Bestellung Datenschutzbeauftragter

Datenschutz ist ein hohes Gut und muss auf Grundlage verpflichtender gesetzlicher Bestimmungen von allen beachtet werden, die personenbezogene Daten nicht nur im Rahmen persönlicher und familiärer Tätigkeiten verarbeiten. Seit dem 25. Mai 2018 haben diese gesetzlichen Bestimmungen mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) eine weitere Vertiefung erfahren.Für viele Unternehmen besteht die Pflicht, einen Datenschutzbeauftragten zu benennen. Davon unabhängig ist die Beachtung der strengen Datenschutzgrundverordnung grundsätzlich für alle Branchen verbindlich, die mit personenbezogenen Daten arbeiten. Dies betrifft alle Unternehmen, Ärzte, Juristen sowie öffentlichen Institutionen.

Nach der Benennung eines Datenschutzbeauftragten (egal ob interner oder externer Datenschutzbeauftragter) muss die Geschäftsführung eines Unternehmens dessen Kontaktdaten gemäß Art. 37 DSGVO an die zuständige Aufsichtsbehörde melden. Sollte die Meldung nicht rechtzeitig erfolgen, kann ein Bußgeld von bis zu 10.000.000 € oder 2 % des Jahresumsatzes die Folge sein (Artikel 83 Absatz 4 DSGVO).

Entscheiden Sie sich für einen externen Datenschutzbeauftragten, wird dieser Sie bei der Meldung an die Aufsichtsbehörde und weiteren Prozessen unterstützen.

Bei einer nicht automatisierten Datenverarbeitung bestand unter dem Bundesdatenschutzgesetz (BDSG) in der alten Fassung die Pflicht zur Benennung eines Datenschutzbeauftragten ab zwanzig damit beschäftigten Personen. Da jedoch ein großer Teil der geschützten Daten automatisiert verarbeitet wird, hatte diese Regelung auch unter dem alten BDSG keine hohe praktische Relevanz. Bisher und auch heute besteht die Pflicht zur Benennung eines Datenschutzbeauftragten ab 10 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiteranzahl ist die Bestellung des Datenschutzbeauftragten unter anderem dann verpflichtend, wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten stattfindet oder besonders risikoreiche Verarbeitungen durchgeführt werden. Dies kann insbesondere bei der Verarbeitung von Gesundheitsdaten und bei Marktforschungsinstituten schnell der Fall sein. Für Behörden gilt die Benennungspflicht in der Regel uneingeschränkt.

Gesetzesänderungen seit dem 25. Mai 2018
 

Artikel 37 EU-DSGVO setzt die Vorgaben zur Benennung eines Datenschutzbeauftragten fest - diese werden durch die Bestimmungen in § 38 BDSG konkretisiert. Grundsätzlich kann ein betrieblicher Datenschutzbeauftragter (DSB) sowohl intern in Person eines Mitarbeiters als auch extern durch einen Dienstleister abgebildet werden.

Gemäß der EU-Datenschutz-Grundverordnung 2018 muss der Datenschutzbeauftragte nicht nur hinsichtlich der Einhaltung der gesetzlichen Vorgaben unterrichten und beraten, sondern ihm wird zusätzlich eine diesbezügliche Überwachungspflicht übertragen. Dazu gehört unter anderem die Überwachung der Strategie des Verantwortlichen zur Schulung von Mitarbeitern im Umgang mit personenbezogenen und sensiblen Daten. Dies hat insbesondere für kleinere Unternehmen weitreichende Folgen, da eine interne Bestellung eines Datenschutzbeauftragten oft mit hohen Kosten verbunden ist, die meist nicht getragen werden können. Geschäftsführer oder Behördenleiter kommen zudem aufgrund möglicher Interessenskollisionen bzw. eines Interessenskonflikts nicht als interner Datenschutzbeauftragter in Frage. Wird die  Pflicht zur Bestellung eines Datenschutzbeauftragten missachtet, drohen zudem erhebliche Sanktionen.