Datenschutzbeauftragter: Aufgaben, Kosten & Haftung
Allgemein

Datenschutzbeauftragter: Aufgaben, Kosten & Haftung

erstellt am 02.01.19 von ts@vnr.de ·Foto Urheber: dp@pic | Adobe Stock - 8 Min. Lesezeit

Datenschutzbeauftragter: Definition, Aufgaben, Kosten und Haftung

Im Zuge des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) trifft man auch immer wieder auf die Funktion des Datenschutzbeauftragten. Welche Rolle spielt er? Und wann ist ein Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu benennen? Wir liefern Ihnen die nötigen Informationen!

Definition: Was ist ein Datenschutzbeauftragter?

Wie der Name bereits vermuten lässt, handelt es sich bei einem Datenschutzbeauftragten um eine Person, die ernannt wird, um zu gewährleisten, dass alle Richtlinien und Vorgaben der DSGVO eingehalten und befolgt werden. Er muss dafür Sorge tragen, dass die internen Prozesse, die sich an der Datenschutzgrundverordnung orientieren müssen, regelmäßig kontrolliert und bei Bedarf entsprechend angepasst werden. Ein Datenschutzbeauftragter muss nicht zwingend eine natürliche Person sein, auch ein Unternehmen kann diese Funktion übernehmen.

Die Aufgaben und Pflichten eines Datenschutzbeauftragten

Die Pflichten und Aufgaben eines Datenschutzbeauftragten sind gemäß DSGVO klar definiert. Zu seinen wichtigsten Funktionen gehört in erster Linie, dass er das Unternehmen, für das er in diesem Bereich tätig ist, über alle Pflichten aufklärt, die einen datenschutzrechtlichen Hintergrund haben und entsprechend durchgeführt werden müssen. Zudem muss er das Unternehmen über mögliche Neuerungen, Ergebnisse von Kontrollen und erforderliche Anpassungsmaßnahmen informieren. Der Datenschutzbeauftragte ist der erste Ansprechpartner, wenn es um die Kommunikation mit den Datenschutzaufsichtsbehörden geht. Er muss aber auch für Personen bei Fragen und Problemen zur Verfügung stehen, deren Daten in dem jeweiligen Betrieb verarbeitet werden. Auch Mitarbeiter und Geschäftsleitung stehen mit ihm in engem Kontakt und können sich vertrauensvoll an ihn wenden, wenn Klärungsbedarf in Sachen Datenschutz besteht.

Eine weitere wichtige Funktion, die in das Aufgabengebiet des Datenschutzbeauftragten fällt, ist das Verarbeitungsverzeichnis, das er kontrollieren muss. Er unterstützt außerdem das Unternehmen, für das er tätig ist, bei der Durchführung aller wichtigen Maßnahmen, auch hinsichtlich der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO.

Datenschutzbeauftragter: Befugnis zur Delegierung von Aufgaben

Nein, muss er nicht. Bei der „Benennung“ eines Datenschutzbeauftragten geht es lediglich darum, dass eine Person ernannt wird, die die Verantwortung für die Einhaltung der Datenschutzregelungen übernimmt. Diese Person ist befugt, verschiedene Aufgaben zu delegieren und an andere Mitarbeiter abzugeben. In den meisten Fällen ist es auch nicht umsetzbar, dass sich eine einzelne Person um den kompletten Datenschutz in einem Unternehmen kümmert. Werden bestimmte Aufgaben an andere Personen weitergegeben, muss der Datenschutzbeauftragte jedoch durch Überwachung und Kontrolle dafür sorgen, dass die Erfüllung dieser Aufgaben datenschutzkonform abläuft.

Die„Benennung“ des Datenschutzbeauftragten

Der Begriff „Benennung“ kann in diesem Zusammenhang etwas irreführend klingen. Im Grunde geht es um eine offizielle „Ernennung“ des / der Betreffenden, die mit ganz bestimmten Rechten und Pflichten einhergeht. Für den genauen Ablauf dieser Ernennung wird eine sogenannte Benennungsurkunde unterzeichnet, aus der hervorgehen muss, welcher Person die datenschutzrelevanten Tätigkeiten übertragen werden und wer somit künftig die Verantwortung in diesem Bereich trägt.

