Datenschutzbeauftragter
Spätestens seit dem 25. Mai 2018, also dem Tag als die neue DSGVO endgültig in Kraft getreten ist, kommen die meisten Unternehmen nicht mehr um die Benennung eines Datenschutzbeauftragten (DSB) herum. Ein paar wichtige Fragen rund um die Benennungspflicht und die Aufgabe eines DSB wollen wir im Folgenden erläutern.
Welche Aufgaben hat ein Datenschutzbeauftragter ?
- Ein Datenschutzbeauftragter ist Ansprechpartner für Anfragen und Prüfungen der Datenschutzbehörden, in der Regel die des entsprechenden Bundeslandes.
- Der DSB informiert innerhalb des Unternehmens über die datenschutzrechtlichen Vorgaben und sorgt für die Einhaltung derselben.
- Er erfasst die Datenverarbeitungsprozesse und führt darüber das Verarbeitungsverzeichnis
- Innerhalb des Unternehmens steht der Datenschutzbeauftragte den Mitarbeitern und der Geschäftsführung, außerhalb den Geschäftspartnern als Ansprechpartner für alle Fragen zur Verarbeitung personenbezogener Daten zur Verfügung
- Ein Datenschutzbeauftragter berät bei der Durchführung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
- Ein Datenschutzbeauftragter kann eine natürliche Person oder ein Unternehmen sein, welches von dem zur Benennung verpflichteten Unternehmen für diese Aufgabe bestellt wird.
- Eine Bestellurkunde ist in der neuen DSGVO nicht mehr nötig.
Wann muss ein Datenschutzbeauftragter (DSB oder eDSB) bestellt werden ?
Das Wichtigste vorab: Nicht selten sind auch Unternehmen mit weniger als 10 Mitarbeitern zur Benennung eines Datenschutzbeauftragter im Unternehmen verpflichtet.
Die Verpflichtung zur Klärung ob ein DSB (intern oder extern) benannt werden muss, obliegt einem jeden Unternehmen selbst – daher raten wir grundsätzlich jedem Unternehmer dies zu prüfen bzw. überprüfen zu lassen. Im Zweifel liegt das Risiko zur Haftung aus Verstößen gegen die DSGVO bzw. das Bundesdatenschutzgesetz stets persönlich beim Unternehmer.
– Es sind regelmäßig mehr als zehn Personen mit der automatisierten Bearbeitung von personenbezogenen Daten beschäftigt.
Das ist die Standardformulierung die als Erstes zur Ermittlung der Benennungspflicht herangezogen wird. Regelmäßig bedeutet hier, dass es ein wiederkehrender Bestandteil der täglichen Arbeit des/der Mitarbeiter ist, automatisiert bedeutet mit Hilfe von elektronischen Erfassungsgeräten (PC, Notebook aber auch Smartphone u.ä.)
– Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zwecks eine umfangreiche regelmäßige und systematische Überwachung der erfassenden Personen erforderlich machen.
Im Anwendungsfall ist diese Voraussetzung eher selten anzutreffen aber dennoch zu prüfen. Ist der Gegenstand der Erfassung von personenbezogenen Daten ein zentraler Bestandteil des erhebenden Unternehmens, so fällt beispielsweise auch die o.g. Grenze von mehr als zehn Personen. Führt ein Unternehmen z.B. Telefoninterviews durch, bei denen personenbezogene Daten erhoben werden, so muss ein betrieblicher Datenschutzbeauftragter auch schon bei einem einzelnen Mitarbeiter benannt werden. Bei Behörden muss i.d.R. immer ein behördlicher Datenschutzbeauftragter bestellt werden…..
– Das zentrale Tätigkeitsfeld eines Unternehmens besteht in der Verarbeitung von besonderen Datenkategorien.
