Meeting von oben

Die Rolle des Datenschutzbeauftragten in der EU-DSGVO

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung. Sie bringt in vielen Bereichen des Datenschutzes Neuerungen und Erweiterungen, vielfach auch eine Verschärfung der datenschutzrechtlichen Anforderungen. Auch hinsichtlich der Rolle des Datenschutzbeauftragten sind mit der EU-DSGVO einige veränderte Gesichtspunkte verbunden.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung. Sie bringt in vielen Bereichen des Datenschutzes Neuerungen und Erweiterungen, vielfach auch eine Verschärfung der datenschutzrechtlichen Anforderungen. Auch hinsichtlich der Rolle der Datenschutzbeauftragten sind mit der EU-DSGVO einige veränderte Gesichtspunkte verbunden. Der deutsche Gesetzgeber hat mit einem neugefassten Bundesdatenschutzgesetz von der Öffnungsklausel in Art. 37 Abs. 4 DSGVO Gebrauch gemacht, auf dessen Grundlage die EU-Mitgliedstaaten die Benennungspflicht des Datenschutzbeauftragten im eigenen Ermessen konkretisieren dürfen. Wer sich also zukünftig mit der Position des Datenschutzbeauftragten in Unternehmen auseinandersetzt, muss nicht nur auf die Regelungen der EU Datenschutzgrundverordnung schauen, sondern ergänzend auch die Neufassung des Bundesdatenschutzgesetzes heranziehen, weil letztere die EU-Datenschutzgrundverordnung an dieser Stelle teilweise konkretisiert.

Der Datenschutzbeauftragte - alte/neue Rechtslage im Überblick

Bis Anfang Juli 2017 galt das Bundesdatenschutzgesetz (BDSG), welches das Thema Datenschutzbeauftragter in den §§ 4f BDSG ff. geregelt hat.

Am 5. Juli 2017 wurde im Rahmen des Datenschutz-Anpassungs-und Umsetzungsgesetzes EU das Bundesdatenschutzgesetz in einer neuen Fassung veröffentlicht. In Unterscheidung zum BDSG wird es als BDSG-Neu oder BDSG n.F. geführt. Die Position des Datenschutzbeauftragten wird dabei im Hinblick auf die Anforderungen der EU-Datenschutzgrundverordnung in einigen Punkten angepasst, orientiert sich aber überwiegend am alten Bundesdatenschutzgesetz.

Folgende Unterschiede zwischen der bisherigen und der neuen Rechtslage bestehen :

  • Das Thema Datenschutzbeauftragter ist nunmehr in den §§ 38 ff. BDSG n.F. für private Stellen und § 5 ff. BDSG n.F. für öffentliche Stellen geregelt. Inhaltlich nimmt § 38 BDSG n.F. direkten Bezug auf Art. 37 der EU- Datenschutzgrundverordnung und ergänzt diesen.

  • Es bestehen Unterschiede in de, Normenwortlaut. So spricht § 38 BDSG n. F. davon, einen Datenschutzbeauftragten zu benennen. In der alten Fassung des Bundesdatenschutzgesetzes war der Datenschutzbeauftragte zu bestellen. Obwohl die Worte "bestellen" und "benennen" sich sehr ähnlich sind, dürfte die "Benennung" in der neuen Fassung etwas weniger formal zu verstehen sein. Sowohl die EU-Datenschutzgrundverordnung als auch das Bundesdatenschutzgesetz in seiner neuen Fassung legen sich nicht darauf fest, in welcher Form und auf welcher Grundlage ein Datenschutzbeauftragter dem Unternehmen zur Seite gestellt wird.

  • Während die Verpflichtung zur Benennung eines Datenschutzbeauftragten im Wesentlichen dem alten § 4 BDSG entspricht, führt § 38 BDSG n. F. ergänzend den Gesichtspunkt der Datenschutzfolgeabschätzung ein. Letztere ist eine wichtige neue Anforderung in der EU-Datenschutzgrundverordnung.

  • Außerdem verweist § 38 Absatz 2 BDSG n. F. auf § 6 Abs. 4 und 5 BDSG n.F. Damit werden die Anforderungen für die Abberufung und Kündigung eines Datenschutzbeauftragten aus dem Bereich der öffentlichen Stelle auch auf die nicht-öffentliche Stelle übertragen.

  • Weiterhin kann nach der EU-Datenschutzgrundverordnung ein Konzerndatenschutzbeauftragter ernannt werden.

  • Zukünftig müssen außerdem die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden und der Aufsichtsbehörde durch Mitteilung zugänglich gemacht werden.