Ab wann ein Datenschutzbeauftragter bestellt werden muss

Es gibt insgesamt drei Faktoren, die für die Entscheidung maßgeblich sind, ob ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen:

  • Die Größe des Unternehmens

Sofern das Unternehmen mehr als 20 Mitarbeiter beschäftigt, die ständig an der automatisierten Erhebung und Nutzung personenbezogener Daten beteiligt sind, ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen. Dies gilt auch für beschäftigte freie Mitarbeiter, Auszubildende, Praktikanten oder Zeitarbeiter.

  • Die Verarbeitung spezieller Daten als Kerntätigkeit

Das bedeutet, wenn Ihr Unternehmen personenbezogene Daten bestimmter Kategorien (umfangreich) verarbeitet, besteht unabhängig von der Mitarbeiteranzahl ebenfalls die Pflicht zur Bestellung eines Datenschutzbeauftragten. Zu diesen Kategorien gehören unter anderem Gesundheitsdaten, genetische wie biometrische Daten, Daten, die auf die Religionszugehörigkeit schließen lassen oder die in Verbindung mit Straftaten erhoben und gespeichert werden. Wenn die Verarbeitung dieser Daten dann auch noch zu Ihrem Kerngeschäft gehört, sind Sie gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen.

  • Die Datenschutz-Folgenabschätzung

Liegt eine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (siehe Art. 35 DSGVO) vor, ist das Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, ganz unabhängig davon, wie viele Mitarbeiter es beschäftigt und wie viele davon wiederum an der Verarbeitung der Daten beteiligt sind.

Position des Datenschutzbeauftragten: Voraussetzungen und Qualifikationen

Grundsätzlich kann jeder zum Datenschutzbeauftragten ernannt werden, solange er über entsprechende Qualifikationen verfügt, um die betreffenden Aufgaben ausführen zu können. Die besten Voraussetzungen dafür sind natürlich Fachkenntnisse im Bereich Datenschutz und ein gewisses Verständnis für die Rechtslage diesbezüglich. Da es durchaus vorkommen kann, dass Unternehmen die Auswahl des Datenschutzbeauftragten gegenüber Behörden rechtfertigen müssen, sollte die Wahl gut durchdacht sein. Hilfreich sein können in diesem Fall Zertifikate, die die betreffende Person erworben hat und somit bei Bedarf vorweisen kann. Spezielle Schulungen bieten sich hier bereits vor der Bestellung an und liefern neben wichtigem Fachwissen auch die entsprechenden Nachweise.

Datenschutzschulung für den Datenschutzbeauftragten

Eine Schulung für Datenschutzbeauftragte ist nicht nur sinnvoll, sie ist auch notwendig, um das erforderliche Wissen für diesen wichtigen Verantwortungsbereich zu übermitteln. Sich alle bedeutenden Rechtsgrundlagen in Bezug auf die DSGVO selbst anzueignen mag möglich sein, kann aber durchaus zu Schwierigkeiten führen, wenn der ein oder andere Aspekt ausgelassen wird. Mit einer Datenschutz Schulung durch Experten wird sichergestellt, dass der zukünftige Datenschutzbeauftragte angemessen und ausreichend auf seine neue Funktion vorbereitet wird.

Datenschutzschulung für Mitarbeiter

Im Rahmen der neuen DSGVO sollte nicht nur Ihr Datenschutzbeauftragter mit den neuesten Informationen und Vorschriften vertraut gemacht werden, auch Ihre Mitarbeiter können von einer Schulung in Sachen Datenschutz profitieren. Da einige Aufgaben diesbezüglich delegiert werden müssen, ist die Datenschutz Schulung für Mitarbeiter essenziell, damit auch sie ihre Aufgaben rechtsgültig ausführen können.

Merkblatt für den Datenschutz

Für den Fall, dass nicht das gesamte Personal an einer solchen Schulung teilnehmen kann, ist die Erstellung von einem „Merkblatt: Datenschutz für Mitarbeiter“ sinnvoll und kann bereits die ersten Fragen gut beantworten. So sind nicht nur Ihre Mitarbeiter, sondern das ganze Unternehmen auf die Neuerungen der DSGVO optimal vorbereitet.

