhaltung der DSGVO und anderer Datenschutzvorschriften;
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und ggf. Beratung zu allen sonstigen Fragen.
In der Ausübung dieser Aufgaben ist der Datenschutzbeauftragte weisungsfrei. Damit kann ihm niemand im Unternehmen vorschreiben, wie er seine Aufgaben zu erledigen hat. Allerdings ist er in seiner Position auch nicht weisungsbefugt. Der Datenschutzbeauftragte berät, informiert und kontrolliert, dennoch ist prinzipiell der Arbeitgeber dafür verantwortlich,...