Hierzu ist zunächst zu klären was unter besonderen Datenkategorien zu verstehen ist. Im wesentlichen erstrecken sich diese über Gesundheitsdaten, Daten über die ethnische Herkunft, politische oder religiöse Ansichten und Überzeugungen, Gewerkschaftszugehörigkeit, Daten zur sexuellen Orientierung, genetische und biometrische Personendaten. Ist nur eine der zuvor genannten Kategorien von einer umfangreichen Bearbeitung betroffen, ist auf eine Benennungspflicht zu schließen.
– Es liegt eine Verpflichtung zur Erstellung einer Datenschutz-Folgeabschätzung nach DSGVO vor
Diese Verpflichtung besteht, wenn ein Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Hierzu gibt es Positivlisten der Bundesländer, daraus beispielhaft: Scoring (Bewerten und Einstufen), automatisierte Entscheidungsfindung mit Rechtswirkung, systematische Überwachung, Zusammenführung von Datensätzen, Erfassung von Daten Schutzbedürftiger, Nutzung innovativer Erfassungstechnologien (intelligente Videoüberwachung, Bioident-Verfahren).
Wer kann, unter welchen Voraussetzungen, Datenschutzbeauftragter werden?
Grundsätzliche jeder, der eine geeignete Qualifikation zur Wahrnehmung der von Gesetzgeber vorgesehenen Aufgaben verfügt. Die Auswahl des DSB muss im Prüfungsfall jedoch vor den Datenschutzbehörden gerechtfertigt bzw. belegt werden. Diesen Nachweis erbringt man durch Schulungs- und Zertifizierungs-Urkunden, da sich die Bestimmungen des Datenschutzes jedoch dynamisch entwickeln, sollten Schulungen/Zertifizierungen regelmäßig aufgefrischt werden. Geschäftsführer oder Inhaber dürfen übrigens nicht selbst die Aufgaben des DSB wahrnehmen, da in diesem Fall üblicherweise vom Vorliegen eines Interessenkonfliktes ausgegangen wird.
Wir lassen unsere Datenschutzbeauftragten grundsätzlich beim TÜV Nord zertifizieren und regelmäßig themenbezogen nachschulen.
Externer oder interner DSB – das ist hier die Frage?
Jedes Unternehmen ganz grundsätzlich selbst entscheiden, ob es einen internen oder externen Datenschutzbeauftragten benennt. Je nach Komplexität des Aufgabengebietes kann ein interner Datenschutzbeauftragter jedoch schnell an seine Grenzen stoßen. Wir werden beispielsweise häufig für Erstellung und Einschätzung der sogenannten T.O.M. als Berater hinzugezogen. Wenn die Erhebung von personenbezogenen Daten über die der internen Personaldaten hinausgeht, ist das Führen eines Verfahrensverzeichnisses u.U. sehr komplex und stellt den internen DSB vor ungeahnte Herausforderungen. Bei Unternehmen mit besonderem Schutzbedarf des Datenbestandes kann die Weiterentwicklung des Datenschutzes in Richtung eines Managementsystems für Informationssicherheit (ISMS) interessant sein, auch hier ist ein externer DSB vermutlich die bessere Wahl.
Ganz gleich wie Sie sich entscheiden, wichtig ist, dass Sie sich um das Thema betrieblicher Datenschutz kümmern. Die behördlichen Strafandrohungen sind teilweise erheblich, einige wurden bereits durchgesetzt. Nebenbei gab es bereits die ersten Abmahnwellen von darauf spezialisiert Rechtsanwälten.
Daher: Kümmern Sie sich um Ihren Datenschutz – Sprechen Sie uns an!
Im Rahme der Erstellung eines AAV Vertrags für Ihr Unternehmen muss u.a. eine Liste der technisch- organisatorischen Maßnahmen (TOM) erstellt werden. Hierbei haben es Datenschutzbeauftragte ohne IT-Hintergrund meist schwer. Wir unterstützen daher gern Ihren internen oder externen DSB durch ein IT-Audit, eine Infrastrukturanalyse oder eine ISO 27001 Auditierung