Interner oder externer Datenschutzbeauftragter

Sie müssen nicht zwangsläufig einen Mitarbeiter Ihres Unternehmens zum Datenschutzbeauftragten bestellen. Die DSGVO-Vorschriften lassen Ihnen die Wahl, ob Sie die Position intern besetzen oder die Dienste eines externen Experten in Anspruch nehmen. Bei einem externen Datenschutz-Fachmann sollte unbedingt berücksichtigt werden, dass dieser über die entsprechenden Qualifikationen und Nachweise verfügt. Insgesamt könnte es zu einem Interessenkonflikt kommen, wenn beispielsweise der Geschäftsführer des Unternehmens auch das Amt des Datenschutzbeauftragten übernimmt. Hier wären ein anderer Mitarbeiter oder ein externer Datenschutzbeauftragter gute Ausweichmöglichkeiten. Ein Nachteil bei der Beauftragung eines Externen könnte allerdings darin bestehen, dass dieser länger braucht, um sich in die vorhandenen Unternehmensprozesse einzuarbeiten. Lohnen kann er sich jedoch für kleinere Betriebe: durch die „Auslagerung“ des Datenschutzbeauftragten bleibt Ihren Mitarbeitern mehr Zeit für ihre eigentliche Arbeit und die Betriebsabläufe werden durch das neue Aufgabengebiet nicht behindert. Die Entscheidung liegt bei jedem Unternehmen selbst.

Kein Datenschutzbeauftragter – schwere Folgen

Es kann sehr teuer für Ihr Unternehmen werden, wenn Sie keinen Datenschutzbeauftragten stellen, obwohl Sie dazu verpflichtet sind. Laut DSGVO werden Verstöße mittlerweile mit wesentlich höheren Strafen und Bußgeldern geahndet als es noch vor einigen Jahren der Fall war. Hier sind Beträge in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes möglich. Sie sollten hier auf jeden Fall vorbeugen und einen Datenschutzbeauftragten ernennen, sofern Sie dazu verpflichtet sind.

Haftung des Datenschutzbeauftragten bei Verstößen

Dieser Aspekt ist ein schwieriges und umstrittenes Thema. Es wird vermutet, dass der interne Datenschutzbeauftragte bei Verstößen aufgrund der sogenannten Haftungserleichterungen für Arbeitnehmer nicht persönlich haftbar gemacht werden kann. Um jedoch auch Konsequenzen seitens des Arbeitgebers zu vermeiden, sollte er die Einhaltung der Vorschriften sehr gewissenhaft durchführen. Etwas anders könnte der Sachverhalt bei externen Datenschutzbeauftragten aussehen. Ihnen wird geraten, sich stärker abzusichern(z.B. mit Hilfe einer Berufshaftpflichtversicherung), falls es zur Nichteinhaltung kommt – ganz gleich, ob bewusst oder unbewusst. Denn hier wäre es durchaus denkbar, dass diese aus zivilrechtlichen Gründen haftbar gemacht werden könnten.

Die Kosten eines externen Datenschutzbeauftragten

Diese Frage kann nicht so einfach pauschal beantwortet werden. Die Kosten sind immer auch von dem jeweiligen Dienstleister abhängig. Da die Anforderungen durch die DSGVO deutlich anspruchsvoller und umfangreicher geworden sind, muss ein externer Dienstleister in diesem Bereich heute wesentlich mehr leisten als früher. Spezialisierte Rechtsanwälte sind hier eine bevorzugte Anlaufstelle, um bezüglich Datenschutz auf der sicheren Seite zu sein. Aber auch hier können die Preise sehr unterschiedlich ausfallen. Eine gute und möglicherweise kostengünstige Lösung könnte sein, intern und extern zu verbinden. So können Sie sich und Ihren Datenschutzbeauftragten von einem Anwalt, der auf dieses Gebiet spezialisiert ist, beraten lassen und Tipps einholen, wie Sie die DSGVO bestmöglich umsetzen und allen Richtlinien gerecht werden. Bei Rückfragen steht Ihnen der Rechtsexperte zur Verfügung und Sie können problemlos alle erforderlichen Maßnahmen einleiten, die zur Einhaltung der DSGVO notwendig sind – auch nachträglich.

Ihre ersten Schritte zur Einstellung eines Datenschutzbeauftragten

Gehen Sie wie folgt vor:

  • Überprüfen Sie von vornherein, ob Ihr Unternehmen gesetzlich dazu verpflichtet ist, einen Datenschutzbeauftragten zu ernennen.
  • Entscheiden Sie sich für einen geeigneten Datenschutzbeauftragten in Ihrem Unternehmen oder nehmen Sie die Dienste eines externen Datenschutzbeauftragten in Anspruch.
  • Die genauen Angaben und Kontaktdaten Ihres Datenschutzbeauftragten sollten im Idealfall auch auf Ihrer Website in der Datenschutzerklärung angegeben werden.
  • Informieren Sie die zuständige Aufsichtsbehörde über die Benennung Ihres Datenschutzbeauftragten.