Meeting von oben

Die Rolle des Datenschutzbeauftragten in der EU-DSGVO

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung. Sie bringt in vielen Bereichen des Datenschutzes Neuerungen und Erweiterungen, vielfach auch eine Verschärfung der datenschutzrechtlichen Anforderungen. Auch hinsichtlich der Rolle des Datenschutzbeauftragten sind mit der EU-DSGVO einige veränderte Gesichtspunkte verbunden.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung. Sie bringt in vielen Bereichen des Datenschutzes Neuerungen und Erweiterungen, vielfach auch eine Verschärfung der datenschutzrechtlichen Anforderungen. Auch hinsichtlich der Rolle der Datenschutzbeauftragten sind mit der EU-DSGVO einige veränderte Gesichtspunkte verbunden. Der deutsche Gesetzgeber hat mit einem neugefassten Bundesdatenschutzgesetz von der Öffnungsklausel in Art. 37 Abs. 4 DSGVO Gebrauch gemacht, auf dessen Grundlage die EU-Mitgliedstaaten die Benennungspflicht des Datenschutzbeauftragten im eigenen Ermessen konkretisieren dürfen. Wer sich also zukünftig mit der Position des Datenschutzbeauftragten in Unternehmen auseinandersetzt, muss nicht nur auf die Regelungen der EU Datenschutzgrundverordnung schauen, sondern ergänzend auch die Neufassung des Bundesdatenschutzgesetzes heranziehen, weil letztere die EU-Datenschutzgrundverordnung an dieser Stelle teilweise konkretisiert.

Der Datenschutzbeauftragte - alte/neue Rechtslage im Überblick

Bis Anfang Juli 2017 galt das Bundesdatenschutzgesetz (BDSG), welches das Thema Datenschutzbeauftragter in den §§ 4f BDSG ff. geregelt hat.

Am 5. Juli 2017 wurde im Rahmen des Datenschutz-Anpassungs-und Umsetzungsgesetzes EU das Bundesdatenschutzgesetz in einer neuen Fassung veröffentlicht. In Unterscheidung zum BDSG wird es als BDSG-Neu oder BDSG n.F. geführt. Die Position des Datenschutzbeauftragten wird dabei im Hinblick auf die Anforderungen der EU-Datenschutzgrundverordnung in einigen Punkten angepasst, orientiert sich aber überwiegend am alten Bundesdatenschutzgesetz.

Folgende Unterschiede zwischen der bisherigen und der neuen Rechtslage bestehen :

  • Das Thema Datenschutzbeauftragter ist nunmehr in den §§ 38 ff. BDSG n.F. für private Stellen und § 5 ff. BDSG n.F. für öffentliche Stellen geregelt. Inhaltlich nimmt § 38 BDSG n.F. direkten Bezug auf Art. 37 der EU- Datenschutzgrundverordnung und ergänzt diesen.

  • Es bestehen Unterschiede in de, Normenwortlaut. So spricht § 38 BDSG n. F. davon, einen Datenschutzbeauftragten zu benennen. In der alten Fassung des Bundesdatenschutzgesetzes war der Datenschutzbeauftragte zu bestellen. Obwohl die Worte "bestellen" und "benennen" sich sehr ähnlich sind, dürfte die "Benennung" in der neuen Fassung etwas weniger formal zu verstehen sein. Sowohl die EU-Datenschutzgrundverordnung als auch das Bundesdatenschutzgesetz in seiner neuen Fassung legen sich nicht darauf fest, in welcher Form und auf welcher Grundlage ein Datenschutzbeauftragter dem Unternehmen zur Seite gestellt wird.

  • Während die Verpflichtung zur Benennung eines Datenschutzbeauftragten im Wesentlichen dem alten § 4 BDSG entspricht, führt § 38 BDSG n. F. ergänzend den Gesichtspunkt der Datenschutzfolgeabschätzung ein. Letztere ist eine wichtige neue Anforderung in der EU-Datenschutzgrundverordnung.

  • Außerdem verweist § 38 Absatz 2 BDSG n. F. auf § 6 Abs. 4 und 5 BDSG n.F. Damit werden die Anforderungen für die Abberufung und Kündigung eines Datenschutzbeauftragten aus dem Bereich der öffentlichen Stelle auch auf die nicht-öffentliche Stelle übertragen.

  • Weiterhin kann nach der EU-Datenschutzgrundverordnung ein Konzerndatenschutzbeauftragter ernannt werden.

  • Zukünftig müssen außerdem die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden und der Aufsichtsbehörde durch Mitteilung zugänglich gemacht werden.