Fazit

Die Position des Datenschutzbeauftragten wird durch das BDSG neue Fassung teilweise auf nationaler Ebene konkretisiert

Nach der EU-Datenschutzgrundverordnung muss ein Datenschutzbeauftragter benannt werden, wenn die Kerntätigkeit eines Unternehmens in systematischer Überwachung oder Verarbeitung von personenbezogenen Daten besteht. Der Begriff "Kerntätigkeit" ist dabei so zu verstehen, dass es sich um primäre Tätigkeiten des entsprechenden Unternehmens handelt, beziehungsweise dass die genannten Zugriffe auf personenbezogene Daten bei der entsprechenden Tätigkeit nicht wegzudenken sind. Der deutsche Gesetzgeber konkretisiert mit § 38 BDSG n.F. Art. 37 der EU-Datenschutzgrundverordnung. Wie nach der bisherigen Rechtslage ist ein Datenschutzbeauftragter grundsätzlich zu benennen, wenn das Unternehmen mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.

Außerdem wird die Pflicht zur Benennung eines Datenschutzbeauftragten auch dahingehend näher erläutert, dass Unternehmen, die Verarbeitungen vornehmen und damit einer Datenschutzfolgeabschätzung im Sinne von Art. 35 der EU-Datenschutzgrundverordnung unterliegen, beziehungsweise die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Marktbeziehungs- oder Meinungsforschung verarbeiten unabhängig von der Anzahl der mit einer Datenverarbeitung personenbezogenen Daten beschäftigten Personen einen Datenschutzbeauftragten bestellen müssen.

Nach wie vor genießt der Datenschutzbeauftragte einen besonderen Kündigungsschutz, unterliegt der Verschwiegenheitspflicht und darf ein Zeugnisverweigerungsrecht für sich in Anspruch nehmen. Bei der Berechnung der 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden, legt sich der deutsche Gesetzgeber nicht darauf fest, ob hier nur das arbeitsrechtliche Verhältnis entscheidend ist oder nur volle Stellen mitzählen. Daraus folgt, dass man pro Kopf zu zählen hat und auch Teil- sowie Leiharbeiter ebenso wie Auszubildende und Praktikanten mit einbeziehen muss. Weiterhin ist zu beachten, dass die Anforderungen an eine automatisierte Verarbeitung nicht besonders hoch sind. Bearbeitet beispielsweise ein Mitarbeiter E-Mails in dem entsprechenden Bereich, wird dieser bereits dazu gezählt.

Grundsätzlich gibt die EU-Datenschutzgrundverordnung den allgemeinen gesetzlichen Rahmen zum Datenschutzbeauftragten vor, während das deutsche Bundesdatenschutzgesetz neue Fassung vereinzelte Konkretisierungen einführt. Für betroffene Unternehmen ist die Frage, ob sie einen Datenschutzbeauftragten benennen müssen, damit noch etwas schwieriger zu beantworten, weil die Vorschriften komplexer geworden sind und nicht mehr nur das Bundesdatenschutzgesetz für sich alleinsteht.

Artikel veröffentlicht am: 09. Oktober 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Symbolbild für Zeiterfassung

Zeiterfassung und Datenschutz in Unternehmen

Stundenzettel, Stechuhr, Chip – es gibt viele Möglichkeiten, um die Arbeitszeit von Arbeitnehmer:innen festzuhalten. Die wichtigsten Fakten zum Thema

News Vorschaubild
Logo

Weiterlesen

Whistleblowing-Richtlinie richtig umsetzen

Das neue Hinweisgeberschutzgesetz tritt im Juni 2023 in Kraft. Es verpflichtet betroffene Unternehmen dazu, Whistleblowing in einem geschützten Rahmen…

News Vorschaubild
Logo

Weiterlesen

Menschen im Büro

Beschäftigtendatenschutz: Alle Fakten zu Datenschutz am Arbeitsplatz

Der Datenschutz für Arbeitnehmer:innen ist ein weites Feld, in dem sich Beschäftigte und Unternehmen gleichermaßen auskennen sollten. Warum ein…

News Vorschaubild
Logo

Weiterlesen

ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?

ChatGPT weckt weltweit die Neugierde auf Künstliche Intelligenz. Mehr als 100 Millionen Nutzer haben bereits mit dem Chatbot gesprochen. Doch mit dem…

News Vorschaubild
Logo

Weiterlesen

Datenschutzerklärung für Apps

Datenschutzerklärung für Apps: Das gilt für App-Anbieter

Nicht nur die Betreiber von Websites und Online-Shops müssen sich mit dem Datenschutz auseinandersetzen, auch App-Anbieter sind von den Regelungen zu…

News Vorschaubild
Logo

Weiterlesen

Homeoffice im Ausland

Homeoffice im Ausland: Was Unternehmen wissen sollten

Die Digitalisierung bietet in der Arbeitswelt weitreichende Möglichkeiten und Chancen, wie das Mobile Office. Doch auch beim Thema Homeoffice im…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr