Website-Icon Schwarte Consulting

Wie engagiere ich einen Datenschutzbeauftragten?

wie engagiere ich einen datenschutzbeauftragten? - schwarte consulting

Benennung und Stellung von Datenschutzbeauftragten

Sie brauchen die Hilfe eines Datenschutzbeauftragten, wissen aber nicht genau, wie das Ganze rechtlich korrekt abläuft und welche Qualifikationen er mitbringen sollte?

Zunächst einmal: Die Berufsbezeichnung Datenschutzbeauftragter ist kein geschützter Begriff und könnte von jedem verwendet werden.

Dennoch haben kompetente und erfolgreiche Datenschutzbeauftragte eine abgeschlossene Ausbildung hinter sich und sind von anerkannten Institutionen als Datenschutzbeauftragte zertifiziert und gelistet.

Wie wird ein Datenschutzbeauftragter also bewertet, beziehungsweise welche Qualifikationen sollte er mitbringen?

Ein Datenschutzbeauftragter wird auf Grundlage seiner beruflichen Qualifikationen und insbesondere hinsichtlich seines ausgeprägten Fachwissens bewertet und letztendlich auch benannt. Das Wissen, dass er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, spielt ebenso eine wichtige Rolle wie seine Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.

Zusammengefasst handelt es sich um folgende Tätigkeiten:

  1. Unterrichtung und Beratung des Auftragsverarbeiters und der Beschäftigten
  2. Überwachung der Einhaltung von Datenschutzvorschriften, Entwicklung von Strategien zum Schutz personenbezogener Daten, Sensibilisierung & Schulung von Mitarbeitern
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
  4. Kommunikation mit der Aufsichtsbehörde
  5. Anlaufstelle für Aufsichtsbehörden

„Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.“ (§ 39 DSGVO)

(Hier können Sie den Original Text des Artikels 35 DSGVO noch einmal nachlesen)

WANN IST EIN DATENSCHUTZBEAUFTRAGTER ERFORDERLICH?

Welche Aufgaben ein Datenschutzbeauftragter übernimmt, haben wir bereits besprochen.

Im vorangegangen Blog-Artikel habe ich anhand und aufgrund aktueller Urteile das Thema Bußgeld im Rahmen der DSGVO angerissen. Die zwei Kernfragen, die sich meine Klienten bei dem Thema DSGVO-Verstoß immer wieder stellen, sind folgende:

1.) “Die Frage ist nicht „wie hoch ist ein Bußgeld“, sondern viel mehr: „ist ein Bußgeld vermeidbar“?

2.) „Brauche ich wirklich einen professionellen Datenschutzbeauftragten oder kann ich mich selbstständig absichern?“ 

Im letzten Artikel hatten wir festgestellt, dass ein vorhandener Datenschutzbeauftragter mit einer strukturierten Vorgehensweise und dem fachlichen Know-how in der Lage ist, ein eventuell anstehendes Bußgeld maßgeblich zu reduzieren.

Die Frage die nach wie vor im Raum steht:

Sind Sie dazu verpflichtet, einen Datenschutzbeauftragten zu engagieren (Fachausdruck: benennen) oder ist das freiwillig?

Sind Sie also fein raus, wenn Sie aufgrund der vorangegangenen Regelungen keinen Datenschutzbeauftragten engagieren müssen?

Leider nicht. Die Pflicht zur Umsetzung der Anforderungen aus der DSGVO und dem BDSG besteht für alle Unternehmen, Handwerksbetriebe und Vereine unabhängig von der Größe oder Mitarbeiterzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Das bedeutet: Jeder kann mit einem Bußgeld belegt werden, wenn ich die Regelungen missachtet.

Nun wissen wir, DSGVO ist ein wichtiges Thema, mit dem sich jedes Unternehmen auseinandersetzen sollte, sobald personenbezogene Daten verarbeitet werden. Und Achtung: Sobald Sie auf Ihrer Website Analytics Tools einsetzten, fangen Sie an, personenbezogene Daten zu verarbeiten.

DESHALB MEINE EMPFEHLUNG:

Wenn Sie keinen Datenschutz- beauftragten engagieren, lassen Sie sich zumindest punktuell unterstützen, damit Sie rechtskonform unterwegs sind.

Wie engagiere ich rechtskonform einen Datenschutzbeauftragten?

Vorab: Damit eine Person als Datenschutzbeauftragter engagiert werden kann, müssen gewisse Voraussetzungen erfüllt werden. Werden diese Voraussetzungen nicht eingehalten, ist die Bestellung des Datenschutzbeauftragten nicht wirksam beziehungsweise nicht rechtskräftig. Grundsätzlich kann ein Datenschutzbeauftragter als interner oder externer Mitarbeiter (im Rahmen eines Dienstleistungsvertrages) angestellt werden. Wichtig zu beachten ist dabei, dass eine berufliche sowie fachliche Qualifikation vorliegen muss, sodass die ordnungsgemäße Wahrnehmung der Aufgaben aus dem Art. 39 DSGVO gewährleistet wird.

„So Herr Meier, ab morgen sind Sie Datenschutzbeauftragter und kümmern sich um sämtliche Belange zum Thema BDG (neu) und DSGVO“

Wäre das ausreichend? Nein!