Fazit

Die Position des Datenschutzbeauftragten wird durch das BDSG neue Fassung teilweise auf nationaler Ebene konkretisiert

Nach der EU-Datenschutzgrundverordnung muss ein Datenschutzbeauftragter benannt werden, wenn die Kerntätigkeit eines Unternehmens in systematischer Überwachung oder Verarbeitung von personenbezogenen Daten besteht. Der Begriff "Kerntätigkeit" ist dabei so zu verstehen, dass es sich um primäre Tätigkeiten des entsprechenden Unternehmens handelt, beziehungsweise dass die genannten Zugriffe auf personenbezogene Daten bei der entsprechenden Tätigkeit nicht wegzudenken sind. Der deutsche Gesetzgeber konkretisiert mit § 38 BDSG n.F. Art. 37 der EU-Datenschutzgrundverordnung. Wie nach der bisherigen Rechtslage ist ein Datenschutzbeauftragter grundsätzlich zu benennen, wenn das Unternehmen mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.

Außerdem wird die Pflicht zur Benennung eines Datenschutzbeauftragten auch dahingehend näher erläutert, dass Unternehmen, die Verarbeitungen vornehmen und damit einer Datenschutzfolgeabschätzung im Sinne von Art. 35 der EU-Datenschutzgrundverordnung unterliegen, beziehungsweise die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Marktbeziehungs- oder Meinungsforschung verarbeiten unabhängig von der Anzahl der mit einer Datenverarbeitung personenbezogenen Daten beschäftigten Personen einen Datenschutzbeauftragten bestellen müssen.

Nach wie vor genießt der Datenschutzbeauftragte einen besonderen Kündigungsschutz, unterliegt der Verschwiegenheitspflicht und darf ein Zeugnisverweigerungsrecht für sich in Anspruch nehmen. Bei der Berechnung der 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden, legt sich der deutsche Gesetzgeber nicht darauf fest, ob hier nur das arbeitsrechtliche Verhältnis entscheidend ist oder nur volle Stellen mitzählen. Daraus folgt, dass man pro Kopf zu zählen hat und auch Teil- sowie Leiharbeiter ebenso wie Auszubildende und Praktikanten mit einbeziehen muss. Weiterhin ist zu beachten, dass die Anforderungen an eine automatisierte Verarbeitung nicht besonders hoch sind. Bearbeitet beispielsweise ein Mitarbeiter E-Mails in dem entsprechenden Bereich, wird dieser bereits dazu gezählt.

Grundsätzlich gibt die EU-Datenschutzgrundverordnung den allgemeinen gesetzlichen Rahmen zum Datenschutzbeauftragten vor, während das deutsche Bundesdatenschutzgesetz neue Fassung vereinzelte Konkretisierungen einführt. Für betroffene Unternehmen ist die Frage, ob sie einen Datenschutzbeauftragten benennen müssen, damit noch etwas schwieriger zu beantworten, weil die Vorschriften komplexer geworden sind und nicht mehr nur das Bundesdatenschutzgesetz für sich alleinsteht.

Artikel veröffentlicht am: 09. Oktober 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Case Study: Pflegedienst Dominikus meistert mit uns den Datenschutz

In keinem Bereich spielt der Datenschutz so eine Rolle wie im Gesundheitssektor. Medizinische Daten oder die persönlichen Daten der Patienten und…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz im Gesundheitswesen

Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick…

News Vorschaubild
Logo

Weiterlesen

„HR-Datenmanagement ist wichtig – und wird mit Software einfacher“

In keiner anderen Abteilung werden so viele personenbezogene Daten von Mitarbeitenden verarbeitet wie in der Personalabteilung. Warum sie sich…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Zeiterfassung

Zeiterfassung und Datenschutz in Unternehmen

Stundenzettel, Stechuhr, Chip – es gibt viele Möglichkeiten, um die Arbeitszeit von Arbeitnehmer:innen festzuhalten. Die wichtigsten Fakten zum Thema

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Google Fonts und die DSGVO

Google Fonts & DSGVO: Schriftarten sicher einbinden

Mit Google Fonts stehen Ihrem Unternehmen hunderte kostenfreie Schriftarten zur Verfügung, die Sie auf Ihrer Website kommerziell nutzen dürfen.…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für European Health Data Space

Datenschutz im digitalen Gesundheitsdatenraum (European Health Data Space)

Die EU will ihr Gesundheitssystem digitalisieren, damit alle EU-Bürger:innen elektronischen Zugriff auf ihre persönlichen Gesundheitsdaten haben. Auch…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr