FAQs
Allgemein gesagt ist ein Datenschutzbeauftragter ein Experte für den Datenschutz. Er hat die Aufgabe, in einem Unternehmen die Umsetzung der Vorgaben der DSGVO sicherzustellen und Datenschutzverletzungen zu verhindern. Zudem gilt er in Sachen Datenschutz als Vermittler zwischen Unternehmen, Betroffenen und Aufsichtsbehörden.
In Art. 37 DSGVO in Verbindung mit § 38 BDSG ist geregelt, dass ein Datenschutzbeauftragter in einem Unternehmen dann bestellt werden muss, wenn mindestens 20 Personen ständig mit der automatisierten Datenverarbeitung von personenbezogenen Daten beschäftigt sind. Das betrifft beispielsweise Datenverarbeitungen mit Einsatz von EDV wie Outlook oder Excel. Teilzeitkräfte, Aushilfen oder Praktikanten werden dabei voll berücksichtigt. Zudem besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten in manchen Fällen unabhängig von der Anzahl der Mitarbeiter: zum einen etwa dann, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO unterliegen. Und zum anderen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Der Datenschutzbeauftragte übernimmt sowohl für Betroffene als auch für das Unternehmen eine wichtige Funktion: Betroffene können sich sicher sein, dass ihre Daten in einem Unternehmen umfassend geschützt werden. Unternehmen können sich darauf verlassen, dass keine Datenschutzgesetze verletzt werden und die Gefahr des Datenmissbrauchs stark minimiert wird. So ist auch die Gefahr einer Abmahnung geringer.
Ja. Diese wurden mit der Einführung der DSGVO sogar noch drastisch erhöht: Kommen Unternehmen ihrer Pflicht zur Benennung eines DSB nicht nach, dann drohen Geldbußen bis zu 2% des gesamten weltweit erzielten Unternehmens-Jahresumsatzes oder bis zu 10 Millionen Euro (nach Art. 83 Abs. 4 lit. a DSGVO).
Definitiv! Auch Startups sind nicht von der Benennungspflicht eines DSBs befreit. Und gerade für junge Unternehmen können Bußgelder schnell existenzbedrohend werden. Wichtig ist auch zu wissen, dass Praktikanten, Freiberufler oder Teilzeitkräfte ebenso zur Mitarbeiteranzahl gehören, die über die Benennung eines DSBs entscheiden.
Ein Datenschutzbeauftragter steht einem Unternehmen beratend bei der Umsetzung eines korrekten Unternehmensdatenschutzes zur Seite. Dabei überprüft und kontrolliert er die bereits vorgenommenen datenschutzrechtlichen Bestrebungen des Unternehmens, spricht Handlungsempfehlungen aus und unterstützt bei der Umsetzung neuer Maßnahmen. Zudem ist er zuständig für die Datenschutz-Schulung der Mitarbeiter.
Die Aufgaben eines Datenschutzbeauftragten in einem Unternehmen sind vielfältig. Er überwacht die Einhaltung und Umsetzung der Vorgaben der DSGVO und des BDSG. Typische Tätigkeiten dabei sind die Überprüfung der TOM (technische und organisatorische Maßnahmen) und von AV-Verträgen, die Schulung der Mitarbeiter im Datenschutz oder die Unterstützung bei der Durchführung von Datenschutzfolgenabschätzungen.
Ein Datenschutzbeauftragter ist nicht der Verantwortliche für die Umsetzung des Unternehmensdatenschutzes – er gibt lediglich Empfehlungen und achtet auf die korrekte Umsetzung. Zwar haftet der DSB nicht für die Datenverarbeitung, sondern agiert als Berater des Verantwortlichen. Allerdings kann auch dieser unter Umständen haftbar gemacht werden, soweit er seine Sorgfaltspflichten verletzt.
Fachwissen: Ein interner DSB muss zu Beginn seiner Tätigkeit zeit- und kostenintensive Weiterbildungsmaßnahmen absolvieren; ein externer DSB verfügt ab Beginn der Zusammenarbeit über zertifizierte und sofort abrufbare Fachkunde.
Haftung: Kommt es zu einem weitreichenden Fehler durch den betrieblichen DSB, haftet er mit der beschränkten Arbeitnehmerhaftung. Konkret heißt das, dass der Arbeitnehmer nur bei grober Fahrlässigkeit bzw. Vorsatz vollumfänglich haftet. Bei leichter Fahrlässigkeit scheidet eine Haftung des internen DSB aus.
Kündigung: Ein interner DSB besitzt einen besonderen Kündigungsschutz, der sich mit dem eines Betriebsratsratsmitglieds vergleichen lässt. Einem externen DSB kann hingegen jederzeit fristgerecht gekündigt werden.
Kosten: Bei einem internen DSB fallen zusätzlich zum regulären Gehalt Kosten für Aus- und Fortbildung etc. an. Bei einem externen DSB werden hingegen nur die Vertragskosten fällig.
Ein Unternehmen benötigt einen Datenschutzbeauftragten, sobald es mind. 20 Personen beschäftigt, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten befassen. Hierunter fällt z.B. die Personalverwaltung, die Kundenbetreuung oder die Finanzbuchhaltung. Auch Selbstständige, Praktikanten oder Arbeitnehmer einer Arbeitnehmerüberlassung können bei der Berechnung der Personenanzahl einem Unternehmen zugerechnet werden. Verarbeitet Ihr Unternehmen besondere Arten von personenbezogenen Daten (z. B. über politische Überzeugungen, die Gesundheit oder das Sexualleben) oder liegt Ihre Kerntätigkeit in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten, so gilt die Pflicht zu Benennung eines DSB unabhängig von der Mitarbeiteranzahl. Ob Sie einen internen oder externen DSB bestellen, bleibt dabei Ihnen überlassen.
Bei der Wahl eines DSB für Ihr Unternehmen müssen Sie darauf achten, dass Sie einen erfahrenen und zertifizierten DSB benennen. Wählen Sie einen internen DSB, dann darf bei ihm kein Interessenskonflikt zwischen seiner regulären Tätigkeit und der Stellung als DSB vorliegen. Dies ist z.B. der Fall, wenn der potenzielle DSB mit der Festlegung von Zwecken und Mitteln der Verarbeitung von personenbezogenen Daten befasst ist (beispielsweise im Management von Bewerberdaten in der Personalabteilung).