Die Bestellung eines Datenschutzbeauftragten hat immer schriftlich zu erfolgen, ein Muster können Sie gerne von mir bekommen.

Da ein Datenschutzbeauftragter eine erhebliche Verantwortung im betroffenen Unternehmen übernimmt, unterstreicht diese Form auch noch mal die Bedeutung des Amtes.

Haben Sie nun erfolgreich einen Datenschutzbeauftragten engagiert? Fast!

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, z. B. auf einer Unternehmenshomepage und Sie müssen den Datenschutzbeauftragten bei der zuständigen Landesbehörde melden. Wenn Sie die Bestellung vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig vornehmen, müssen Sie mit einer Geldbuße von bis zu 50.000 Euro rechnen. In Einzelfällen sind auch höhere Beträge möglich.

Die Stellung eines Datenschutzbeauftragten

Wenn Sie den Artikel 38 der Datenschutz-Grundverordnung lesen, merken Sie vermutlich gleich, dass es gar nicht so sehr um die Stellung des Datenschutzbeauftragten geht. Der Gesetzestext dreht sich vielmehr um die Pflichten der Verantwortlichen. Es handelt sich um Vorgaben darüber, wie Sie als Verantwortliche Stelle den Datenschutzbeauftragten einbinden und ihn dadurch bei seinen Aufgaben unterstützen können.

Dennoch gibt es ein paar Punkte, die die Stellung des Datenschutzbeauftragten darstellen:

Zentrales Element der Weisungsfreiheit ist, dass der/die Datenschutzbeauftragte unabhängig bei der datenschutzrechtlichen Beurteilung stattfindender Datenverarbeitungsvorgänge ist. Er/sie darf selbst entscheiden, wie er/sie seine/ihre Aufgaben priorisiert und welche Systeme und Prozesse einer Prüfung unterzogen werden sollen. Ihn/sie trifft die Pflicht zur risikoorientierten Tätigkeit. Zur Gewährleistung der garantierten Unabhängigkeit obliegt aber auch die Bewertung, welche Verarbeitungsvorgänge wegen des mit ihnen verbundenen Risikos einer vorrangigen Betrachtung bedürfen, grundsätzlich diesem/dieser selbst.

Der Anspruch des/der Datenschutzbeauftragten auf Einbindung und Unterstützung umfasst im Einzelnen Folgendes:

Zu den notwendigen Ressourcen im Hinblick auf die Aufgabenwahrnehmung gehört es dabei insbesondere, dass dem/der Datenschutzbeauftragten die notwendigen zeitlichen Kapazitäten zur Wahrnehmung der Aufgabe zur Verfügung gestellt werden. Das konkrete Maß der erforderlichen Unterstützung ist im Einzelfall zu bestimmen.

Der/die Datenschutzbeauftragte – wenn es ein Interner ist – genießt nach DSGVO Abberufungsschutz. Verboten ist die Abberufung aus Gründen, die mit der Erfüllung der Aufgaben als Datenschutzbeauftragte/r zusammenhängen. Nach dem BDSG 2018 genießt der/die Datenschutzbeauftragte zudem besonderen Kündigungsschutz. Danach ist die Kündigung des Arbeitsverhältnisses des/der Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen, also zu einer außerordentlichen Kündigung.

Zusammenfassend:

Grundsätzlich muss sich jedes Unternehmen mit der DSGVO beschäftigen und sich an diese halten, sobald personenbezogene Daten verarbeitet werden. Ob ein Datenschutzbeauftragter bestellt werden muss oder nicht, regelt das Gesetz. Unter anderem gilt die Regelung, wenn mind. 20 Mitarbeiter damit beschäftigt sind, regelmäßig personenbezogene Daten zu verarbeiten, wird ein Datenschutzbeauftragter zur Pflicht.

Unabhängig von dieser Grenze ist ein Datenschutzbeauftragter erforderlich, wenn es sich um Daten handelt, die einer Datenschutz-Folgeabschätzung unterliegen (z. B. Gesundheitsdaten) und für Zwecke der Markt- oder Meinungsforschung übermittelt werden(personenbezogen oder anonymisiert).

Die Bestellung eines Datenschutzbeauftragten hat immer in schriftlicher Form zu erfolgen und es Bedarf der Meldung bei der zuständigen Landesbehörde. Artikel 38 dreht sich im Kern nicht vorrangig um die Stellung des Datenschutzbeauftragten, sondern eher um die Pflichten des Verantwortlichen. Dennoch gibt es wichtige Elemente, die zu nennen sind: Weisungsfreiheit, Anspruch auf Einbindung, Kündigungsschutz und Benachteiligungsverbot.

Im nächsten Artikel werde ich Ihnen die Aufgaben eines Datenschutzbeauftragten näherbringen und genauestens erläutern, warum Datenschutzbeauftragte so wichtig für Unternehmen jeder Art sind.

Falls Sie bereits vorher Fragen haben sollten, freue ich mich, wenn Sie mit mir Kontakt aufnehmen!

Wichtiges zum Schluss

Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Die im Rahmen dieses Artikels zur Verfügung gestellten Informationen wurden bestmöglich recherchiert werden und werden nach Möglichkeit aktuell gehalten. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernommen.

Die mobile Version verlassen